Segurança e Auditoria de Sistemas

Prévia do material em texto

Disciplina
Segurança e Auditoria de
Sistemas
Unidade 1
Segurança da Informação
Aula 1
Introdução à Segurança da Informação
Introdução à segurança da informação
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
Iniciamos uma disciplina que contém desa�os diários com as mudanças tecnológicas. Com o
desenvolvimento das tecnologias vêm as preocupações com a segurança da informação, a
segurança dos sistemas, en�m a chamada a segurança cibernética.
As mídias nos desa�am cotidianamente com notícias de ataques aos dados de determinada
empresa, vazamento de cartões de crédito, roubo de um novo projeto de uma empresa, pichação
ao site de um governo, subornos em países ou até descoberta de estratégia de guerra.
Pensando nesse contexto, nossas informações estão seguras? Quando utilizamos nossos
computadores estamos seguros? E nosso smartphone, é seguro? A internet é segura? Vamos até
Disciplina
Segurança e Auditoria de
Sistemas
mais longe: o meu microondas ou minha babá eletrônica  são seguros?
Sem polemizar o assunto, as tecnologias trouxeram consigo essa preocupação que
anteriormente não tínhamos: a de trazer para nossas vidas vulnerabilidades. Essa é a parte
interessante de tudo que é novo, descobrir que temos muitos benefícios e alguns problemas
também.
Garantia de segurança 100% é difícil, mas vamos delinear em nossa disciplina como cada
pessoa ou empresa tem inúmeras possibilidades de montar estratégias de defesa para procurar
estar o mais seguro possível.
Iniciamos compreendendo conceitos desse novo universo. Pilares ou princípios da segurança da
informação são conceitos que ajudam a nortear e sustentar as práticas, estratégias e políticas de
proteção de dados nas organizações.
Entre os elementos fundamentais a serem protegidos, que compõem a tecnologia, temos as
pessoas, os processos, as informações e cada uma dessas partes, com suas particularidades,
como estudaremos nesta aula.
Começaremos com as de�nições básicas para podermos nos proteger e, com esse ferramental,
poderemos tomar as melhores decisões para nosso cotidiano e nossa empresa em termos de
segurança.
Pensemos em uma situação simples que pode acontecer com qualquer um de nós:
Um funcionário de uma empresa de tecnologia está trabalhando em um novo projeto que envolve
informações con�denciais sobre um cliente. O funcionário deixa seu computador desbloqueado
quando vai ao banheiro, e um colega de trabalho acessa o computador e visualiza as
informações con�denciais. E agora? Quais as consequências dessa propriedade da informação:
a con�dencialidade? 
Vamos Começar!
Princípios de segurança da informação
A segurança da informação protege a informação de diversos tipos de ameaça para garantir a
continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e
oportunidades  (ABNT ISO/IEC 27002:2013).
A segurança da informação envolve identi�cação, proteção, detecção, resposta e recuperação
(NIST, 2020).
Disciplina
Segurança e Auditoria de
Sistemas
Figura 1 | Elementos que envolvem a segurança da informação. Fonte: adaptado de NIST (2020).
Os princípios de segurança da informação iniciaram-se pela tríade conhecida como CID, que
contempla as iniciais dos princípios de Con�dencialidade, Integridade e Disponibilidade. Esses
princípios foram estabelecidos internacionalmente, por meio das normas ISO (Internacional
Organization for Standardization) e pela IEC (International Electrotechnical Commission), sob a
gestão do Comitê ISO de Avaliação de Conformidade (ISO Committee on Conformity assessment
(ISO/CASCO)). No Brasil, a  Associação Brasileira de Normas Técnicas (ABNT) é a instituição
responsável por elaborar e administrar as Normas Brasileiras (NBR) e regras técnicas para
diferentes segmentos do país. Por isso, temos as de�nições dos princípios de segurança da
informação colocados na ABNT NBR ISO/IEC 27001 e 27002, que servem para que as
organizações adotem um modelo adequado de estabelecimento, implementação, operação,
monitorização, revisão e gestão de um sistema de gestão de segurança da informação. Em 2022,
houve uma atualização dessas normas em alguns itens, porém usaremos as de�nições de 2013,
pois as de 2022 ainda não estão traduzidas.
 Segundo a norma ABNT NBR ISO/IEC 27001:2013, (ISO 27001, 2013):
a) Con�dencialidade é a propriedade de que a informação não esteja disponível ou seja revelada
a indivíduos, entidades ou processos não autorizados.
b) Integridade é a propriedade de salvaguarda da exatidão e completeza de ativos.
c) Disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e
sistemas da organização.
Essa tríade é de vital importância para proteção das informações e foi complementada no
decorrer do tempo com outras propriedades extremamente importantes também:
d) Autenticidade busca garantir que determinada pessoa ou sistema é, de fato, quem ela diz ser.
e) Não-Repúdio (Irretratabilidade) busca garantir que o usuário não tenha condições de negar ou
contrariar o fato de que foi ele quem gerou determinado conteúdo ou informação.
f) Legalidade é o aspecto de legislação e normatização.
Disciplina
Segurança e Auditoria de
Sistemas
Figura 2 | Tríade da segurança da informação (CID). Fonte: Nakamura (2020, p. 7).
Essas propriedades são a base de implementação dos objetivos a serem de�nidos, alcançados e
mantidos pela segurança de TI.
Siga em Frente...
Fundamentos iniciais importantes a serem discutidos acerca da
segurança da informação   
Além dos princípios, temos que compreender os conceitos que utilizaremos em toda esta
disciplina. Eles também estão de�nidos na ABNT NBR ISO/IEC 27001 e 27002.
Disciplina
Segurança e Auditoria de
Sistemas
Informação
É um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a
organização e consequentemente necessita ser adequadamente protegido (ABNT NBR 17999,
2005).
Ativo
É qualquer elemento que tenha valor para uma organização. Pode ser a informação,
equipamentos ou pessoas.
Agente de ameaça
É aquele que explora intencionalmente uma vulnerabilidade por meio de algum método ou
técnica de ataque.
Técnica de ataque
São de�nidos padrões de atividades ou métodos associados a um ator de ameaça especí�co ou
grupo de atores de ameaça.
Ameaça
Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou
organização. Caracterizada qualquer ação, acontecimento ou entidade que possa agir sobre um
ativo, pessoa ou processo. As ameaças só existem se houver vulnerabilidades.
Vulnerabilidade    
É uma de�nição importante em segurança da informação por se tratar do elemento que é
explorado em ataques. Uma vulnerabilidade é um ponto fraco que, uma vez explorado, resulta em
um incidente de segurança. Segundo a ISO/IEC 13335-1:2004, ela inclui fraquezas de um ativo ou
grupo de ativos que pode ser explorado por uma ameaça.
Os ataques sempre ocorrerão onde há as vulnerabilidades (pontos fracos) pessoais ou da
empresa. Por isso, a importância do conhecimento dessas fraquezas e o correto tratamento
delas em diversas camadas. Podemos ter vulnerabilidades de segurança da informação em
diversas amplitudes, como no ser humano, meio físico, hardware, protocolo, sistema operacional,
aplicação, rede, arquitetura, novas tecnologias, entre outros.
Controles
Disciplina
Segurança e Auditoria de
Sistemas
Englobam mecanismos de defesa e uso de medidas e técnicas de segurança de redes. Os
controles de segurança podem ser físicos, tecnológicos ou processos, e são aplicados nos ativos
para remover as vulnerabilidades.de riscos de segurança da
informação, tratamento de riscos de segurança da informação.
Avaliação de desempenho, com monitoramento, medição, análise e avaliação, além de
auditoria interna e análise crítica pela direção.
Melhoria, com tratamento de não conformidades e ação corretiva, além de melhoria
contínua.
Figura 2 | Requisitos de um SGSI. Fonte: Nakamura (2020,p. 43).
Siga em Frente...
Disciplina
Segurança e Auditoria de
Sistemas
Família ISO 27.000, ISO 19.011 e LGPD
A Família ISO 27000, a ISO 19011, a Norma ISO 27002 e a LGPD (Lei Geral de Proteção de Dados)
são importantes referências na área de segurança da informação e privacidade de dados, mas
têm diferentes focos e objetivos.
Vamos compreender um pouco das convergências e divergências entre elas.
Família ISO 27000
ISO 27001: De�ne os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).
Ajuda as organizações a estabelecerem e manterem um programa de segurança da informação
e�caz. Você pode obter certi�cação dessa norma.
ISO 27002: Oferece diretrizes e melhores práticas para implementar controles de segurança da
informação, complementando a ISO 27001.
ISO 27005: Foca na gestão de riscos de segurança da informação.
ISO 27701: Estende os princípios da ISO 27001 para abranger a privacidade de dados, com
ênfase na proteção de dados pessoais.
Todas as normas da família ISO 27000 têm o objetivo de promover a segurança da informação e
a gestão de riscos.
ISO 19011: Essa norma não trata diretamente da segurança da informação, mas sim da auditoria
de sistemas de gestão. Ela fornece diretrizes sobre como auditar sistemas de gestão, incluindo
SGSI baseados na ISO 27001. Ela pode ser usada para avaliar a conformidade com os requisitos
da ISO 27001.
LGPD (Lei Geral de Proteção de Dados)
A LGPD é uma legislação brasileira que trata da proteção de dados pessoais. Ela se concentra na
proteção da privacidade e nos direitos dos titulares de dados pessoais.
Embora a LGPD não seja uma norma técnica como as normas ISO, ela se relaciona com a
proteção de dados pessoais, alinhada com a ISO 27701. Ambas visam a proteção da privacidade
e dados pessoais, mas a LGPD é uma lei que impõe obrigações legais em organizações que
tratam dados pessoais, enquanto as normas ISO são voluntárias e focadas em boas práticas.
Em resumo, as normas da família ISO 27000 tratam principalmente da segurança da informação
e gestão de riscos, com a ISO 27701 estendendo essa abordagem para a privacidade de dados.
A ISO 19011 concentra-se na auditoria de sistemas de gestão, incluindo SGSI. Por outro lado, a
Disciplina
Segurança e Auditoria de
Sistemas
LGPD é uma legislação especí�ca de proteção de dados pessoais no Brasil, impondo obrigações
legais em organizações que lidam com esses dados. Elas podem ser complementares em
organizações que precisam atender a requisitos tanto de segurança da informação quanto de
privacidade de dados.
En�m, a segurança é de responsabilidade de todos, e não apenas da área de segurança da
empresa. De fato, basta um incidente para que toda a empresa seja comprometida: vírus,
vazamentos ou desenvolvimento de produtos vulneráveis que levam à má reputação (Nakamura;
Geus, 2007).
Vamos Exercitar?
Para promover uma cultura de segurança da informação e�caz e abordar os desa�os após a
violação de dados, é importante seguir alguns passos importantes; o primeiro é promover
educação e conscientização: implemente programas de treinamento regulares para funcionários
em todos os níveis da organização, destacando os riscos de segurança da informação e as
melhores práticas para evitá-los. Essa conscientização deve incluir a importância da proteção de
dados dos clientes. O segundo passo é fazer políticas de segurança claras que estabeleçam
diretrizes para o uso de tecnologia e dados. Certi�que-se de que todos os funcionários entendam
suas responsabilidades em relação à segurança da informação.
Saiba mais
Leia mais:
BRANQUINHO, T.; BRANQUINHO, M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021. Disponível em: Minha Biblioteca.
Em seu segundo capítulo (p. 177), Política de Segurança de Automação, é demonstrada a
importância da política de segurança da informação. Em seu décimo terceiro capítulo (p. 170),
são dispostas as normas e diversas informações sobre a Lei Geral de Proteção de Dados.
BARRETO, Jeanine S. et al. Fundamentos de segurança da informação. Porto Alegre: Grupo A,
2018. Disponível em: Minha Biblioteca
Em seu décimo terceiro capítulo (p  165), são apresentadas as Normas de segurança em TI, com
a família 27.000. 
Referências
Disciplina
Segurança e Auditoria de
Sistemas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS.  ABNT NBR ISO/IEC 27001:2013. Tecnologia
da informação. Técnicas de segurança. Sistemas de gestão da segurança da informação.
Requisitos. Rio de Janeiro, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉNICAS. ABNT NBR ISO/IEC 27002:2013. Tecnologia da
informação. Técnicas de segurança. Código de prática para controles de segurança da
informação. Rio de Janeiro, 2013.
BRANQUINHO, T.; BRANQUINHO, M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021.
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora Educacional S.A. 2020. 
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora Educacional S.A. 2020. 
NAKAMURA, E. T.; GEUS, P. L. de. Segurança de redes em ambientes cooperativos. São Paulo:
Novatec, 2007.
PALMA, F.  Sistema de Gestão de Segurança da Informação (SGSI). Portal GSTI.  Disponível em:
https://www.portalgsti.com.br/2016/12/sistema-de-gestao-de-seguranca-da-informacao-
sgsi.html   Acesso em: 24 out. 23.
Aula 2
Cultura de Segurança
Cultura de Segurança
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
https://www.portalgsti.com.br/2016/12/sistema-de-gestao-de-seguranca-da-informacao-sgsi.html
https://www.portalgsti.com.br/2016/12/sistema-de-gestao-de-seguranca-da-informacao-sgsi.html
Disciplina
Segurança e Auditoria de
Sistemas
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
Um ambiente de desenvolvimento con�ável em segurança da informação refere-se a um
conjunto de práticas, políticas, tecnologias e procedimentos implementados durante o processo
de desenvolvimento de software e sistemas para garantir que a segurança seja uma
consideração central desde o início.
Esse ambiente visa identi�car, mitigar e prevenir vulnerabilidades e ameaças de segurança em
aplicativos e sistemas, antes que se tornem vulnerabilidades em produção.
A ética desempenha um papel fundamental na segurança das informações das empresas, pois
envolve diretamente a maneira como os pro�ssionais tratam os dados, a privacidade dos
usuários e o uso responsável das tecnologias. A legislação brasileira garante o direito à
privacidade e a proteção de dados pessoais. É fundamental que os pro�ssionais de
cibersegurança respeitem esse direito e adotem medidas adequadas para garantir a
con�dencialidade e a privacidade das informações.
As tendências e o futuro da segurança da informação são moldados por tecnologias e ameaças
emergentes, com desa�os enormes na área de segurança da informação.
Pensando nesses diversos aspectos de segurança, o que você acha de emprestar seu login e
senha para um colega de trabalho? Será que esse favor compromete a segurança?
Vamos ampliar o conhecimento de aspectos importantes no ambiente de desenvolvimento
seguro, na ética ao tratarmos de segurança e nos desa�os futuros da cibersegurança. 
Vamos Começar!
Ambiente de desenvolvimento seguro
Um dos papéis mais importantes do pro�ssional de segurança da informação é fazer comque os
sistemas, plataformas ou aplicações de software sejam adotados pela empresa de uma forma
segura (ISO 27002, 2013).
O objetivo principal desse ambiente é garantir que os aplicativos e sistemas sejam projetados,
construídos e testados com a devida atenção à segurança, de modo a minimizar riscos e
vulnerabilidades.
Disciplina
Segurança e Auditoria de
Sistemas
Uma política segura de desenvolvimento considera:
Sempre desenvolver código criptografado é fundamental.
Utilizar HTTPS quando o sistema for utilizado em ambiente web.
Política de acesso ao sistema com uma política de senhas bem elaborada, com senhas
consideradas seguras utilizando a combinação de letras, números e caracteres especiais.
Proteger o acesso aos dados nos servidores com �rewall na entrada ou saída da rede.
De�nir uma política de privacidade e sempre a divulgar para os usuários.
Manter-se atualizado em como desenvolver utilizando conceitos de programação segura.
Um ambiente de desenvolvimento seguro é fundamental para prevenir violações de dados,
proteger informações sensíveis e garantir a integridade e disponibilidade dos sistemas de
informação. Ele faz parte de uma abordagem mais ampla de segurança da informação que
engloba desde o projeto até a manutenção de sistemas e aplicativos.
Siga em Frente...
Gerenciamento e aspectos operacionais da segurança de
sistemas (éticos e legais)
O gerenciamento e os aspectos operacionais da segurança de sistemas envolvem a gestão de
medidas éticas e legais para garantir que a informação e os sistemas de uma organização
estejam protegidos de maneira adequada. Vamos trazer algumas dessas medidas:
Políticas de segurança: estabelecê-las é fundamental. Essas políticas devem de�nir as
diretrizes e os princípios éticos para proteger a informação e os sistemas. Elas também
devem garantir que a organização esteja em conformidade com regulamentações legais,
como a LGPD (Lei Geral de Proteção de Dados).
Gestão de acesso: gerenciar quem tem acesso a sistemas e informações é uma parte
crítica da segurança. Isso inclui autenticação, autorização e a revisão regular dos direitos
de acesso para garantir que apenas pessoas autorizadas tenham acesso.
Proteção de dados pessoais: em conformidade com leis de privacidade, como o GDPR
(General Data Protection Regulation (GDPR), criada em 2016, que entrou em vigor a partir
de maio de 2018, na comunidade europeia), é fundamental proteger dados pessoais e
sensíveis. Isso envolve a anonimização, a criptogra�a e a implementação de medidas para
garantir a privacidade.
Ética no uso de dados: as organizações devem garantir que os dados sejam usados de
maneira ética e respeitosa, seguindo princípios como o consentimento informado e o
respeito à privacidade.
Auditoria e conformidade legal: realizar auditorias regulares ajuda a garantir que a
organização esteja em conformidade com regulamentações legais e éticas. Isso envolve a
revisão de práticas de segurança e o monitoramento da conformidade com as políticas.
Disciplina
Segurança e Auditoria de
Sistemas
Treinamento e conscientização: educar os funcionários sobre as melhores práticas de
segurança e as responsabilidades éticas é fundamental para criar uma cultura de
segurança.
Respeito à privacidade do usuário: essa é uma consideração ética crítica. Isso envolve a
transparência sobre a coleta e o uso de dados, bem como o consentimento do usuário.
Gerenciar aspectos operacionais e éticos da segurança de sistemas é vital para proteger
informações críticas, manter a con�ança dos clientes e parceiros e cumprir as leis e
regulamentos de privacidade de dados. Isso requer uma abordagem abrangente, que inclui
políticas, treinamento, práticas de segurança e uma cultura organizacional voltada para a ética e
a conformidade.
Tendências e futuro em segurança da informação
Quando falamos de tecnologias emergentes, podemos pensar em:
Inteligência Arti�cial e Machine Learning: estão sendo usadas para aprimorar a detecção
de ameaças, identi�car atividades suspeitas em tempo real e automatizar respostas a
incidentes de segurança.
Computação quântica: tem o potencial de quebrar algoritmos de criptogra�a atuais.
Portanto, o seu desenvolvimento criptográ�co é uma tendência para garantir a segurança
da informação no futuro.
Blockchain: é usada para garantir a integridade e autenticidade dos dados. Ela desempenha
um papel importante na proteção contra fraudes e na segurança de transações.
5G e Internet das Coisas (IoT): com a disseminação do 5G e o aumento de dispositivos IoT,
novos desa�os de segurança surgem. A proteção de redes e dispositivos conectados torna-
se uma prioridade.
Edge computing: a computação de borda traz o processamento mais próximo dos
dispositivos, o que exige abordagens de segurança especí�cas para proteger os dados
nesse ambiente distribuído.
Ameaças emergentes:
Ataques de Inteligência Arti�cial: os cibercriminosos podem usar IA para conduzir ataques
mais so�sticados e personalizados, tornando a defesa contra essas ameaças um desa�o.
Ataques a dispositivos IoT: com mais dispositivos IoT em uso, os atacantes têm como alvo
sistemas vulneráveis, aumentando o risco de invasões.
Ataques de ransomware aprimorados: continuam a evoluir, com mais táticas de dupla
extorsão e vazamento de dados para aumentar o impacto.
Deepfakes: a criação de conteúdo de áudio e vídeo falso usando IA apresenta ameaças à
autenticidade das informações.
Ciberataques estatais e guerras cibernéticas: o envolvimento de governos em ciberataques
é uma preocupação crescente, com ameaças que vão além do crime cibernético
Disciplina
Segurança e Auditoria de
Sistemas
convencional.
Para se preparar para o futuro em segurança da informação, as organizações precisam adotar
uma abordagem proativa. Isso inclui investir em tecnologias emergentes para melhorar a defesa,
adotar estratégias de segurança de múltiplas camadas e manter-se atualizado com as últimas
tendências e ameaças. A colaboração entre organizações e a partilha de informações também
desempenham um papel crucial na proteção contra ameaças emergentes.
Vamos Exercitar?
Você trabalha como administrador de sistemas de uma empresa de médio porte. Recentemente,
você descobriu que um de seus colegas, Maria, compartilhou sua senha de administrador com
outro colega, João, sem permissão. Maria alega que fez isso para ajudar João a realizar uma
tarefa urgente e que não viu nenhum problema nisso. Qual é a abordagem ética adequada a ser
tomada nessa situação?
Resolução:
A primeira ação ética a ser tomada é relatar imediatamente a situação à alta administração e à
equipe de segurança da informação. Compartilhar senhas sem autorização é uma violação séria
das políticas de segurança da empresa e pode comprometer a integridade dos sistemas e dos
dados.
Ao relatar a situação, é importante manter a con�dencialidade dos envolvidos. Não devem ser
divulgados detalhes pessoais ou acusações sem fundamento que possam prejudicar a
reputação dos colegas. A preocupação principal deve ser a segurança da informação.
Caberá à empresa conduzir uma investigação interna para entender as circunstâncias e a
extensão do compartilhamento não autorizado de senhas. Isso pode ajudar a determinar se
houve danos aos sistemas e aos dados.
Após a investigação, a empresa deve tomar medidas corretivas apropriadas. Isso pode incluir
treinamento adicional sobre políticas de segurança, restrições de acesso ou outras ações
disciplinares, dependendo da gravidade da violação.
Se esse fato aconteceu, pode ter havido uma falha da empresa também. A empresa deve
enfatizar a importância da segurança da informação e da ética no local de trabalho por meio de
treinamento regular e conscientização. Os funcionários devem entender os riscos associados ao
compartilhamento de senhas não autorizado.
Lembramos que, em questões de segurança da informação, a ética desempenha um papel crítico
na proteção dos dados, na manutenção da con�ança dos clientes e na conformidade com
Disciplina
Segurança e Auditoria de
Sistemas
regulamentaçõesde proteção de dados. Portanto, ações éticas devem ser priorizadas para
garantir a integridade e a segurança das informações da empresa.
Saiba mais
Dicas de leitura:
BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO
27002. 1. ed. Rio de Janeiro: Brasport, 2018. E-book. Disponível em:
https://plataforma.bvirtual.com.br. Acesso em: 27 out. 2023.
Veja o 5º capítulo (p. 67),  Políticas de segurança da informação, que demonstra a importância
da gestão de segurança da informação.
BRANQUINHO, T.; BRANQUINHO, M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021.
No módulo1 (p. 106), Automação Industrial e terrorismo cibernético, você �ca por dentro dos
riscos futuros.
GALLOTTI, Giocondo Marino Antonio (org.). Qualidade de software. 1. ed. São Paulo, SP: Pearson,
2017. E-book. Disponível em: https://plataforma.bvirtual.com.br. Acesso em: 27 out. 2023.
Nesse livro, podemos ter uma visão de ambiente seguro e qualidade de software.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2013. Tecnologia
da informação. Técnicas de segurança. Código de prática para controles de segurança da
informação. Rio de Janeiro, 2013.
BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO
27002. 1. ed. Rio de Janeiro: Brasport, 2018. E-book. Disponível em:
https://plataforma.bvirtual.com.br  Acesso em: 27 out. 2023.
BRANQUINHO, T.; BRANQUINHO, M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021.
GALLOTTI, G. M. A. (org.). Qualidade de software. 1. ed. São Paulo, SP: Pearson, 2017. E-book.
Disponível em: https://plataforma.bvirtual.com.br. Acesso em: 27 out. 2023.
https://plataforma.bvirtual.com.br/
https://plataforma.bvirtual.com.br/
https://plataforma.bvirtual.com.br/
https://plataforma.bvirtual.com.br/
Disciplina
Segurança e Auditoria de
Sistemas
Aula 3
Controle de Acesso e Autenticação
Controle de Acesso e Autenticação
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
O NIST Cybersecurity Framework (NIST, 2020) tem uma família de controles de segurança para o
controle de acesso. Esses controles são um dos principais alvos de avaliações em auditorias e
envolvem controles relacionados à identi�cação, autenticação e autorização.
Segundo Nakamura (2016, p. 35), há um ciclo fundamental relacionado a controles de segurança
que deve ser sempre cumprido. Os quatro destaques são: o controle de segurança deve ser
selecionado; o controle de segurança deve ser implementado; o controle de segurança deve ter
sua efetividade avaliada; e o controle de segurança deve ser monitorado.
Modelos e controle de acesso são fundamentais para a segurança da informação, permitindo
que as organizações gerenciem quem pode acessar sistemas, dados e recursos
Mecanismos de autenticação e autorização são componentes cruciais dos sistemas de
segurança de informação, garantindo que os usuários apropriados tenham acesso aos recursos
de maneira segura.
Disciplina
Segurança e Auditoria de
Sistemas
O gerenciamento de identidades, muitas vezes referido como Identity and Access Management
(IAM), em segurança da informação, é o processo de administrar e controlar a identidade e o
acesso dos usuários a sistemas, aplicativos, dados e recursos dentro de uma organização. O
objetivo principal é garantir que as identidades dos usuários sejam veri�cadas, autenticadas e
autorizadas adequadamente, minimizando riscos de segurança.
Mecanismos de controle são fundamentais. E se alguém, em uma instituição �nanceira, tivesse
acesso a seus dados �nanceiros e os usasse? 
Vamos Começar!
Conceitos de modelos e controles de acesso
Modelos de controle de acesso
Um modelo de acesso em segurança da informação é um conjunto de regras, diretrizes e
políticas que descrevem como os recursos da organização podem ser acessados e utilizados por
indivíduos ou sistemas. Ele de�ne as estratégias e abordagens para controlar quem pode
acessar quais recursos e sob quais condições. Vamos trazer alguns desses modelos:
DAC (Controle de Acesso Discretional): nesse modelo, os proprietários dos recursos
determinam quem tem permissão para acessá-los. Cada usuário pode controlar o acesso a
seus próprios recursos. É um modelo �exível, mas pode ser vulnerável se as permissões
não forem con�guradas corretamente.
MAC (Controle de Acesso Mandatório): é baseado em políticas de�nidas por
administradores ou regulamentações. Os usuários não têm controle sobre as permissões.
É comumente usado em ambientes governamentais e militares.
RBAC (Controle de Acesso Baseado em Funções): o acesso é concedido com base nas
funções dos usuários na organização. Os usuários são atribuídos a funções que de�nem
suas permissões. É e�caz para gerenciar grandes grupos de usuários.
ABAC (Controle de Acesso Baseado em Atributos): permite o controle de acesso com base
em diversos atributos, como identidade do usuário, tipo de dispositivo, localização e
horário. Isso proporciona um alto grau de �exibilidade.
Controle de acesso
Os controles de acesso são mecanismos técnicos e procedimentais que implementam as
políticas de segurança de�nidas pelo modelo de acesso. Eles são responsáveis por garantir que
apenas usuários autorizados tenham acesso aos recursos de uma organização.
Autenticação: é o processo de veri�car a identidade do usuário. Isso pode envolver senhas,
autenticação de dois fatores (2FA), autenticação biométrica, etc.
Disciplina
Segurança e Auditoria de
Sistemas
Autorização: após a autenticação, a autorização determina quais ações um usuário pode
realizar. Isso está relacionado às permissões de acesso.
Auditoria: o monitoramento e registro de atividades de acesso são essenciais para a
segurança. A auditoria ajuda a identi�car comportamentos suspeitos e manter um histórico
de eventos.
Políticas de acesso: de�nem as regras que determinam quem tem acesso a recursos
especí�cos. Elas são um componente crítico do controle de acesso.
Controle de privacidade: deve estar em conformidade com regulamentos de privacidade,
como a LGPD e o GDPR, garantindo que dados pessoais sejam protegidos.
Proteção contra ameaças internas: os sistemas de controle de acesso devem lidar com
ameaças internas, como funcionários mal-intencionados ou descuidados.
Gestão de Identidade e Acesso (IAM): IAM envolve o gerenciamento de identidades de
usuários, incluindo a criação, modi�cação e exclusão de contas de usuário, bem como o
gerenciamento de direitos de acesso.
Modelos e controle de acesso desempenham um papel fundamental na garantia da segurança
da informação, protegendo ativos, sistemas e dados contra acessos não autorizados e ajudando
as organizações a cumprir regulamentações de segurança e privacidade.
Siga em Frente...
Mecanismos de autenticação e autorização
Para Silva (2023, p. 200), a tecnologia AAA (autenticação, autorização e auditoria), permite a
autenticação e a autorização dos usuários baseadas no ID de usuário e senha.   Temos algumas
formas de trabalhar a autenticação:    
Senha: a autenticação baseada em senha é a forma mais comum, em que os usuários
fornecem uma combinação de nome de usuário e senha para veri�car sua identidade. É
importante usar senhas fortes e implementar políticas de mudança regular de senhas.
Autenticação de dois fatores (2FA): o 2FA adiciona uma camada extra de segurança,
exigindo, além da senha, algo que o usuário possui (como um token ou aplicativo móvel)
para veri�car sua identidade.
Biometria: envolve a veri�cação da identidade do usuário com base em características
físicas, como impressõesdigitais, íris ou reconhecimento facial.
Certi�cados digitais: são emitidos por autoridades de certi�cação e são usados para
autenticar a identidade de usuários ou sistemas.
Na autorização, como já explicado, temos o DAC, MAC,RBAC e ABAC, que trabalham conforme
determinação das permissões que um usuário tem após a autenticação. Isso envolve a
atribuição de direitos de acesso especí�cos com base no modelo de acesso de�nido.
Disciplina
Segurança e Auditoria de
Sistemas
Temos também, na autorização:
Políticas de acesso.
Auditoria e monitoramento.
Proteção contra ameaças internas.
Gestão de identidade e acesso (IAM).
Mecanismos de autenticação e autorização são essenciais para proteger sistemas e dados,
garantindo que apenas usuários autorizados tenham acesso a recursos especí�cos e que suas
identidades sejam veri�cadas de maneira segura. O uso adequado desses mecanismos é
fundamental para a segurança da informação e a conformidade com regulamentações de
privacidade e segurança.
Sistemas de gerenciamento de identidades
Os Sistemas de Gerenciamento de Identidades (Identity and Access Management - IAM) são
ferramentas e estruturas que auxiliam na administração e controle de identidades de usuários
em um ambiente de tecnologia.
Autenticação e autorização: os IAM fornecem mecanismos de autenticação para veri�car a
identidade dos usuários, como senhas, autenticação de dois fatores (2FA), biometria e
certi�cados digitais. Além disso, esses sistemas gerenciam a autorização, controlando o
acesso dos usuários a recursos com base em suas permissões.
Centralização de identidades: permitem que as organizações centralizem o gerenciamento
de identidades de usuários, tornando mais e�ciente a criação, modi�cação e exclusão de
contas de usuário em diversos sistemas e aplicativos.
Controle de acesso: esses sistemas oferecem recursos para con�gurar e controlar
permissões de acesso de usuários a aplicativos e recursos, garantindo que apenas os
usuários autorizados tenham acesso.
Self-Service: muitos IAM permitem que os usuários gerenciem suas próprias informações
de identidade, como a rede�nição de senhas, atualização de informações de contato e
solicitações de acesso a novos recursos.
Proteção de dados e privacidade: os IAM são projetados para proteger os dados pessoais
dos usuários e garantir a conformidade com regulamentos de privacidade, como o GDPR e
a LGPD.
Auditoria e monitoramento: registram e monitoram as atividades de identidade e acesso,
permitindo a detecção de atividades suspeitas e a geração de relatórios para �ns de
conformidade e segurança.
Federated Identity: os sistemas de gerenciamento de identidades também suportam a
autenticação federada, permitindo que os usuários acessem recursos em várias
organizações com uma única identidade.
Gestão de senhas e autenticação única (Single Sign-On - SSO): alguns IAM oferecem
funcionalidades de gestão de senhas e SSO, permitindo que os usuários acessem vários
aplicativos com uma única autenticação.
Disciplina
Segurança e Auditoria de
Sistemas
Integração de diretórios: eles integram-se a diretórios de usuários, como o Active Directory,
para simpli�car o gerenciamento de identidades.
Gestão de ciclo de vida da identidade: os IAM automatizam tarefas relacionadas ao ciclo de
vida da identidade, como a criação de contas, atribuição de funções, atualizações e
desativação de contas de usuário.
Os sistemas de gerenciamento de identidades desempenham um papel fundamental na
segurança, e�ciência e conformidade das organizações, facilitando o gerenciamento de
identidades de usuários em ambientes complexos de TI e ajudando a garantir o acesso seguro a
sistemas e dados.
Vamos Exercitar?
Uma organização �nanceira está enfrentando problemas de segurança e compliance devido a
falhas em seus mecanismos de autenticação e autorização. Recentemente, houve um incidente
em que um funcionário, inadvertidamente, teve acesso a informações con�denciais de clientes e
realizou transações não autorizadas em nome deles. Isso causou não apenas perdas �nanceiras
signi�cativas, mas também danos à reputação da empresa. Quais são os mecanismos de
autenticação que podem ser implementados para garantir que apenas os funcionários
autorizados tenham acesso aos sistemas e dados sensíveis?
Resolução:
Para melhorar a autenticação, a organização pode implementar a autenticação de dois fatores
(2FA) para todos os funcionários, exigindo que eles forneçam não apenas uma senha, mas
também um segundo fator, como um código enviado por SMS ou gerado por um aplicativo de
autenticação. Isso torna mais difícil para os funcionários mal-intencionados ou invasores
obterem acesso não autorizado.
Saiba mais
Leia mais:
TOMAZ, Raphael. Gestão estratégica e inteligência na segurança privada. 1. ed. Curitiba, PR:
Intersaberes, 2023. E-book. Disponível em: https://plataforma.bvirtual.com.br. Acesso em: 27 out.
2023.
O terceiro capítulo (p.121), 3.2.Controles em segurança, aborda como trabalhar com controles
em segurança da informação.
https://plataforma.bvirtual.com.br/
Disciplina
Segurança e Auditoria de
Sistemas
SILVA, Michel Bernardo Fernandes da. Cibersegurança: uma visão panorâmica sobre a segurança
da informação na internet. 1. ed. [S.l.]: Freitas Bastos, 2023. E-book. Disponível em:
https://plataforma.bvirtual.com.br. Acesso em: 27 out. 2023.
No sétimo capítulo (p. 200), Autorização, autenticação e auditoria (AAA), são especi�cadas
de�nições e utilizações de cada um dos processos.
BAARS, Hans et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO
27002. 1. ed. Rio de Janeiro: Brasport, 2018. E-book. Disponível em:
https://plataforma.bvirtual.com.br.  Acesso em: 27 out. 2023.
No nono capítulo (p. 88), 9.4 - Acesso a sistemas e aplicações, são especi�cados controles e
gerenciamentos. 
Referências
Cybersecurity Framework. The Five Functions. NIST, 2020. Disponível em:
https://www.nist.gov/cyberframework/online-learning/�ve-functions  Acesso em: 11 out. 23
NAKAMURA, E. T. Segurança da informação e de redes. Londrina. Editora e Distribuidora
Educacional S. A., 2016.
SILVA, M. B. F. da. Cibersegurança: uma visão panorâmica sobre a segurança da informação na
internet. 1. ed. [S.l.]: Freitas Bastos, 2023. E-book. Disponível em:
https://plataforma.bvirtual.com.br  Acesso em: 27 out. 2023.
Aula 4
Armazenamento de Dados
Armazenamento de Dados
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
https://plataforma.bvirtual.com.br/
https://plataforma.bvirtual.com.br/
https://www.nist.gov/cyberframework/online-learning/five-functions
https://plataforma.bvirtual.com.br/
Disciplina
Segurança e Auditoria de
Sistemas
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
O ciclo de vida dos dados em segurança da informação é um conceito que descreve as
diferentes fases pelas quais os dados passam desde a sua criação até o seu descarte. Cada fase
do ciclo de vida dos dados apresenta desa�os especí�cos relacionados à segurança, privacidade
e conformidade.
Para Branquinho e Branquinho (2021, p. 338), os serviços em nuvem foram criados para resolver
a situação de armazenamento de muitos dados sem a ampliação física de hardware para
armazenamento de dados nas redes.
Pode ser chamada de cloud computing a computação em nuvem, ou a disponibilidade de
recursos computacionais, incluindo o armazenamento e a análise de dados para diversas
utilizações. A computação em nuvem aumenta o poder computacional de empresas e de
usuários comuns, como também melhora muito a disponibilidade e a mobilidade em relação às
informações acessadas.
A computação em nuvem tem características importantes.Ela pode ser modelada conforme os
objetivos especí�cos, porém apresenta sempre bastante elasticidade e amplo acesso à rede.
Graças a isso, é possível construir imensos bancos de dados de um modo organizado. Essa
organização permite compreender os dados conforme as necessidades de cada segmento da
indústria.
A gestão de acesso a dados é um processo contínuo que requer monitoramento constante e
adaptação às mudanças nas necessidades da organização e no cenário de ameaças de
segurança. Implementar boas práticas de gestão de acesso ajuda a proteger os dados sensíveis
e a manter a integridade da segurança da informação da organização.
E se você fosse diretor de TI de um hospital de câncer, que coleta e armazena dados sensíveis de
pacientes, contando com a con�dencialidade entre médico e paciente. Se as informações
vazassem? 
Vamos Começar!
Disciplina
Segurança e Auditoria de
Sistemas
Anonimização de dados, classi�cação, retenção e destruição da
informação (ciclo de vida dos dados/tratamento de dados)
Para Rothman (2020, p. 1), um dado possui um ciclo de vida da criação à destruição. O ciclo de
vida dos dados é um processo que abrange a coleta, classi�cação, retenção e destruição de
informações. Um elemento importante desse ciclo é a anonimização de dados, que visa proteger
a privacidade das informações.
A anonimização de dados é o processo de tornar os dados pessoais não identi�cáveis,
removendo ou mascarando informações que poderiam identi�car um indivíduo. Isso é feito
para proteger a privacidade dos dados e cumprir regulamentações de privacidade. Segundo
a Lei Geral de Proteção de Dados Pessoais (LGPD), a anonimização é a utilização de meios
técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado
perde a possibilidade de associação, direta ou indireta, a um indivíduo (LGPD, 2020).
A classi�cação de dados envolve a categorização das informações com base em seu nível
de sensibilidade e importância. Isso ajuda a determinar como os dados devem ser tratados,
armazenados e protegidos. Por exemplo, os dados podem ser classi�cados como públicos,
internos, con�denciais ou altamente con�denciais.
A retenção de dados refere-se à política que determina por quanto tempo as informações
devem ser mantidas antes de serem destruídas. Essa política é frequentemente baseada
em regulamentações e requisitos legais, bem como em considerações de negócios. A
retenção excessiva de dados pode representar riscos de segurança e privacidade.
A destruição de dados é o processo de eliminar informações de maneira segura e
irrecuperável quando não são mais necessárias. Isso pode envolver a eliminação de cópias
físicas e eletrônicas de dados. A destruição inadequada de dados pode resultar em
vazamentos de informações con�denciais.
O ciclo de vida dos dados é fundamental para garantir que as organizações coletem, armazenem
e utilizem informações de maneira responsável e segura. A anonimização, a classi�cação, a
retenção adequada e a destruição segura de dados desempenham papéis críticos nesse
processo, assegurando a proteção da privacidade, a conformidade regulatória e a segurança das
informações.
Con�abilidade de segurança de dados em cloud
A con�abilidade da segurança de dados em ambientes de computação em nuvem é fundamental
para proteger informações críticas em um ambiente altamente dinâmico e compartilhado. Temos
algumas medidas fundamentais:
A con�abilidade de segurança em cloud envolve a implementação de várias camadas de
proteção, incluindo controles de acesso, criptogra�a, detecção de intrusões e
monitoramento constante. Cada camada aborda ameaças em diferentes pontos do
ambiente de nuvem.
Disciplina
Segurança e Auditoria de
Sistemas
Gerenciamento de Identidade e Acesso (IAM) são cruciais para garantir que apenas
usuários autorizados tenham acesso a recursos na nuvem. Isso inclui autenticação de
múltiplos fatores, gerenciamento de permissões e auditorias de acesso.
A criptogra�a é usada para proteger dados em repouso, em trânsito e em uso na nuvem.
Isso garante que, mesmo que os dados sejam comprometidos, eles permaneçam
inacessíveis para terceiros não autorizados.
A con�abilidade da segurança requer monitoramento contínuo e auditoria das atividades na
nuvem para identi�car comportamentos suspeitos, violações de segurança e garantir a
conformidade.
A con�abilidade é reforçada com redundância de dados e sistemas. A nuvem geralmente
oferece soluções de fail over e backup para manter a disponibilidade dos serviços, mesmo
em caso de falhas.
Para organizações sujeitas a regulamentações especí�cas, como, por exemplo, LGPD, é
fundamental garantir que a infraestrutura em nuvem esteja em conformidade com os
requisitos de segurança e privacidade.
A con�abilidade da segurança também depende do treinamento e conscientização dos
funcionários sobre as melhores práticas de segurança na nuvem e a identi�cação de
ameaças.
Um fator importante é a capacidade de se recuperar de eventos catastró�cos, como
desastres naturais ou ataques cibernéticos. Ter planos de contingência e recuperação é
essencial.
Testes regulares de segurança, como testes de penetração e avaliações de vulnerabilidade,
são importantes para identi�car e corrigir possíveis pontos fracos na segurança.
Ao utilizar serviços de provedores de nuvem, é fundamental entender os acordos de nível
de serviço (SLA) e as responsabilidades de segurança compartilhadas. Parcerias com
provedores con�áveis são essenciais.
A con�abilidade da segurança de dados em ambientes de nuvem é um desa�o contínuo que
requer uma abordagem abrangente e uma combinação de medidas de segurança para garantir
que os dados permaneçam protegidos, mesmo em um ambiente compartilhado e altamente
dinâmico como a nuvem.
Siga em Frente...
Gestão de acesso de dados
A gestão de acesso de dados é uma prática fundamental para garantir que apenas usuários
autorizados tenham acesso a informações especí�cas, enquanto se protege a privacidade e a
segurança dos dados. Para isso, necessitamos seguir uma série de recomendações:
Identi�que os tipos de dados que sua organização possui e quais são críticos para suas
operações e compliance.
Disciplina
Segurança e Auditoria de
Sistemas
Classi�que os dados em categorias (por exemplo, dados públicos, con�denciais, pessoais)
com base em sua importância e sensibilidade.
Crie políticas de acesso que estabeleçam quem tem permissão para acessar quais tipos de
dados.
Baseie essas políticas em princípios de "menos privilégios", o que signi�ca que os usuários
devem ter apenas as permissões necessárias para realizar suas tarefas.
Implemente mecanismos de autenticação robustos, como senhas fortes, autenticação de
dois fatores (2FA) e biometria, para garantir que apenas os usuários legítimos acessem o
sistema.
Con�gure sistemas de autorização para controlar o acesso com base nas políticas
de�nidas, permitindo ou negando permissões de acordo com a identidade do usuário.
Adote o modelo de controle de acesso baseado em função, que associa permissões com
funções especí�cas dentro da organização.
Atribua a cada usuário uma função com as permissões adequadas com base em suas
responsabilidades.
Implemente sistemas de auditoria para registrar atividades de acesso a dados.
Monitore continuamente as atividades de acesso para identi�car qualquer comportamento
suspeito ou violações de segurança.
Implemente um sistema de gerenciamento de identidade e acesso (IAM) para centralizar o
controle das identidades dos usuários, autenticação e autorização.
Use o IAM para facilitar a criação, modi�cação e desativação de contas de usuário.
Treine os funcionários e usuários com as políticas de segurança da informação, incluindo o
acesso a dados.
Incentive a conscientização sobre a importância de manter as credenciais de acesso em
segurança.
Revise periodicamente as políticas de acesso e permissões para garantir que estejam
alinhadas com as necessidades da organização.
Faça atualizações conforme novos dados são adquiridos e as responsabilidades dos
usuários mudam.Desenvolva um plano de resposta a incidentes para lidar com violações de segurança ou
acessos não autorizados. Isso inclui ação imediata para conter o incidente, investigação e
noti�cação adequada, conforme exigido por regulamentações.
Esteja ciente das regulamentações de segurança de dados relevantes para sua indústria e
localização e garanta que suas práticas de gerenciamento de acesso estejam em
conformidade.
A gestão de acesso de dados é essencial para garantir que as informações permaneçam
seguras, que os usuários acessem apenas o que é apropriado e que as organizações estejam em
conformidade com regulamentações de privacidade e segurança de dados. Ela desempenha um
papel crítico na prevenção de violações de segurança e na proteção da integridade dos dados.
Vamos Exercitar?
Disciplina
Segurança e Auditoria de
Sistemas
Uma organização de saúde, responsável por coletar e armazenar dados sensíveis de pacientes
de câncer, está enfrentando desa�os relacionados ao ciclo de vida dos dados e ao tratamento de
dados em segurança da informação. Recentemente, a organização detectou uma violação de
dados que resultou na exposição não autorizada de informações médicas con�denciais de
pacientes. Isso levantou preocupações sérias com a privacidade e a conformidade regulatória.
Como a organização pode melhorar a identi�cação e classi�cação de dados de pacientes para
garantir que as informações sensíveis sejam devidamente protegidas em todas as fases do ciclo
de vida dos dados?
Resolução:
A organização deve implementar um sistema de classi�cação de dados que identi�que
informações médicas con�denciais. Isso permite que os dados sejam categorizados de acordo
com sua sensibilidade e aplicadas medidas de segurança adequadas, como criptogra�a e
controle de acesso rigoroso.
Saiba mais
Leia mais:
BRANQUINHO, Thiago; BRANQUINHO, Marcelo. Segurança Cibernética Industrial. São Paulo: Alta
Books, 2021. Disponível em: Minha Biblioteca.
O Módulo 4 (p. 306) - Segurança Cibernética para a transformação digital, aborda a computação
em nuvem com suas ameaças.
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora Educacional S.A. 2020. 
No segundo capítulo, Cultura de segurança, são tratados gestão de segurança, anonimização e
classi�cação de dados. 
Referências
BRANQUINHO, T.; BRANQUINHO, M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD), 2020.  Presidência da República -
Secretaria-Geral - Subche�a para Assuntos Jurídicos. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm   Acesso em: 25 out.
23.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Disciplina
Segurança e Auditoria de
Sistemas
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora Educacional S.A. 2020.
ROTHMAN, M. Data Security in the SaaS Age: Focus on What You Control.  Securosis. June 15,
2020. Disponível em: https://securosis.com/blog/data-security-in-the-saas-age-focus-on-what-
you-control   Acesso em: 12 out. 23.   
Aula 5
Encerramento da Unidade
Videoaula de Encerramento
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Chegada
Olá, estudante! Para desenvolver a competência desta Unidade, que é conhecer os aspectos não
tecnológicos da segurança da informação, percorremos o conhecimento das políticas de
segurança da informação, vimos como se cria a cultura de segurança na empresa, passamos
mais detalhadamente pelos controles de autenticação e autorização, vimos o gerenciamento de
identidades e até nos deparamos com tecnologias e problemas emergentes.
Vimos a necessidade de que tudo que construímos no universo cibernético tem que estar em um
ambiente de desenvolvimento seguro, nos atentamos aos cuidados com os dados e as
informações que estão ao nosso alcance e a melhor forma de fazermos a proteção de todas
essas facetas desse diversi�cado universo.
https://securosis.com/blog/data-security-in-the-saas-age-focus-on-what-you-control
https://securosis.com/blog/data-security-in-the-saas-age-focus-on-what-you-control
Disciplina
Segurança e Auditoria de
Sistemas
Proteção é cada vez mais a palavra de ordem. Pensemos muito nisso.
Para Baars (2018), ao estabelecer uma política para a segurança da informação, a administração
provê as diretivas e o apoio para a organização. Essa política deve ser escrita em conformidade
com os requisitos do negócio, bem como com as leis e regulamentos relevantes.
Nakamura (2020) a�rma que a assinatura do termo de ciência e responsabilidade por todos deve
ser obrigatória e faz com que ninguém possa alegar que foi o pivô de um incidente de segurança
ou privacidade por engano, ou porque não sabia que não poderia ter realizado determinadas
ações que eram explicitamente contrárias à política de segurança e privacidade da empresa.
Um sistema desenvolvido fora de um modelo seguro pode permitir vulnerabilidades e causar
danos irreparáveis. Um único ataque pode custar até milhões de reais a uma instituição e os
prejuízos podem ir muito além do �nanceiro da empresa, atingindo tanto a vida �nanceira quanto
privada de seus usuários. Sistemas vulneráveis são prejudiciais à reputação de uma empresa e
afetam negativamente a con�ança do usuário em relação a esses sistemas, gerando possíveis
perdas de usuários e clientes.
Por meio da implementação de mecanismos de autenticação e autorização robustos, juntamente
com um monitoramento e treinamento e�cazes, a organização pode reduzir os riscos de acesso
não autorizado e melhorar sua postura de segurança, garantindo, ao mesmo tempo, a
conformidade com regulamentações de privacidade e segurança de dados.
Para Branquinho e Branquinho (2021), apesar de as nuvens garantirem um armazenamento
maior de dados, elas podem apresentar alguns pontos bastante problemáticos para a segurança
cibernética. Entre eles, está o acesso compartilhado. A computação em nuvem é baseada no
modelo multitenancy, em que uma única instância lógica é compartilhada por centenas de
clientes.
Tecnologias emergentes são inovações tecnológicas que estão começando a ganhar destaque e
uso generalizado. Elas têm o potencial de impactar signi�cativamente diversos setores e
transformar a maneira como as organizações operam. Algumas das tecnologias emergentes
comumente discutidas incluem inteligência arti�cial, blockchain, Internet das Coisas (IoT),
computação em nuvem, realidade virtual e aumentada, automação e muitas outras.
Embora essas tecnologias ofereçam oportunidades para melhorar a e�ciência, a inovação e a
competitividade, elas também trazem consigo desa�os de segurança da informação.
A abordagem mais e�caz é uma combinação de políticas de segurança sólidas, controles de
autenticação e autorização adequados e a capacidade de se adaptar às tecnologias emergentes.
Isso cria uma estrutura abrangente, que ajuda a minimizar riscos, proteger ativos de informação
e se manter à frente das ameaças em constante evolução. Além disso, é importante que todas
essas práticas sejam parte de um programa de segurança da informação bem estruturado e que
receba suporte e comprometimento da alta administração da organização. 
Disciplina
Segurança e Auditoria de
Sistemas
É Hora de Praticar!
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Imagineque você é o diretor de segurança da informação de uma empresa de software que
desenvolve aplicativos de gerenciamento �nanceiro. A empresa lida com dados �nanceiros
sensíveis de clientes e deve cumprir rigorosas políticas de segurança de dados e
regulamentações de privacidade, como a Lei Geral de Proteção de Dados (LGPD).
Recentemente, um dos desenvolvedores de software da empresa, Lucas, descobriu uma
vulnerabilidade crítica em um dos aplicativos que poderia permitir que dados �nanceiros
con�denciais dos clientes fossem acessados por terceiros. Em vez de relatar a vulnerabilidade
ao departamento de segurança da informação, Lucas decidiu explorá-la secretamente para
ganhar vantagem �nanceira pessoal, lucrando com informações privilegiadas.
Além disso, ele compartilhou essas informações com um amigo que trabalha em uma empresa
concorrente. Isso resultou em um vazamento de dados �nanceiros de vários clientes, causando
sérios danos à reputação da empresa, bem como implicações legais, já que a empresa está em
violação das leis de proteção de dados.
Quais atitudes devem ser tomadas?
Como devemos estruturar bem uma política de segurança e fazer todos os funcionários a
seguirem?
Será que conseguiremos combater as ameaças emergentes na mesma proporção que as
tecnologias são criadas?
Será que, com a Inteligência Arti�cial na segurança da informação, estaremos mais livres
de todos os ataques? 
A situação apresentada envolve uma quebra ética séria e várias violações, incluindo:
Quebra de política de segurança da informação: Lucas violou as políticas de segurança da
informação da empresa ao não relatar a vulnerabilidade e, em vez disso, explorá-la para
benefício pessoal.
Quebra de desenvolvimento de software seguro: a ética no desenvolvimento de software
envolve a responsabilidade de identi�car e corrigir vulnerabilidades em vez de explorá-las
para ganho pessoal. Lucas não cumpriu essa responsabilidade.
Quebra de legislação de proteção de dados: a empresa está agora em violação das leis de
proteção de dados devido ao vazamento de informações con�denciais dos clientes,
causado pelas ações de Lucas.
Disciplina
Segurança e Auditoria de
Sistemas
A resposta a essa situação deve incluir:
A imediata interrupção das ações de Lucas e a remoção da vulnerabilidade.
Uma investigação interna para entender a extensão do vazamento de dados e suas
implicações legais.
A cooperação com as autoridades regulatórias e a noti�cação adequada dos clientes
afetados.
Tomar medidas disciplinares contra Lucas, que podem incluir demissão, e considerar
medidas legais, dependendo da gravidade das violações.
Revisar e aprimorar os processos de segurança de software e a conscientização dos
funcionários para evitar futuras quebras éticas e violações de segurança da informação.
Essa situação destaca a importância da ética, do desenvolvimento de software seguro e do
cumprimento das leis de proteção de dados na segurança da informação, e a necessidade de
uma resposta ética rigorosa para lidar com tais violações.
Disciplina
Segurança e Auditoria de
Sistemas
BAARS, H. et al. Fundamentos de segurança da informação: com base na ISO 27001 e na ISO
27002. 1. ed. Rio de Janeiro: Brasport, 2018.
Disciplina
Segurança e Auditoria de
Sistemas
BRANQUINHO, T.; BRANQUINHO; M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021.
Cybersecurity Framework. The Five Functions. NIST. 2020. Disponível em:
https://www.nist.gov/cyberframework/online-learning/�ve-functions  Acesso em: 11 out. 23.
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora educacional S.A. 2020.
,
Unidade 3
Segurança na Internet, Dispositivos Móveis e Testes de Intrusão
Aula 1
Segurança na Internet
Segurança na Internet
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
A cada dia, a utilização de serviços na web aumenta, propiciando vulnerabilidades e facilitando
ataques. Com frequência, são observadas falhas nas aplicações web, como a vulnerabilidade
das páginas, servidores e transição de dados a bancos de dados.
https://www.nist.gov/cyberframework/online-learning/five-functions
Disciplina
Segurança e Auditoria de
Sistemas
Vulnerabilidades comuns em aplicações web são falhas, erros ou fraquezas que podem ser
explorados por invasores para comprometer a segurança de uma aplicação web. Essas
vulnerabilidades podem permitir que atacantes obtenham acesso não autorizado, manipulem
dados, causem interrupções no serviço ou executem atividades maliciosas na aplicação.
A segurança envolve as transações Web, que devem ser protegidas principalmente dos dados
que trafegam pela internet. Os dados dos usuários são cada vez mais valiosos, já que podem ser
utilizados em diversos golpes.
Após o entendimento dos principais ataques na internet e as particularidades da segurança em
dispositivos móveis, iremos abordar uma das principais atividades de pro�ssionais de segurança
da informação, que leva ao entendimento do ambiente, dos componentes ou ativos e das
vulnerabilidades que podem ser exploradas em ataques. A proteção contra ataques de injeção
(como SQL Injection) e Cross-Site Scripting (XSS) é fundamental para garantir a segurança de
aplicações web.
O desenvolvimento web seguro é uma parte essencial da construção de aplicações online
robustas e con�áveis. A segurança deve ser incorporada desde o início do processo de
desenvolvimento para mitigar ameaças cibernéticas e proteger os dados sensíveis dos usuários
Você já se sentiu inseguro ao navegar por um site? Viu pop-ups ou mensagens que você não
autorizou? O que pode ser isso?
Vamos Começar!
Vulnerabilidades comuns em aplicações web
Para Agra (2019), a internet é utilizada para inúmeras atividades, como serviços bancários,
compras, educação, comunicação, notícias, entretenimento, redes sociais, etc. Pelo fato de ter
grande acesso e estar em constante ascensão, há uma preocupação com a segurança das
informações e a privacidade na web. Vamos veri�car algumas dessas vulnerabilidades:
Injeção de SQL (SQL Injection): essa vulnerabilidade ocorre quando os invasores inserem
comandos SQL maliciosos em campos de entrada da aplicação. Isso pode permitir que
hackers acessem, modi�quem ou excluam dados do banco de dados.
Cross-Site Scripting (XSS): atacantes inserem scripts maliciosos em páginas da web que
são, então, executados nos navegadores dos usuários �nais. Isso pode permitir o roubo de
informações de sessão ou a exibição de conteúdo malicioso.
Cross-Site Request Forgery (CSRF): nesse tipo de ataque, os invasores induzem os usuários
a executar ações não intencionais em uma aplicação, explorando a con�ança do navegador
do usuário.
Disciplina
Segurança e Auditoria de
Sistemas
Autenticação fraca: senhas fracas ou métodos de autenticação inseguros podem permitir
que invasores adivinhem ou crackeiem credenciais de acesso.
Injeção de código no lado do servidor (Server-Side Code Injection): ataques como a injeção
de PHP permitem que os invasores executem código no lado do servidor, comprometendo
o sistema.
Con�gurações incorretas de segurança: erros de con�guração, como permissões
excessivas de arquivo ou falta de atualizações de segurança, podem abrir portas para
invasores.
Integração de componentes não con�áveis: usar componentes de terceiros sem veri�car
sua segurança pode introduzir vulnerabilidades na aplicação.
Controle de acesso insu�ciente: pode permitir que usuários não autorizados acessem
funcionalidades restritas.
Vulnerabilidades de File Upload: permitir que os usuários façam upload de arquivos sem
veri�car sua segurança poderesultar em execução de código malicioso.
Falhas de segurança na API: aplicações web modernas frequentemente dependem de API.
Vulnerabilidades em API podem expor dados sensíveis ou permitir ações não autorizadas.
Compreender e corrigir essas vulnerabilidades é fundamental para garantir a segurança de
aplicações web. Testes de penetração, revisões de código e a implementação de práticas de
segurança, como a validação de entradas e a atualização regular de componentes, são medidas
importantes para mitigar essas vulnerabilidades, não permitindo que se tornem ameaças ou
ataques concretizados, com consequências prejudiciais.
Proteção contra-ataques de injeção, cross-site scripting, entre
outros
Proteger uma aplicação web contra ataques de injeção, cross-site scripting e outras
vulnerabilidades é uma parte crítica da segurança da informação.
1. Injeção (como SQL Injection). Ao construir consultas SQL dinâmicas, utilize parâmetros
preparados ou consultas parametrizadas. Isso evita a injeção de código SQL, pois os
valores dos parâmetros são tratados separadamente do comando SQL. Pode-se fazer a
validação e sanitização em todas as entradas do usuário. Certi�que-se de que apenas
dados válidos sejam aceitos e que qualquer entrada suspeita seja rejeitada ou tratada de
forma segura. Nunca con�e nas entradas do usuário, especialmente quando se trata de
consultas de banco de dados; valide e trate sempre as entradas de forma defensiva.
2. Cross-Site Scripting (XSS) Escape HTML e JavaScript. Ao exibir dados fornecidos pelo
usuário em páginas da web, escape todos os caracteres especiais de HTML e JavaScript,
pois isso impede que scripts maliciosos sejam executados no navegador do usuário. Com
o Content Security Policy (CSP), implemente uma política de segurança de conteúdo (CSP)
que especi�que de onde os recursos podem ser carregados. Isso ajuda a mitigar o risco de
injeção de scripts.
Disciplina
Segurança e Auditoria de
Sistemas
3. Cross-Site Request Forgery (CSRF). Implemente tokens anti-CSRF para veri�car a
legitimidade das solicitações. Esses tokens são incluídos nas solicitações e veri�cados no
servidor. Sempre exija autenticação para a execução de ações sensíveis, pois os invasores
não podem explorar com sucesso o CSRF se não tiverem acesso às contas autenticadas.
4. Exija senhas fortes dos usuários, que incluam caracteres maiúsculos, minúsculos, números
e símbolos, e implemente mecanismos de bloqueio de conta após várias tentativas de login
mal sucedidas para impedir ataques de força bruta.
5. Ao permitir o upload de arquivos, imponha restrições rigorosas sobre tipos de arquivos,
tamanho máximo e validação de conteúdo.
�. Garanta que as API exijam autenticação adequada e autorização para acessar recursos;
para isso, use tokens de acesso e tokens de atualização.
Lembre-se de que a segurança da aplicação web é um processo contínuo. Manter-se atualizado
sobre as ameaças e vulnerabilidades atuais e realizar testes de segurança regulares é
fundamental para manter sua aplicação protegida contra ataques cibernéticos. Além disso,
considere a contratação de especialistas em segurança ou a realização de auditorias de
segurança para avaliar e melhorar a postura de segurança da sua aplicação.
Siga em Frente...
Práticas seguras de desenvolvimento web
Práticas seguras de desenvolvimento web referem-se a diretrizes, técnicas e procedimentos que
os desenvolvedores web seguem para criar aplicativos e sites online de forma a minimizar
vulnerabilidades de segurança, proteger os dados dos usuários e garantir a integridade e a
con�abilidade das aplicações. Essas práticas visam reduzir riscos relacionados a ataques
cibernéticos, vazamento de informações e outras ameaças à segurança online. Entre as práticas,
podemos exempli�car:
A validação de entrada de dados visa garantir que os dados fornecidos pelos usuários
sejam validados e sanitizados antes de serem processados para evitar ataques de injeção,
como SQL Injection ou Cross-Site Scripting (XSS). Por exemplo, escapar caracteres
especiais em campos de entrada para evitar injeção de scripts maliciosos.
A autenticação e autorização que pretende implementar um sistema de autenticação
robusto para garantir que apenas usuários autorizados tenham acesso a recursos
sensíveis. Por exemplo, exigir senhas fortes e utilizar tokens de autenticação.
Outra ferramenta utilizada para a segurança de dados é o Data Loss Prevention, ou DLP, segundo
Clarke (2022). Essa é uma ferramenta projetada para evitar a perda, o vazamento ou o uso não
autorizado de dados sensíveis. Ela monitora o tráfego de rede, os dispositivos e os sistemas em
busca de informações con�denciais, como números de cartão de crédito, informações pessoais
ou segredos comerciais. O DLP aplica políticas e regras para prevenir a ex�ltração de dados e
Disciplina
Segurança e Auditoria de
Sistemas
tomar medidas corretivas quando necessário. O DLP consegue monitorar o tráfego de dados em
tempo real, tanto na rede como nos endpoints em busca de atividades suspeitas ou violações de
políticas de segurança. Ele analisa o conteúdo dos arquivos, os padrões de comunicação e os
comportamentos dos usuários para encontrar possíveis vazamentos ou uso indevido de dados
sensíveis. Apesar de proteger a rede, podemos pensar nesse recurso no contexto da web.
Utilizamos a criptogra�a para proteger dados con�denciais, tanto em repouso quanto em
trânsito. Exemplos: criptografar senhas de usuários antes de armazená-las no banco de dados e
usar HTTPS para proteger a comunicação entre o navegador e o servidor; fazer sempre as
atualizações e patches para manter todas as bibliotecas, frameworks e servidores web
atualizados com as últimas correções de segurança para evitar vulnerabilidades conhecidas.
Para proteção contra Cross-Site Request Forgery (CSRF)devemos implementar mecanismos para
prevenir ataques CSRF, que podem ser usados para enganar os usuários a executar ações
indesejadas em seu nome. Por exemplo, usar tokens anti-CSRF.
Temos que validar dados tanto no lado do servidor quanto no lado do cliente para evitar erros de
validação. Por exemplo, se um usuário faz uma reserva em um site de reserva de hotéis, é
importante veri�car novamente no servidor se os dados são válidos, mesmo que a validação do
lado do cliente já tenha sido realizada.
No gerenciamento de sessões seguras temos que implementar boas práticas para o
gerenciamento de sessões, como gerar IDs de sessão aleatórios e expirar sessões inativas.
Sempre devemos realizar testes de segurança, como testes de penetração, para identi�car
vulnerabilidades e corrigi-las antes que se tornem alvos de ataques reais.
Essas práticas seguras de desenvolvimento web ajudam a proteger aplicativos e sites contra
uma variedade de ameaças de segurança cibernética, tornando a experiência online mais segura
para os usuários e garantindo a integridade dos sistemas web.
Vamos Exercitar?
Uma pequena loja online de produtos eletrônicos está enfrentando um aumento nas queixas dos
clientes. Os clientes relatam que, ao navegar pelo site e interagir com comentários de produtos,
alguns deles estão vendo pop-ups suspeitos e mensagens não autorizadas em seus
navegadores. Além disso, alguns clientes suspeitam que informações pessoais podem ter sido
comprometidas devido a esses incidentes. A equipe de segurança de TI da loja online foi
informada desses problemas e está investigando a situação.
Resolução:
Disciplina
Segurança e Auditoria de
Sistemas
A situação descrita parece ser um caso de ataque de Cross-Site Scripting (XSS), uma
vulnerabilidade de segurança que permite a um invasor injetar um código malicioso em páginas
da web visualizadas por outros usuários. Para resolver esse problema e proteger a loja online
contra ataques XSS, a equipe de segurança de TI deve tomar diversas medidas aprendidas nesta
aula.
Ao tomar essas medidas, a loja online pode mitigar a vulnerabilidade de XSS, proteger as
informações dos clientes e restaurar a con�ança dos usuários em relação à segurança do site.Saiba mais
Leia mais:
MORAES, Alexandre Fernandes D. Firewalls - Segurança no controle de acesso. São Paulo:
Editora Saraiva, 2015.  Disponível em: Minha Biblioteca
Em seu terceiro capítulo 3 (p. 52), trata de algumas vulnerabilidades e possibilidades 
direcionadas a aplicações web.
AGRA, Andressa, D.; BARBOZA, Fabrício F. M. Segurança de sistemas da informação. Porto
Alegre: Grupo A, 2019. Disponível em: Minha Biblioteca.
No nono capítulo (p. 116), são especi�cados termos e de�nições, como impacto, riscos de
segurança da informação, ação de evitar o risco, estimativa de riscos, identi�cação de riscos e
redução do risco.
MORAES, Alexandre, D.; HAYASHI, Victor Takashi. Segurança em IoT. São Paulo: Editora Alta
Books, 2021. Disponível em: Minha Biblioteca.
Em seu quinto capítulo (p. 125), vemos diversos dispositivos de segurança.
Referências
AGRA, A. D.; BARBOZA, F. M. Segurança de sistemas da informação. Porto Alegre: Grupo A, 2019.
CLARKE, G. E. CompTIA Security+ Certi�cation Study Guide, Fourth Edition (Exam SY0-601). Nova
York: McGraw-Hill Education Group, 2022.
Disciplina
Segurança e Auditoria de
Sistemas
Aula 2
Proteção para Dispositivos Móveis
Proteção para Dispositivos Móveis
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
Dispositivos móveis, como smartphones e tablets, tornaram-se uma parte integral de nossas
vidas, facilitando a comunicação, o trabalho e o entretenimento. No entanto, essa ubiquidade e a
riqueza de informações pessoais e pro�ssionais que carregamos em nossos dispositivos
também os tornam alvos valiosos para ameaças cibernéticas. A segurança da informação em
dispositivos móveis é uma preocupação crescente e crítica na era digital.
A proliferação de aplicativos móveis, a conectividade constante e a variedade de ameaças, como
malware, ataques de phishing e vulnerabilidades de sistema operacional tornam os dispositivos
móveis suscetíveis a uma série de riscos. As consequências de uma violação de segurança em
dispositivos móveis podem ser devastadoras, incluindo roubo de dados pessoais e corporativos,
perda de privacidade e até mesmo prejuízos �nanceiros.
Nessa era de crescente mobilidade, é essencial que compreendamos as ameaças enfrentadas
por dispositivos móveis e as estratégias de defesa disponíveis para proteger nossos ativos
digitais. Você sabia que as empresas podem determinar como é a utilização dos dispositivos
móveis de seus funcionários? A�nal, muitas vezes, são carregados dados sensíveis da empresa
no smartphone ou notebook.
Disciplina
Segurança e Auditoria de
Sistemas
Nesta aula, exploraremos as principais ameaças à segurança em dispositivos móveis e as
medidas de proteção necessárias para garantir que nossos smartphones e tablets permaneçam
seguros, preservando nossa privacidade e a integridade de nossos dados.
À medida que a tecnologia móvel continua a evoluir, nossa capacidade de defender nossos
dispositivos também deve melhorar, garantindo que possamos aproveitar os benefícios da
mobilidade sem comprometer a segurança de nossas informações.
E se você utiliza o seu smartphone da empresa e o perde? 
Vamos Começar!
Ameaças e segurança em dispositivos móveis
Temos diversas ameaças de segurança que afetam dispositivos móveis, dentre elas podemos
elencar:
Os Malwares projetados para dispositivos móveis, como cavalos de Troia, vírus e ransomware,
podem infectar aplicativos e sistemas operacionais, comprometendo a privacidade dos dados e
a funcionalidade do dispositivo.
Quando um dispositivo móvel é perdido ou roubado, os dados armazenados nele podem ser
acessados por terceiros, colocando em risco informações pessoais e pro�ssionais.
Os criminosos usam técnicas de phishing e engenharia social para enganar os usuários e obter
informações con�denciais, como senhas e dados bancários.
A conexão a redes Wi-Fi públicas e inseguras pode expor os dispositivos a interceptação de
dados, ataques Man-in-the-Middle (MitM) e exploração de vulnerabilidades.
Mensagens SMS e MMS podem ser usadas para distribuir malwares ou links maliciosos, visando
explorar as vulnerabilidades do dispositivo.
Quando os usuários desbloqueiam seus dispositivos jailbreaking para iOS ou rooting para
Android, eles abrem as portas para vulnerabilidades de segurança, já que podem instalar
aplicativos de fontes não con�áveis e ignorar as proteções integradas.
Senhas fracas e ataques de força bruta podem comprometer a segurança de contas e
aplicativos, permitindo que invasores acessem informações sensíveis.
Aplicativos de terceiros não veri�cados podem solicitar permissões excessivas e, às vezes,
podem ser projetados para roubar dados ou espionar o usuário.
Disciplina
Segurança e Auditoria de
Sistemas
Dispositivos móveis geralmente têm cartões de memória e portas USB que podem ser usados
para transferir malware ou extrair dados sensíveis.
Dispositivos mais antigos podem não receber atualizações de segurança, tornando-os
vulneráveis a ameaças conhecidas.
Para proteger dispositivos móveis contra essas ameaças, os usuários devem adotar práticas de
segurança, como manter sistemas operacionais e aplicativos atualizados, usar senhas fortes,
evitar redes Wi-Fi públicas não seguras, ser cautelosos com links e mensagens suspeitas, e
instalar aplicativos apenas de fontes con�áveis. Empresas e desenvolvedores de aplicativos
também têm um papel importante na proteção dos dispositivos móveis, projetando aplicativos
com segurança em mente e implementando políticas de segurança adequadas.
O Enterprise Mobility Management/Mobile Device Management (EMM/MDM) é um dos principais
controles de segurança para dispositivos móveis das empresas (Franklin et al., 2020). O
EMM/MDM é uma solução para prover segurança em dispositivos móveis de usuários que são
autorizados a acessar recursos da empresa.
Para Nakamura (2020), o EMM/MDM é composto por dois componentes principais. O primeiro é
um serviço back-end que os administradores utilizam para gerenciar as políticas, con�gurações e
outras ações de segurança que são aplicadas nos dispositivos móveis. O segundo componente é
um agente instalado no dispositivo que permite a aplicação das ações de�nidas pela empresa.
Há o provisionamento dos per�s de con�guração para os dispositivos, a aplicação das políticas
de segurança e o monitoramento de conformidade com as políticas pelos dispositivos. O agente
no dispositivo pode enviar noti�cações em caso de con�gurações não conformes com a política
da empresa, e pode corrigir automaticamente con�gurações dessa natureza.
O EMM (Enterprise Mobility Management) consiste em um conjunto de serviços, ferramentas,
diretrizes e políticas que, alinhados à tecnologia, auxiliam na gestão de dispositivos corporativos
móveis. A empresa pode adotar três políticas quanto ao modelo de utilização dos dispositivos
móveis, a decisão de qual modelo de gestão de equipamentos depende de diversos fatores com
alguns elementos a serem avaliados, como custos, padronização, conformidade e facilidade de
monitoramento. Esses modelos são: a permissão para uso pessoal (Corporate-Owned
Personally-Enabled, COPE), ou o Bring Your Own Device (BYOD) ou Choose Your Own Device
(CYOD). No modelo BYOD ou CYOD, o dono do dispositivo móvel é o próprio usuário, enquanto
nos outros a propriedade é a da empresa. O modelo COPE provê �exibilidade de uso ao permitir
que tanto a empresa quanto o usuário possam instalar aplicativos no dispositivo, que é de
propriedade da empresa (NCCoE, 2020).
O MDM (Mobile Device Management) é o gerenciamento de todos os dispositivos móveis da
empresa,de forma centralizada e integrada, como o fornecimento de acesso remoto,
gerenciamento da segurança das informações e sistemas, gerenciamento de dispositivos em
grupos ou individualmente, administração de aparelhos pessoais no ambiente corporativo, 
Disciplina
Segurança e Auditoria de
Sistemas
gestão de aplicativos instalados, bloqueio e exclusão de privilégio de acesso de dispositivos não
compatíveis ou não credenciados e  geolocalização.
A segurança em dispositivos móveis é fundamental, pois esses dispositivos contêm informações
pessoais, dados de trabalho e são frequentemente usados para acessar serviços �nanceiros e de
comunicação.
Siga em Frente...
Ataques de camadas de aplicações e antivírus para dispositivos
móveis
Esses ataques são feitos na camada de aplicação do modelo OSI. Os ataques comuns são de
sobrecarga de servidores, aproveitando dessa exceção de funcionamento dos servidores e
explorando vulnerabilidades. Para defesa desses ataques, temos o “CAPTCHA”, no qual a
requisição que o servidor recebe só é realizada se oriunda de solicitação de humanos.
Aqui estão alguns exemplos de ataques de camadas de aplicação em dispositivos móveis, bem
como o papel dos antivírus:
Atacantes podem criar aplicativos ou páginas da web móveis falsos que imitam instituições
legítimas para enganar os usuários e roubar informações con�denciais, como senhas e números
de cartão de crédito.
Aplicativos móveis maliciosos podem ser distribuídos em lojas de aplicativos não con�áveis.
Esses aplicativos podem conter malware que rouba informações do dispositivo ou realiza ações
prejudiciais.
Aplicativos móveis podem conter vulnerabilidades de segurança que os invasores podem
explorar. Por exemplo, uma vulnerabilidade de injeção SQL pode permitir que um invasor acesse
um banco de dados do aplicativo.
Invadir sessões de aplicativos móveis pode permitir que os invasores acessem contas de
usuários e realizem ações em nome deles.
Os invasores podem interceptar o tráfego de dados entre o dispositivo móvel e o servidor (Man-
in-the-Middle), permitindo que eles leiam ou alterem informações con�denciais.
Os antivírus para dispositivos móveis desempenham um papel importante na proteção contra
esses tipos de ataques de camadas de aplicação.
Disciplina
Segurança e Auditoria de
Sistemas
Antivírus para dispositivos móveis escaneiam aplicativos em busca de malware, veri�cando se
eles contêm código malicioso ou comportamento suspeito. Alguns antivírus têm recursos para
detectar sites de phishing móvel e alertar os usuários quando tentam acessá-los.
Embora os antivírus para dispositivos móveis ofereçam proteção valiosa, a combinação de
medidas de segurança em várias camadas é a abordagem mais e�caz para proteger dispositivos
móveis contra ameaças.
Ataques e defesas em dispositivos móveis
Dentro da segurança da informação em dispositivos móveis, existem várias ameaças e ataques
comuns, bem como medidas de defesa para proteger os dispositivos e os dados neles
armazenados. Aqui estão alguns exemplos de ataques e defesas em dispositivos móveis:
Ataques de malware em dispositivos móveis, como cavalos de Troia, vírus e ransomware, podem
comprometer a segurança do dispositivo. Esses ataques podem ser direcionados por meio de
aplicativos maliciosos ou links enganosos em mensagens e e-mails. Defesa: use um antivírus
móvel, baixe aplicativos apenas de fontes con�áveis (lojas de aplicativos o�ciais), evite clicar em
links suspeitos e mantenha o sistema operacional e aplicativos atualizados.
Atacantes podem usar sites falsos ou mensagens de phishing para enganar os usuários e roubar
informações con�denciais, como senhas e informações de cartão de crédito. Defesa: esteja
ciente de mensagens e e-mails suspeitos, veri�que a autenticidade dos sites, evite clicar em links
desconhecidos e use autenticação de dois fatores sempre que possível.
Ataques de aplicativos maliciosos podem ser projetados para roubar informações pessoais,
gravar chamadas ou espionar o usuário. Defesa: baixe aplicativos apenas de lojas o�ciais, leia
avaliações de aplicativos, revise as permissões solicitadas e mantenha as permissões de
aplicativos restritas.
Ataques de força bruta podem ser usados para adivinhar senhas fracas. Defesa: use senhas
fortes (letras, números e caracteres) e únicas para cada conta, ative o bloqueio do dispositivo
com senha ou biometria e evite salvar senhas em texto claro.
Conectar-se a redes Wi-Fi públicas não seguras pode expor os dispositivos a ataques Man-in-the-
Middle (MitM) e interceptação de dados. Defesa: evite redes Wi-Fi públicas não seguras sempre
que possível. Use uma VPN para criptografar a comunicação em redes públicas.
Como regras gerais, siga estas sugestões:
Mantenha o sistema operacional, aplicativos e antivírus móveis atualizados para corrigir
vulnerabilidades de segurança conhecidas.
Disciplina
Segurança e Auditoria de
Sistemas
Ative bloqueio por senha, PIN ou biometria no dispositivo para impedir o acesso não
autorizado.
Use aplicativos de segurança, como antivírus, para veri�car aplicativos em busca de
malware e proteger contra ameaças conhecidas.
(2FA) ative a autenticação de dois fatores sempre que possível para adicionar uma camada
extra de segurança.
Con�gure �ltros para evitar chamadas e mensagens indesejadas de remetentes
desconhecidos.
Use uma VPN ao se conectar a redes públicas para proteger a comunicação de possíveis
ataques MitM.
Revise e limite as permissões de aplicativos para impedir o acesso não autorizado a
informações pessoais.
Conscientize os usuários sobre as ameaças de segurança e boas práticas, como evitar
downloads de fontes não con�áveis e links suspeitos.
Faça backups regulares de dados importantes para facilitar a recuperação em caso de
perda ou comprometimento do dispositivo.
Ative recursos de rastreamento e limpeza remota em caso de perda ou roubo do
dispositivo.
A segurança da informação em dispositivos móveis requer uma abordagem em várias camadas
para proteger tanto o dispositivo quanto os dados nele armazenados. É fundamental estar ciente
das ameaças e adotar medidas proativas de defesa para minimizar os riscos de segurança.
Vamos Exercitar?
Imagine que você é um pro�ssional de segurança da informação de uma grande empresa e
recentemente houve um incidente de segurança relacionado a dispositivos móveis. Um
funcionário perdeu seu smartphone, que continha informações con�denciais da empresa,
incluindo e-mails corporativos, documentos estratégicos e credenciais de acesso a sistemas
internos. Além disso, esse dispositivo não tinha senha ou qualquer mecanismo de segurança
con�gurado.
Resolução:
Para resolver essa situação e evitar futuros incidentes de segurança em dispositivos móveis, é
importante implementar uma série de medidas e práticas recomendadas:
Implemente uma política de senhas fortes que exija que todos os dispositivos móveis que
acessam informações corporativas tenham senhas seguras. Isso impedirá o acesso não
autorizado, caso o dispositivo seja perdido ou roubado. Certi�que-se de que todos os
dispositivos móveis estejam con�gurados para criptografar os dados armazenados. Isso tornará
mais difícil para terceiros acessar informações sensíveis, mesmo se obtiverem acesso físico ao
dispositivo. Implemente a Autenticação Multifatorial (MFA) em dispositivos móveis para
Disciplina
Segurança e Auditoria de
Sistemas
adicionar uma camada adicional de segurança. Isso exige que os usuários forneçam mais de
uma forma de autenticação, como senha e um código enviado por mensagem SMS, para acessar
dados sensíveis. Use soluções de MDM para gerenciar dispositivos móveis corporativos. Isso
permite que a equipe de TI rastreie, bloqueie ou apague remotamente dados de dispositivos
perdidos ou roubados. Forneça treinamento de conscientização em segurança para os
funcionários, destacando a importância de proteger seus dispositivos móveis e as melhores
práticas para manter a segurança. Estabeleça um procedimento claro para que os funcionários
relatem imediatamente aRisco
É a probabilidade de um agente de ameaça explorar vulnerabilidades de ativos utilizando alguma
técnica de ataque, o que faz com que uma ameaça se torne um incidente de segurança,
causando impactos à empresa. Uma das formas de reduzir os riscos das empresas é o
tratamento das vulnerabilidades, para que elas não possam ser exploradas (Nakamura, 2016).
Evento de segurança da informação
Identi�ca uma possível violação da política de segurança da informação.
Incidente de segurança da informação
Eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade
signi�cativa de comprometer as operações.
Impacto de segurança da informação
É o resultado dos incidentes de segurança da informação.
Disciplina
Segurança e Auditoria de
Sistemas
Figura 3 | Riscos em ativos. Fonte: Nakamura (2020, p. 9).
Elementos a serem protegidos: pessoas, informação e ativos
Com o uso de estratégia como o mapeamento de �uxo de informação, você pode entender a
amplitude de proteção necessária. Basicamente, há três grandes grupos de elementos a serem
protegidos (Nakamura; Geus, 2007):
Pessoas: possuem informações que podem ser obtidas de várias formas, sejam elas
maliciosas ou não. Os agentes de ameaça exploram as fraquezas ou vulnerabilidades
humanas. A engenharia social, por exemplo, é um ataque que explora características
humanas como a boa vontade ou a inocência para a obtenção de informações
con�denciais. Outro exemplo é o suborno, pelo qual uma pessoa pode vender determinada
informação.
Ativos: há ativos físicos e tecnológicos que devem ser protegidos. Exemplos de ativos
físicos são hardwares ou locais físicos. Já exemplos de ativos tecnológicos são sistemas
operacionais, aplicativos, sistemas e softwares de forma geral.
Disciplina
Segurança e Auditoria de
Sistemas
Informação: é o principal elemento a ser protegido, e é aquele que trafega de formas
diferentes por variados elementos, o que leva às necessidades de proteção também das
pessoas e dos ativos físicos e tecnológicos.
Aqui, você teve um panorama geral dos princípios da segurança da informação. Bons estudos!
Vamos Exercitar?
Começamos a compreender que a segurança é algo muito importante pelo valor dado às
informações, sendo elas um dos bens mais valiosos que as corporações possuem. Nesse
sentido, pessoas farão esforços para conseguir determinadas informações, mesmo que de
formas não tão éticas.
Assim, as informações podem ser vazadas, modi�cadas ou destruídas, pode haver negação de
serviços dos sistemas da empresa, entre outros. Esses são apenas alguns pequenos exemplos
dos problemas que podem ser causados nesse universo dos dados e informações. Respondendo
às perguntas sobre se estamos seguros, a verdade é: não, no mundo digital não estamos
seguros. Mas podemos ter o conhecimento e programar estratégias para nos mantermos o mais
seguros possível.
Devemos sempre elaborar estratégias focadas nos pilares ou princípios da segurança da
informação, pois eles visam a garantir os princípios da informação.
Devemos compreender que há três aspectos fundamentais que compõem qualquer ambiente a
ser trabalhado quando nos referimos à segurança, que são as pessoas, os ativos e a informação,
e esses aspectos se encontram interligados entre pessoas, processos e tecnologia. Lembremo-
nos sempre que a proteção é feita em camadas, di�cultando ao máximo todas as possibilidades
de ataques.
Sobre a situação simples, colocada no início, de uma pessoa deixar o computador aberto,
devemos considerar: 
Resolução:
Para evitar essa situação, o funcionário deve:
Sempre bloquear o computador quando não estiver usando.
Não deixar informações con�denciais visíveis na tela do computador.
Usar uma senha forte para o computador.
Consequências por não resolver o problema:
Disciplina
Segurança e Auditoria de
Sistemas
O vazamento de informações con�denciais pode causar danos à empresa e ao cliente. O cliente
pode perder a con�ança na empresa e pode processá-la por danos.
Medidas preventivas:
As empresas devem adotar medidas para conscientizar os funcionários sobre a importância da
con�dencialidade das informações. Essas medidas podem incluir treinamentos, políticas de
segurança e campanhas de conscientização.
A adoção dessas medidas ajudará a proteger as informações con�denciais da empresa.
Compreendendo os conceitos iniciais de segurança da informação, começamos a entender a
vasta e ampla missão que temos pela frente, que é a de se antecipar aos invasores, enxergar
nossas fraquezas e elaborar estratégias para minimizar os problemas de segurança que teremos
no futuro.
Saiba mais
Dicas de leitura:
BARRETO, Jeanine S. et al. Fundamentos de segurança da informação. Grupo A, 2018. Disponível
em: Minha Biblioteca,
Em seu primeiro capítulo (p. 13), Conceitos básicos de segurança da informação, temos ampla
discussão sobre a importância da utilização da segurança da informação no contexto
organizacional. Os autores de�nem e diferenciam as categorias de ativos existentes em uma
empresa. O texto reforça e complementa conceitos trazidos na aula, como vulnerabilidade e
ameaças dos ativos.
Em seu segundo capítulo (p. 21): Conceito e valor da informação, identi�ca-se a importância e o
valor da informação no contexto organizacional, as fases do ciclo de vida da informação e a
classi�cação das informações (pública, interna, con�dencial, secreta).
Em seu décimo terceiro capítulo (p. 165): Normas de segurança em TI, são apresentadas as
normas de segurança em TI, como, por exemplo, a família 27.000. 
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2013. Tecnologia
da informação. Técnicas de segurança. Sistemas de gestão da segurança da informação.
Requisitos. Rio de Janeiro, 2013.
Disciplina
Segurança e Auditoria de
Sistemas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2013. Tecnologia
da informação. Técnicas de segurança. Código de prática para controles de segurança da
informação. Rio de Janeiro, 2013.
Cybersecurity Framework. The �ve functions. NIST. 2020. Disponível em 
https://www.nist.gov/cyberframework/online-learning/�ve-functions  Acesso em: 11 out. 23.
ISO/IEC 13335-1:2004. Information technology. Security techniques. Management of information
and communications technology security. Part 1: Concepts and models for information and
communications technology security management.
NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e Distribuidora
Educacional S. A. 2016. 
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora Educacional S.A. 2020. 
NAKAMURA, E. T.; GEUS, P. L. de. Segurança de redes em ambientes cooperativos. São Paulo:
Novatec, 2007.
Aula 2
Princípios da Segurança da Informação
Princípios da Segurança da Informação
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
https://www.nist.gov/cyberframework/online-learning/five-functions
Disciplina
Segurança e Auditoria de
Sistemas
Ponto de Partida
O estabelecimento de um Sistema de Gestão de Segurança da Informação (SGSI) é um ponto
importante para uma atuação holística em segurança da informação. Você pode certi�car o SGSI
de sua empresa de acordo com a norma ABNT NBR ISO/IEC 27001, enquanto a ABNT NBR
ISO/IEC 27002 foca nos objetivos de controles de segurança. O Cybersecurity Framework possui
uma abordagem integrada de diferentes aspectos de segurança importantes, enquanto o CIS
Controls estabelece uma forma mais prática de trabalho.
Quando falamos em riscos da segurança da informação, pensamos em eventos que podem
comprometer a segurançaperda ou o roubo de seus dispositivos. Quanto mais cedo a ação for
tomada, melhor a chance de minimizar os danos. Realize auditorias regulares para garantir que
as políticas de segurança de dispositivos móveis sejam seguidas e que os dispositivos estejam
adequadamente protegidos.
Ao implementar essas medidas de segurança em dispositivos móveis, a empresa pode reduzir
signi�cativamente o risco de incidentes de segurança semelhantes no futuro e proteger
informações con�denciais contra ameaças.
Saiba mais
Veja estas sugestões de leitura complementar:
NAKAMURA, E. T. Segurança e Auditoria de Sistemas. Londrina: Editora e Distribuidora
Educacional S.A. 2020. 
No  capítulo 3, são apresentadas diversas proteções , regras e vulnerabilidades em dispositivos
móveis.
MORAES, Alexandre, D.; HAYASHI, Victor Takashi. Segurança em IoT. São Paulo: Alta Books,
2021. Disponível em: Minha Biblioteca.
Em seu quinto capítulo (p. 125), vemos diversos dispositivos de segurança.
MUELLER, Bernhard; SCHLEIER, Sven; WILLEMSEN, Jeroen. MSTG. Mobile Security Testing Guide.
Owasp. August 4, 2019. Disponível em: https://github.com/OWASP/owasp-
mstg/releases/tag/1.1.3. Acesso em: 26 out. 23.
Nesse site, você tem muitas informações sobre desenvolvimento de aplicativos móveis seguros.
Referências
FRANKLIN, J. M; HOWELL, G.; SRITAPAN, V. S.; SOUPPAYA, M.; SCARFON, K. Draft NIST Special
Publication 800-124 Revision 2 - Guidelines for Managing the Security of Mobile Devices in the
https://github.com/OWASP/owasp-mstg/releases/tag/1.1.3.
https://github.com/OWASP/owasp-mstg/releases/tag/1.1.3.
Disciplina
Segurança e Auditoria de
Sistemas
Enterprise. NIST, National Institute of Standards and Technology. U.S. Department of Commerce.
March, 2020 Disponível em: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-
124r2-draft.pdf. Acesso em: 26 out. 23.
NAKAMURA, E. T. Segurança e Auditoria de sistemas. Londrina: Editora e Distribuidora
Educacional S.A. 2020.
MOBILE DEVICE SECURITY. NCCoE, National Cybersecurity Center of Excelence. NIST - National
Institute of Standards and Technology. U.S. Department of Commerce. Disponível em:
https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security  Acesso em: 26 out.
23.
Aula 3
Análise de Vulnerabilidade e Pentest
Análise de Vulnerabilidade e Pentest
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
A segurança da informação desempenha um papel fundamental na proteção de sistemas e
dados em um mundo digital cada vez mais interconectado. Sabemos que todo dispositivo e
software apresentam vulnerabilidades que podem ser exploradas por atacantes. Uma das
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r2-draft.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r2-draft.pdf
https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security
Disciplina
Segurança e Auditoria de
Sistemas
abordagens mais e�cazes para avaliar a segurança de sistemas e redes é a realização de testes
de penetração, comumente conhecidos como Pentest.
Para Agra (2019), o pentest ou penetration test é uma  consultoria para identi�car e corrigir
falhas de segurança em sistemas e redes de computadores. Geralmente, uma empresa contrata
pro�ssionais para realizar esse tipo de atividade de pentest, servindo como base para que corrija
falhas e iniba ataques verdadeiros por parte de pessoas realmente mal intencionadas.
O pentest é uma metodologia estruturada e controlada que visa simular ataques cibernéticos a
um sistema ou rede para identi�car vulnerabilidades e medir a e�cácia das medidas de
segurança. As abordagens de pentest podem variar de acordo com o nível de conhecimento e
informações disponíveis ao testador. Envolve, ainda, identi�car meios de explorar
vulnerabilidades para driblar os controles de segurança dos componentes do sistema (PCI,
2017). Para a realização dessas atividades, as abordagens de Pentest podem ser classi�cadas
em três categorias: Caixa Preta (Black-box), Caixa Branca (White-box) e Caixa Cinza (Gray-box).
Mostraremos a metodologia de Pentest, a análise de vulnerabilidades e as nuances das suas
categorias. Discutiremos as vantagens e desvantagens de cada abordagem e quando é
apropriado utilizar cada uma delas para garantir a segurança de sistemas e redes em um
ambiente cibernético em constante evolução. A compreensão dessas metodologias é essencial
para proteger ativos críticos e dados sensíveis em um mundo digital cada vez mais desa�ador.
Será que um pentest poderia descobrir alguma vulnerabilidade em servidores que armazenam
informações sensíveis dos nossos clientes? 
Vamos Começar!
De�nição e metodologia do pentest
O pentest, ou teste de penetração, é uma metodologia de segurança cibernética que visa avaliar
a segurança de sistemas, redes, aplicativos e infraestrutura de TI por meio da simulação de
ataques cibernéticos controlados.
O objetivo principal do pentest é identi�car e explorar vulnerabilidades e fraquezas potenciais em
um ambiente de TI, permitindo que as organizações corrijam esses problemas antes que
cibercriminosos possam explorá-los. Pentest é uma abordagem proativa para garantir a
segurança cibernética.
A metodologia de pentest envolve as seguintes etapas principais:
A coleta de informações, que é a primeira etapa, consiste em coletar informações sobre o
sistema, a rede ou o aplicativo que será testado. Isso pode incluir a identi�cação de alvos,
Disciplina
Segurança e Auditoria de
Sistemas
informações sobre a infraestrutura, sistemas operacionais, aplicativos e quaisquer outras
informações relevantes.
Em seguida, vem a análise de vulnerabilidades, fase em que o testador realiza uma análise
minuciosa do ambiente alvo em busca de vulnerabilidades conhecidas e potenciais. Isso pode
envolver a varredura de portas, avaliação de con�gurações de segurança, análise de códigos-
fonte, entre outras técnicas.
A terceira fase é o planejamento de ataques que, com base nas informações coletadas e nas
vulnerabilidades identi�cadas, consiste em o testador elaborar um plano de ataque detalhado.
Esse plano descreve como as vulnerabilidades serão exploradas para simular possíveis ataques.
A quarta etapa é a execução de ataques. Nessa fase, os testadores tentam explorar as
vulnerabilidades identi�cadas de acordo com o plano de ataque. O objetivo é veri�car se as
medidas de segurança existentes são capazes de detectar e contê-los.
A quinta etapa é a da documentação e relatório, pois, durante e após o pentest, os testadores
documentam todas as atividades realizadas, os resultados obtidos e as recomendações para
melhorias. Um relatório completo é entregue ao cliente, que detalha as vulnerabilidades
identi�cadas e fornece orientações sobre como mitigá-las.
A última etapa é a discussão e melhorias. Após a entrega do relatório, o cliente e os testadores
geralmente se reúnem para discutir os resultados e planejar as ações corretivas. As
vulnerabilidades identi�cadas podem ser corrigidas e melhorias na segurança podem ser
implementadas.
O pentest é uma parte fundamental das estratégias de segurança cibernética para organizações,
pois ajuda a identi�car e resolver vulnerabilidades antes que elas possam ser exploradas por
cibercriminosos. É importante notar que o pentest é uma atividade ética e autorizada, realizada
por pro�ssionais de segurança experientes, com o objetivo de fortalecer a segurança dos
sistemas e proteger dados sensíveis.
Siga em Frente...
Análise de vulnerabilidades
Com os ambientes em constante mudança e a cada vezmais integrando novas tecnologias, há
sempre novas vulnerabilidades nos novos ativos das empresas.
Há diferentes testes de segurança, como as análises e avaliações de riscos, e as análises de
vulnerabilidades, que focam tradicionalmente em aspectos tecnológicos.
Disciplina
Segurança e Auditoria de
Sistemas
Para a Open Web Application Security Project (Owasp), que é uma organização dedicada à
segurança de aplicativos web e sem �ns lucrativos, teste de segurança é o processo de comparar
o estado de um sistema ou aplicação de acordo com um conjunto de critérios (Meucci; Muller,
2014). Eles podem ser realizados no �nal do desenvolvimento ou fazer parte do ciclo de
desenvolvimento desde o início, com a implementação de requisitos e testes de segurança
automatizados (Mueller; Schleier; Willemsen, 2019).
Para realização de análise e testes de intrusão, diversas ferramentas e muito conhecimento são
necessários. Temos uma distribuição de fonte aberta, a Kali Linux, que pode auxiliar na área de
testes e segurança, softwares voltados para a análise de vulnerabilidades, como o Nmap, Nessus
e Metasploit, OpenVas, Vulnerability Manager Plus, que permitem mapear e indicar as
vulnerabilidades, com suas implicações e gravidade em relação aos riscos de invasão.
Outra ferramenta que temos é o Burp Suite, uma plataforma integrada para a realização de testes
de segurança em aplicações web. Suas diversas opções funcionam perfeitamente em conjunto
para apoiar todo o processo de testes, de mapeamento e análise de superfície de ataque de uma
requisição inicial até encontrar e explorar vulnerabilidades de segurança (Prtswigger, 2018).
Mas não basta veri�car as vulnerabilidades e parar por aí. É necessário mapear a margem de
exploração de um atacante, bem como aplicar os processos de correção adequados, podendo
executar pentest para validar se a vulnerabilidade é explorável.
A análise de vulnerabilidades compreende a busca por vulnerabilidades nos ativos de uma forma
manual ou com o uso de ferramentas automatizadas, como os scanners. Os tipos de análise de
vulnerabilidades são as análises estática e dinâmica (Koussa, 2018).
A análise estática, ou Static Application Security Testing (SAST), envolve a análise dos
componentes do sistema sem a sua execução, pela análise manual ou automatizada do código-
fonte. A análise manual exige pro�ciência na linguagem e no framework usado pela aplicação, e
possibilita a identi�cação de vulnerabilidades na lógica dos negócios, violações de padrões e
falhas na especi�cação, especialmente quando o código é tecnicamente seguro, mas com falhas
na lógica, que são difíceis de serem detectadas por ferramentas automatizadas. Já a análise
automatizada é feita com ferramentas que checam o código-fonte por conformidade com um
conjunto pré-de�nido de regras ou melhores práticas da indústria (Mueller; Schleier; Willemsen,
2019).
A análise dinâmica, ou Dynamic Application Security Testing (DAST), envolve a análise do
sistema durante a sua execução, em tempo real, de forma manual ou automatizada.
Normalmente a análise dinâmica não provê as mesmas informações que a análise estática
provê, mas detecta elementos sob o ponto de vista do usuário, como os ativos, funções, pontos
de entrada e outros. A análise dinâmica é conduzida na camada da plataforma e nos serviços e
Application Programming Interfaces (API) do backend, que são locais em que as requisições e
respostas das aplicações podem ser analisadas. Os resultados são referentes, principalmente, a
Disciplina
Segurança e Auditoria de
Sistemas
problemas de con�dencialidade no trânsito, de autenticação e autorização, além de erros de
con�guração do servidor (Mueller; Schleier; Willemsen, 2019).
O SAST e DAST podem ser adotados pelas próprias equipes de desenvolvimento no contexto do
DevSecOp, que é um conceito importante que pode ser seguido para o desenvolvimento de
software, ao integrar os testes de segurança na esteira de desenvolvimento, envolvendo a
integração contínua e a entrega contínua (Constantin, 2020).
Todos eles permitem mapear e indicar as vulnerabilidades, com suas implicações e gravidade
em relação aos riscos de invasão.
Blackbox vs. Whitebox
O teste Black-box envolve realizar a avaliação de segurança com um conhecimento mínimo ou
nulo do sistema alvo, não tem conhecimento interno da aplicação ou da rede de computadores,
simulando uma perspectiva de ataque realista.
O teste White-box, por outro lado, envolve testadores que têm conhecimento completo e
detalhado do sistema alvo, incluindo informações internas e códigos-fonte, endereços IP, como é
realizada a con�guração do sistema, atividades de auditoria, entre outras, de conhecimento
obrigatório da pessoa que conduz o teste, o que permite uma avaliação mais profunda e
especí�ca. Esse tipo de teste é mais rápido do que o de caixa preta, porque a transparência e o
conhecimento permitem a construção de casos de teste mais so�sticados e granulares (Mueller;
Schleier; Willemsen, 2019).
O teste Gray-box �ca em algum lugar entre essas duas abordagens, com um nível intermediário
de informações disponíveis. Esse teste é bastante comum, devido aos custos, tempo de
execução e escopo (Mueller; Schleier; Willemsen, 2019).
Vamos Exercitar?
A empresa Dados S.A é uma organização de médio porte que lida com informações
con�denciais de seus clientes. Preocupada com a segurança de seus sistemas e dados, a
empresa decidiu contratar uma equipe de especialistas em segurança cibernética para realizar
um teste de penetração (pentest) em sua infraestrutura de TI. Durante o pentest, a equipe
descobriu uma vulnerabilidade signi�cativa em um dos servidores que armazena informações
sensíveis dos clientes. A vulnerabilidade estava relacionada a uma versão desatualizada do
software de gerenciamento de banco de dados, que continha uma falha de segurança conhecida
e que poderia ser explorada por um invasor.
Resolução:
Disciplina
Segurança e Auditoria de
Sistemas
A descoberta da vulnerabilidade durante o pentest levou a Dados S.A. a tomar ações imediatas
para mitigar o risco e fortalecer sua segurança de TI. Para isso, seguiram algumas etapas:
A primeira ação tomada foi a atualização do software de gerenciamento de banco de dados para
a versão mais recente, que corrigia a falha de segurança conhecida.
A equipe de segurança cibernética e a equipe de TI da empresa avaliaram o impacto potencial da
vulnerabilidade, determinando se houve algum acesso não autorizado aos dados dos clientes.
Felizmente, não foi identi�cada atividade maliciosa.
A empresa realizou uma análise de causa raiz para entender como a vulnerabilidade passou
despercebida e não foi tratada antes do pentest. Isso ajudou a identi�car lacunas nos processos
de gerenciamento de vulnerabilidades e a implementar medidas para melhorar a detecção e
correção de problemas de segurança.
Houve uma revisão de suas políticas de segurança de TI e implementação de procedimentos
mais rigorosos para garantir que todos os sistemas e software fossem mantidos atualizados.
Todos os funcionários receberam treinamento em conscientização em segurança para promover
boas práticas de segurança cibernética e relatar quaisquer problemas em potencial.
E a empresa implementou um sistema de monitoramento de segurança contínuo para identi�car
e responder a atividades suspeitas ou tentativas de exploração de vulnerabilidades em tempo
real.
A descoberta da vulnerabilidade durante o pentest serviu como um alerta para a empresa Dados
S.A. e a incentivou a adotar uma abordagem mais proativa em relação à segurança da
informação. Além de resolver a vulnerabilidade especí�ca, a empresa fortaleceu sua postura de
segurança e reduziu signi�cativamente o risco de violações de dados no futuro. O pentest não
apenas identi�cou um problema, mas também contribuiu para o aprimoramento geral da
segurança cibernética da organização.
Saiba mais
Dicas de leitura complementar:
AGRA, Andressa, D.; BARBOZA, Fabrício F. M. Segurança de sistemas da informação. Porto
Alegre: GrupoA, 2019. Disponível em: Minha Biblioteca.
Em seu terceiro capítulo (p. 45), veja uma ampla identi�cação sobre pentest.
Disciplina
Segurança e Auditoria de
Sistemas
BRANQUINHO, T.; BRANQUINHO, M. Segurança Cibernética Industrial. São Paulo: Alta Books,
2021.
O Módulo 2 (p. 125), aborda as de�nições e esclarecimentos sobre análise estática e análise
dinâmica.
NAKAMURA, E. T. Segurança da informação e de redes. Londrina. Editora e Distribuidora
Educacional S. A., 2016.
No  capítulo 3, são tratadas as vulnerabilidades, pentest e testes de caixa preta, branca e cinza. 
Referências
AGRA, Andressa, D.; BARBOZA, Fabrício F. M. Segurança de sistemas da informação. Porto
Alegre: Grupo A, 2019. Disponível em: Minha Biblioteca.
CONSTANTIN, L. O que é o DevSecOps? Por que é difícil fazer? SegInfo.  31 de Julho de 2020.
Disponível em: https://seginfo.com.br/2020/07/31/o-que-e-o-devsecops-por-que-e-di�cil-fazer/
Acesso em: 26 out. 23.
INFORMATION SUPPLEMENT: PENETRATION TESTING GUIDANCE. PCI Data Security Standard
(PCI DSS) 1.1. 2017. Penetration Test Guidance Special Interest Group PCI Security Standards
Council. September, 2017. Disponível em:
https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf  
Acesso em: 26 out. 23.
KOUSSA, Tarek. Mastering Modern Web Penetration Testing. Birmingham: Packt Publishing, 2018.
MEUCCI, M.; MULLER, A.  Testing Guide 4.0.  OWASP, Open Web Application Security Project.
2014.  Disponível em: https://wiki.owasp.org/images/1/19/OTGv4.pdf  Acesso em: 26 out. 23.
MUELLER, B.; SCHLEIER, S.; WILLEMSEN, J. MSTG.  Mobile Security Testing Guide.  The OWASP -
Mobtile Team, 2019. Disponível em: https://github.com/OWASP/owasp-mstg/releases/tag/1.1.3  
Acesso em: 26 out. 23.
PORTSWIGGER. Burp Suite Documentation. 2018. Disponível
em: https://portswigger.net/burp/documentation. Acesso em: 10 out. 2023.
Aula 4
Engenharia Social
https://seginfo.com.br/2020/07/31/o-que-e-o-devsecops-por-que-e-dificil-fazer/
https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf
https://wiki.owasp.org/images/1/19/OTGv4.pdf
https://github.com/OWASP/owasp-mstg/releases/tag/1.1.3
https://portswigger.net/burp/documentation
Disciplina
Segurança e Auditoria de
Sistemas
Engenharia Social
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
A engenharia social refere-se a uma técnica em que um indivíduo ou atacante tenta manipular ou
enganar outras pessoas para obter informações con�denciais, acesso a sistemas ou realizar
ações que possam comprometer a segurança de uma organização ou indivíduo. Essa
abordagem não se baseia na exploração de vulnerabilidades técnicas, como um ataque de
software ou hardware, mas sim na exploração da natureza humana e da interação social.
A engenharia social vem de muitos anos, nada mais é que um golpe antigo que explora
fragilidades do ser humano, como curiosidade, medo, carência ou cobiça, entre outras, para que
o golpista obtenha vantagens. Ela  evoluiu a tal ponto que, hoje, é aplicada na internet e nos
dispositivos móveis. Veremos nesta aula como essa tática funciona.
A engenharia social envolve o uso de artimanhas psicológicas, persuasão, manipulação e engano
para obter informações privilegiadas. Alguns exemplos comuns de técnicas de engenharia social
incluem:
Os atacantes enviam e-mails ou mensagens falsas que parecem ser de fontes con�áveis,
como bancos ou empresas, com o objetivo de induzir as vítimas a fornecer informações
pessoais, como senhas ou números de cartão de crédito (phishing).
Os atacantes podem se passar por funcionários de suporte técnico, gerentes ou colegas de
trabalho para obter informações con�denciais ou acesso a sistemas.
Os atacantes podem usar informações disponíveis publicamente sobre um alvo, como
mídias sociais, para se fazer passar por alguém que a vítima conhece e con�a.
Disciplina
Segurança e Auditoria de
Sistemas
Atacantes podem vasculhar lixeiras em busca de documentos ou dispositivos que
contenham informações sensíveis (Dumpster Diving).
Os atacantes ligam para as vítimas, muitas vezes, �ngindo serem autoridades ou
prestadores de serviços, e tentam obter informações con�denciais.
Um atacante pode tentar entrar em instalações físicas, como escritórios, �ngindo ser um
funcionário ou visitante legítimo e, assim, obter acesso não autorizado.
A engenharia social é uma ameaça séria à segurança da informação, pois pode contornar
medidas técnicas de segurança, explorando a con�ança e a natureza humana. Para mitigar os
riscos da engenharia social, as organizações devem fornecer treinamento de conscientização em
segurança para seus funcionários, implementar políticas de segurança sólidas e promover uma
cultura de segurança que enfatize a importância da veri�cação e autenticação antes de divulgar
informações con�denciais.
Se na empresa em que você trabalha alguém liga, se identi�ca como funcionário da área de TI e
pede seus dados para fazer uma veri�cação de segurança, qual sua atitude? 
Vamos Começar!
Engenharia social (acesso às informações pessoais) de
dispositivos móveis
A engenharia social no contexto de dispositivos móveis envolve táticas especí�cas que os
atacantes utilizam para obter acesso a informações pessoais ou comprometer a segurança dos
dispositivos móveis.
Há algumas estratégias usadas na engenharia social voltada para dispositivos móveis,
reforçadas por  Howell et al. (2020) e NCCoE (2020):
Furto de identidade por campanhas de phishing por Short Message Service (SMS) ou e-
mail, que fazem uso de técnicas de engenharia social e uso de senso de urgência para
obter a atenção e promover o direcionamento das vítimas a sites fraudulentos, nos quais
entregam suas credenciais de acesso, cartões de crédito e outras informações sensíveis.
Atacantes criam aplicativos falsos que se assemelham a aplicativos populares e, em
seguida, os distribuem, muitas vezes, fora das lojas de aplicativos o�ciais. Os usuários são
enganados a instalá-los e, assim, concedem acesso indevido a informações pessoais.
Os atacantes podem �ngir ser de empresas de telecomunicações ou provedores de
serviços e entrar em contato com os usuários para solicitar informações con�denciais.
Atacantes podem con�gurar pontos de acesso Wi-Fi falsos que parecem ser redes
legítimas em locais públicos. Quando os usuários se conectam a essas redes, seus dados
podem ser interceptados.
Disciplina
Segurança e Auditoria de
Sistemas
Atacantes podem usar informações pessoais disponíveis publicamente ou obtidas por
meio de outras táticas de engenharia social para rede�nir senhas ou responder a perguntas
de segurança e, assim, assumir o controle de contas de redes sociais, e-mails ou outros
serviços online vinculados a dispositivos móveis.
Os atacantes podem criar mensagens de voz ou chamadas falsas que parecem ser de
fontes con�áveis, induzindo os usuários a tomar ações prejudiciais, como ligar para um
número de retorno falso.
Os atacantes podem se passar por agentes de suporte técnico de empresas de
dispositivos móveis ou fabricantes e convencer os usuários a realizar ações que
comprometam a segurança de seus dispositivos.
A engenharia social em dispositivos móveis é uma ameaça signi�cativa à segurança da
informação, que explora a psicologia humana para obter acesso a informações pessoais e
con�denciais. A conscientização e a implementação de medidas de segurança adequadas são
essenciais para mitigar esse tipo de ameaça.
Siga em Frente...
Medidas de segurança em engenharia social
Elas visam proteger as organizações e indivíduos contra tentativasde manipulação e exploração
psicológica para obter informações con�denciais. Algumas medidas são:
Eduque os funcionários e usuários sobre as ameaças de engenharia social, ensinando-os a
reconhecer sinais de tentativas de manipulação.
Realize treinamentos regulares em segurança cibernética para manter todos atualizados
sobre as táticas e os riscos envolvidos.
Desenvolva e aplique políticas de segurança que incluam diretrizes especí�cas para lidar
com solicitações de informações con�denciais e a validação de identidade de terceiros.
Estabeleça um protocolo de veri�cação para qualquer solicitação de dados ou informações
con�denciais.
Sempre veri�que a identidade da pessoa ou entidade que solicita informações
con�denciais antes de compartilhá-las.
Use autenticação de dois fatores para garantir que as pessoas que solicitam informações
con�denciais estejam devidamente autorizadas.
Compartilhe apenas as informações estritamente necessárias e evite fornecer mais
detalhes do que o necessário.
Reduza o acesso a informações con�denciais a um grupo restrito de pessoas com base no
princípio do mínimo privilégio.
Esteja atento a comportamentos suspeitos ou solicitações de informações incomuns.
Implemente sistemas de detecção de ameaças que possam identi�car atividades
maliciosas ou anormais.
Disciplina
Segurança e Auditoria de
Sistemas
Estabeleça procedimentos para relatar e responder a tentativas de engenharia social.
Encoraje as pessoas a relatar imediatamente qualquer atividade suspeita.
Mantenha informações pessoais e con�denciais de acordo com regulamentações de
privacidade, como o LGPD (Lei Geral de Proteção de Dados).
Adote medidas de segurança técnicas para proteger dados armazenados e em trânsito.
Realize exercícios de simulação de ataques de engenharia social para treinar funcionários e
avaliar a e�cácia das medidas de segurança.
Garanta que as senhas sejam fortes e protegidas.
Promova a troca regular de senhas.
Esteja em conformidade com regulamentações e leis de privacidade aplicáveis para evitar
penalidades legais.
Lembre-se que a segurança da informação é uma preocupação contínua e exige a colaboração
de todos os envolvidos. A engenharia social pode ser uma ameaça sutil, e a conscientização e as
medidas de segurança apropriadas desempenham um papel fundamental na prevenção de
ataques bem-sucedidos.
Técnicas de engenharia social
As técnicas de engenharia social visam uma série de golpes na internet, explorando as fraquezas
dos usuários. São utilizados conhecimentos psicológicos com tecnologia para atingir os
objetivos do golpista. Os golpistas são extremamente criativos, envolvendo, por exemplo, a
possibilidade de inscrição em serviços de proteção de crédito ou o cancelamento de um
cadastro ou um grande ganho �nanceiro, como pirâmides �nanceiras.
Com uso de técnicas de engenharia social, com o senso de urgência, levam o usuário à
instalação de malwares, ao direcionamento para sites falsos e ao envio de dados sensíveis para
criminosos.
O resultado é um conjunto de atividades maliciosas que incluem o furto de identidades para
criação de contas fraudulentas em serviços online e bancos, a realização de transações ilícitas,
envio de mensagens falsas, acesso a serviços variados por terceiros, entre outras atividades
possíveis a partir das credenciais das vítimas ou dados sensíveis.
Vamos Exercitar?
Você trabalha em uma empresa de médio porte que lida com informações con�denciais de
clientes e parceiros. Recentemente, a empresa implementou políticas de segurança rigorosas
para proteger seus dados e informações. No entanto, um funcionário da equipe de atendimento
ao cliente relata ter recebido uma ligação de alguém que a�rmava ser um técnico de suporte de
TI da empresa e pedia acesso remoto ao seu dispositivo móvel para "corrigir problemas de
Disciplina
Segurança e Auditoria de
Sistemas
segurança". O funcionário descon�ou da chamada, mas não sabia como proceder. Essa situação
destaca uma possível tentativa de engenharia social em dispositivos móveis.
Resolução:
Inicialmente, a empresa deve garantir que seus funcionários estejam bem treinados e
conscientes dos riscos de engenharia social, incluindo exemplos de tentativas comuns, como
essa ligação de um suposto técnico de TI.
A empresa deve ter uma política de segurança clara e comunicá-la a todos os funcionários,
destacando que a equipe de TI nunca solicitará acesso remoto por telefone ou e-mail sem um
procedimento formal de solicitação.
O funcionário que recebeu a ligação fez o correto ao descon�ar. Ele deveria pedir ao chamador
que forneça informações de autenticação, como um número de identi�cação ou um nome de
funcionário da TI, para veri�car sua identidade.
O funcionário deve relatar imediatamente a ligação suspeita à equipe de TI ou a um supervisor,
para que eles possam veri�car se a ligação é legítima.
É importante manter registros de todas as comunicações suspeitas e reportá-las à equipe de
segurança cibernética ou à equipe de TI.
A empresa pode implementar autenticação de dois fatores (2FA) para garantir que, mesmo que
alguém obtenha acesso às credenciais de um funcionário, seja necessário um segundo fator de
autenticação para entrar nos sistemas da empresa.
Realize treinamentos periódicos em segurança cibernética para garantir que os funcionários
estejam atualizados e conscientes das ameaças em constante evolução.
Nesse cenário, a empresa conseguiu evitar com sucesso uma tentativa de engenharia social de
acesso a dispositivos móveis, graças à conscientização do funcionário e à aplicação das
políticas de segurança apropriadas. Isso ressalta a importância de uma abordagem proativa para
a segurança da informação e a colaboração entre os funcionários e a equipe de TI.
Saiba mais
Leia mais:
AGRA, A. D.; BARBOZA, F. M. Segurança de sistemas da informação. Porto Alegre: Grupo A, 2019.
Disciplina
Segurança e Auditoria de
Sistemas
No nono capítulo (p. 45), são de�nidos testes de intrusão, diferenciando os tipos de pentests e
descritas as suas etapas.
BARRETO, Jeanine. S. et al. Fundamentos de segurança da informação. Porto Alegre: Grupo A,
2018. Disponível em: Minha Biblioteca.
Em seu décimo primeiro capítulo (p. 123), veja uma ampla discussão sobre engenharia social.
MUELLER, Bernhard; SCHLEIER, Sven; WILLEMSEN, Jeroen. MSTG.  Mobile Security Testing
Guide. OWASP Mobtile Team, August 4, 2019. Disponível em: https://github.com/OWASP/owasp-
mstg/releases/tag/1.1.3. Acesso em: 26 out. 23.
Aqui você tem muitas informações sobre desenvolvimento de aplicativos móveis seguros.
Referências
HOWELL, G. et al. NCCoE, National Cybersecurity Center of Excelence.  NIST, National Institute of
Standards and Technology. U.S. Department of Commerce.  Nist Special Publication 1800-21.
Mobile Device Security: Corporate-Owned Personally-Enabled (COPE). 2020.  Disponível em:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-21.pdf   Acesso em: 26 out.
23.
NAKAMURA, E. T. Segurança da informação e de redes. São Paulo: Editora e Distribuidora
Educacional S.A. 2016. 
NCCoE. National Cybersecurity Center of Excelence. Mobile Device Security. NIST, National
Institute of Standards and Technology. U.S. Department of Commerce. 2020. Disponível em: 
https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security  Acesso em: 26 out.
23.
NCCoE. National Cybersecurity Center of Excelence. Mobile Threat Catalogue. NIST, National
Institute of Standards and Technology. U.S. Department of Commerce. 2020.  Disponível em:
https://pages.nist.gov/mobile-threat-catalogue/   Acesso em: 26 out. 23.
Aula 5
Encerramento da Unidade
Videoaula de Encerramento
https://github.com/OWASP/owasp-mstg/releases/tag/1.1.3.
https://github.com/OWASP/owasp-mstg/releases/tag/1.1.3.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-21.pdf
https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security
https://pages.nist.gov/mobile-threat-catalogue/
Disciplina
Segurança e Auditoria de
Sistemas
Este conteúdo é umvídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Chegada
Olá, estudante! Para desenvolver a competência desta Unidade, que é compreender os diferentes
tipos de ataques, seja na web ou nos dispositivos móveis, e suas possíveis medidas de
segurança, percorremos diversos caminhos. Para isso, trouxemos um pouco de conhecimento da
web, de dispositivos móveis e de técnicas utilizadas, como a engenharia social, que nada mais é
que um golpe que utiliza a arte de enganar.
As aplicações web desempenham um papel fundamental na disseminação de informações e na
interação com usuários, mas também são alvos frequentes de ameaças cibernéticas. É essencial
entender as vulnerabilidades comuns em aplicações web para proteger dados e sistemas.
Vulnerabilidades comuns em aplicações web são falhas ou fraquezas que podem ser exploradas
por atacantes para comprometer a segurança de um aplicativo, sistema ou servidor. Essas
vulnerabilidades podem levar a ataques cibernéticos, como roubo de dados, acesso não
autorizado e interrupções de serviços.
Há diversas vulnerabilidades em aplicações web, como injeção de SQL, que ocorre quando dados
não �ltrados ou validados são inseridos em consultas SQL, permitindo que um invasor execute
comandos maliciosos no banco de dados; há o Cross-Site Scripting (XSS) que permite que um
atacante injete scripts maliciosos em páginas da web visitadas por outros usuários,
comprometendo a segurança e privacidade dos dados dos usuários; a injeção de código, que
ocorre quando um invasor insere código malicioso em campos de entrada ou URL para executar
comandos no servidor, entre diversas outras.
Para proteger aplicações web contra essas vulnerabilidades, é fundamental implementar boas
práticas de segurança, como validação de entrada, autenticação forte, controle de acesso,
Disciplina
Segurança e Auditoria de
Sistemas
criptogra�a adequada, monitoramento contínuo e testes de penetração regulares. A
conscientização sobre segurança cibernética e a atualização regular de sistemas e bibliotecas
também desempenham um papel crucial na mitigação dessas ameaças.
Utilizamos praticamente 24 horas por dia nossos smartphones, tanto para uso pessoal como
pro�ssional e, muitas vezes, um mesmo dispositivo. Precisamos estar conectados, porém essa
facilidade pode nos trazer alguns problemas pessoais ou corporativos e temos que estar atentos
a eles para minimizá-los.
As ameaças para dispositivos móveis precisam ser entendidas para que a melhor estratégia de
segurança possa ser de�nida pela empresa, incluindo a aplicação de melhores práticas de
segurança e o uso de soluções de segurança para a proteção de todo o ambiente (Brown et al.,
2016).
As empresas possuem algumas estratégias para proteger as informações que estão nos
dispositivos móveis de seus colaboradores, por gerenciamento do ambiente tecnológico da
empresa. Temos duas bem conhecidas: MDM (Mobile Device Management) e o EMM (Enterprise
Mobility Management). Os objetivos de segurança que orientam o EMM e MDM são evitar
acessos indevidos, garantir a segurança das informações e proteção dos dados, inclusive em
caso de perda ou furto do aparelho; otimizar recursos e reduzir gastos; reduzir riscos; reduzir a
superfície de ameaça, entre outros.
Esses objetivos de segurança são fundamentais para garantir que as práticas de mobilidade
empresarial sejam seguras e atendam aos requisitos de proteção de dados e privacidade,
permitindo que as empresas aproveitem os benefícios da mobilidade sem comprometer a
segurança da informação.
A engenharia social consiste em utilizar técnicas psicológicas para convencer o usuário a ceder
dados, ou seja, a arte de enganar. Com isso, o golpista pode conseguir credenciais de acesso e,
de forma geral, quebrar a con�dencialidade dos seus dados. As �nalidades são diversas, sendo a
mais comum delas o roubo de valores em conta corrente, pix, transferências de valores usando
programas instalados sem que o usuário conheça, en�m, inúmeras situações em que o usuário
sempre sairá prejudicado.
A versão digital da engenharia social chega de várias formas: e-mail, SMS ou algum link enviado
via rede social, como WhatsApp, SMS ou Instagram. A ideia é fazer o usuário clicar em um link
malicioso que contém algum tipo de recadastro de senhas (o usuário informa a senha atual,
usada pelos criminosos para acesso futuro) ou em um link que instala algum programa que
monitora todas as ações do usuário.
Para se proteger da engenharia social em dispositivos móveis, é importante seguir boas práticas
de segurança, como:
Disciplina
Segurança e Auditoria de
Sistemas
Descon�ar de mensagens, chamadas e e-mails não solicitados que pedem informações
pessoais ou ações imediatas.
Veri�car a autenticidade de remetentes e fontes antes de compartilhar informações
con�denciais.
Evitar a instalação de aplicativos de fontes não con�áveis e manter os aplicativos
atualizados.
Não se conectar a redes Wi-Fi públicas não seguras.
Con�gurar bloqueio de tela e autenticação de dois fatores para proteger o acesso ao
dispositivo.
Educar-se e manter-se informado sobre as táticas de engenharia social mais recentes.
A conscientização e a cautela são cruciais para proteger dispositivos móveis e informações
pessoais contra ataques de engenharia social.
É Hora de Praticar!
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Uma empresa de médio porte adotou um programa de BYOD (Bring Your Own Device) que
permite que os funcionários usem seus próprios dispositivos móveis para acessar informações
corporativas e realizar tarefas de trabalho. Recentemente, a equipe de segurança de TI recebeu
relatos de funcionários que receberam e-mails suspeitos contendo links que os direcionavam
para páginas de login falsas. Alguns funcionários relataram que, sem perceber, forneceram suas
credenciais de login em uma dessas páginas. A empresa está preocupada com a segurança dos
dados corporativos e deseja realizar um teste de penetração (pentest) para identi�car
vulnerabilidades e avaliar a e�cácia das medidas de segurança existentes. Também está
interessada em entender como os atacantes podem estar explorando a engenharia social para
obter acesso não autorizado aos dispositivos móveis dos funcionários.
Devemos con�ar em tudo que aparece na internet?
Devemos veri�car dos pedidos de solicitações de nossas credencial?
Devemos descon�ar de todos os links que recebemos?
A equipe de segurança de TI deve realizar uma investigação completa dos incidentes relatados,
coletando informações sobre os e-mails suspeitos, os dispositivos afetados e as credenciais
comprometidas. Após a investigação, a empresa deve contratar uma empresa de segurança de
Disciplina
Segurança e Auditoria de
Sistemas
TI ou especialistas em pentest para realizar uma avaliação abrangente da segurança dos
dispositivos móveis e das aplicações corporativas. Isso envolve a identi�cação de
vulnerabilidades e a exploração controlada para avaliar a capacidade de um invasor de
comprometer os dispositivos ou sistemas. Posteriormente, revisar e atualizar as políticas de
segurança, especialmente as relacionadas ao uso de dispositivos móveis pessoais para �ns
corporativos e certi�car-se de que os funcionários estejam cientes das diretrizes de segurança, e
que as políticas estejam em conformidade com as melhores práticas. Para isso, deve-se realizar
treinamentos regulares de conscientização em segurança cibernética para funcionários,enfatizando a importância da vigilância contra a engenharia social e a identi�cação de e-mails ou
mensagens suspeitos. Além disso, deve-se implementar a autenticação de dois fatores (2FA)
para aumentar a segurança das contas corporativas, di�cultando o acesso não autorizado
mesmo se as credenciais forem comprometidas, implementar um sistema de monitoramento de
segurança que rastreie atividades suspeitas, como tentativas de login fracassadas ou
comportamento incomum nos dispositivos móveis. É importante sempre comunicar de forma
transparente com os funcionários os resultados do pentest, as medidas de segurança adotadas
e as ações corretivas tomadas, tendo um plano de resposta a incidentes em vigor, que inclua
procedimentos para lidar com violações de segurança, incluindo vazamentos de dados ou
comprometimento de dispositivos.
Ao seguir essas etapas, a empresa poderá identi�car e mitigar vulnerabilidades em seus
dispositivos móveis, aplicativos e políticas de segurança. Isso também ajudará a aumentar a
conscientização dos funcionários sobre a engenharia social e a importância da segurança da
informação no contexto do BYOD.
Disciplina
Segurança e Auditoria de
Sistemas
BROWN, C. et al. (DRAFT) NISTIR 8144 Assessing Threats to Mobile Devices & Infrastructure -
The Mobile Threat Catalogue. NIST, National Institute of Standards and Technology. U.S.
Disciplina
Segurança e Auditoria de
Sistemas
Department of Commerce. September, 2016. Disponível em:
https://www.nccoe.nist.gov/sites/default/�les/library/mtc-nistir-8144-draft.pdf   Acesso em: 26
out. 23.
Cybersecurity Framework. The Five Functions. NIST, 2020. Disponível em:
https://www.nist.gov/cyberframework/online-learning/�ve-functions  Acesso em: 11 out. 23.
,
Unidade 4
Auditoria de Sistemas e Segurança
Aula 1
Fundamentos de Auditoria de Sistemas
Fundamentos de Auditoria de Sistemas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
Auditoria de sistemas é uma atividade crítica que visa avaliar e garantir a integridade,
con�dencialidade e disponibilidade dos sistemas de informação de uma organização. Ela
desempenha um papel fundamental na identi�cação de possíveis vulnerabilidades, na
conformidade com políticas e regulamentações de segurança e na mitigação de riscos de
https://www.nccoe.nist.gov/sites/default/files/library/mtc-nistir-8144-draft.pdf
https://www.nist.gov/cyberframework/online-learning/five-functions
Disciplina
Segurança e Auditoria de
Sistemas
segurança cibernética. A auditoria valida a e�ciência e e�cácia dos controles de segurança, com
uma análise criteriosa que segue processos e aplica técnicas e ferramentas.
O papel do auditor de sistemas é de extrema importância, uma vez que ele é responsável por
conduzir a auditoria, analisar controles de segurança, identi�car vulnerabilidades, assegurar a
conformidade com políticas internas e regulamentações, fornecer recomendações de melhorias
e contribuir para a conscientização e educação em segurança da informação.
Para alcançar esses objetivos, o auditor de sistemas emprega diversas técnicas de auditoria de
TI, incluindo revisões de documentação, testes de penetração, análise de vulnerabilidades,
entrevistas, análise de logs, entre outras. Essas técnicas são aplicadas de forma abrangente e
sistemática para avaliar a e�cácia dos controles de segurança e a postura geral de segurança da
organização.
No contexto da segurança da informação, a auditoria de sistemas desempenha um papel crítico
na proteção contra ameaças cibernéticas, na garantia de conformidade com as regulamentações
e na manutenção de um ambiente de TI seguro. Esse processo contínuo de avaliação e melhoria
contribui para a integridade e con�abilidade das operações de TI, ao mesmo tempo que fortalece
a capacidade da organização de enfrentar desa�os de segurança em um mundo digital em
constante evolução. Portanto, a auditoria de sistemas é um componente essencial da estratégia
de segurança de qualquer organização comprometida em proteger seus ativos de informação e
manter a con�ança de seus stakeholders.
Quando é necessário realizar uma auditoria em sua empresa? 
Vamos Começar!
Introdução à auditoria de sistemas: conceitos, princípios
Conforme de�nição do Information Systems Audit and Control Association (ISACA,2016), que
foca em sistemas de informação, a auditoria é uma inspeção e veri�cação formal para checar se
um padrão ou conjunto de guias está sendo seguido, se os registros estão corretos e se os
objetivos de e�ciência e e�cácia estão sendo alcançados.
A auditoria de sistemas é o processo sistemático de avaliação e veri�cação dos controles de
segurança escolhidos, políticas e procedimentos em um ambiente de TI para garantir que os
sistemas de informação estejam operando de acordo com as melhores práticas de segurança e
estejam em conformidade com políticas e regulamentações.
Os controles de segurança são as medidas e salvaguardas implementadas para proteger os
ativos de informação, incluindo dados, sistemas, redes e recursos, contra ameaças e
vulnerabilidades.
Disciplina
Segurança e Auditoria de
Sistemas
A auditoria visa ainda con�rmar para a alta gestão da empresa que o negócio está funcionando
bem e está preparado para enfrentar os potenciais desa�os. Ela visa, principalmente, assegurar
aos diferentes atores envolvidos no negócio a estabilidade �nanceira, operacional e ética da
organização (ISACA, 2016).
O trabalho só pode ser realizado por auditores, que são pro�ssionais com certi�cação para
exercer essa função. Outra característica é que a auditoria é independente das funções
operacionais, o que permite que sejam providas opiniões objetivas e sem viés sobre a efetividade
do ambiente de controle interno (ISACA, 2016).
Quando uma auditoria é realizada, temos que primar por alguns princípios:
Os auditores devem coletar, revisar e documentar evidências para respaldar suas descobertas. A
auditoria de sistemas depende de evidências substanciais e con�áveis para apoiar as
conclusões.
A auditoria de sistemas deve avaliar se a organização está em conformidade com normas e
regulamentações relevantes, como as da ISO 27001, HIPAA, GDPR, LGPD, entre outras.
Os auditores devem manter a con�dencialidade das informações sensíveis que podem ser
acessadas durante a auditoria.
Após a auditoria, os resultados e as descobertas devem ser comunicados de maneira clara e
e�caz à equipe de gestão e outras partes interessadas, incluindo recomendações para
melhorias.
A auditoria de sistemas é uma prática em constante evolução devido às mudanças nas ameaças
e tecnologias. Os auditores devem se manter atualizados com as melhores práticas e tendências
de segurança.
A auditoria de sistemas desempenha um papel crucial na garantia da segurança da informação,
na identi�cação de lacunas de segurança e na manutenção de um ambiente de TI seguro e em
conformidade com regulamentações aplicáveis. Ela ajuda as organizações a identi�car e mitigar
riscos de segurança cibernética e a manter a con�ança dos stakeholders em relação à proteção
de dados e sistemas críticos.
O papel do auditor de sistemas  
O papel do auditor de TI no contexto da segurança da informação, de acordo com as diretrizes do
ISACA e o ITAF (Information Technology Assurance Framework), é fundamental para assegurar
que os controles e práticas de segurança estejam alinhados com os objetivos organizacionais
(ISACA, 2016).
Disciplina
Segurança e Auditoria de
Sistemas
 A ISACA desenvolveu várias diretrizes e certi�cações, incluindo o COBIT (Control Objectives for
Information and Related Technologies),que oferecem orientação especí�ca sobre o papel do
auditor de TI. Veja:
Colaborar na de�nição dos objetivos e escopo da auditoria de segurança da informação,
alinhados aos objetivos de negócio e regulamentações aplicáveis.
Participar na identi�cação e avaliação de riscos de segurança da informação para orientar
o desenvolvimento do plano de auditoria.
Contribuir para o desenvolvimento do plano de auditoria, incluindo cronogramas.
Utilizar técnicas de auditoria para coletar evidências relacionadas aos controles de
segurança da informação.
Avaliar a e�cácia dos controles internos de segurança, garantindo conformidade com
políticas, normas e regulamentações.
Realizar testes técnicos, como varreduras de vulnerabilidade e revisões de con�guração,
para avaliar a postura de segurança de sistemas e redes.
Revisar documentos, políticas e procedimentos relacionados à segurança da informação.
Preparar um relatório claro e abrangente que inclua descobertas, recomendações e
conclusões sobre a e�cácia dos controles de segurança.
Comunicar os resultados da auditoria à alta administração, destacando áreas de risco e
propondo melhorias.
Monitorar a implementação das recomendações pós-auditoria e garantir que as ações
corretivas sejam e�cazes.
Manter-se atualizado com as melhores práticas de segurança da informação,
regulamentações e tecnologias emergentes.
Contribuir para a melhoria contínua dos processos de segurança da informação, aplicando
lições aprendidas em auditorias anteriores.
Assegurar que os controles de segurança estejam em conformidade com padrões
reconhecidos, como ISO 27001, e regulamentações especí�cas do setor.
Manter altos padrões éticos e pro�ssionais ao conduzir auditorias, garantindo
imparcialidade e integridade.
Essas responsabilidades re�etem o papel central do auditor de TI na garantia da segurança da
informação, ajudando as organizações a protegerem seus ativos e a atingirem seus objetivos de
negócio. É importante adaptar essas responsabilidades às necessidades especí�cas da
organização e considerar as mudanças nas ameaças de segurança e nas tecnologias
emergentes.
Siga em Frente...
Técnicas de auditoria de TI
As principais fases da auditoria são o planejamento, execução ou trabalho em campo e relatório.
Disciplina
Segurança e Auditoria de
Sistemas
Planejamento da auditoria
1. Estabelecer objetivos e escopo: de�na claramente os objetivos da auditoria, identi�cando
as áreas especí�cas a serem avaliadas. Determine o escopo da auditoria, considerando
riscos, regulamentações e requisitos organizacionais.
2. Avaliação de riscos: identi�que e avalie os riscos relacionados à segurança da informação.
Considere ameaças, vulnerabilidades e impactos para priorizar os pontos críticos a serem
auditados.
3. Desenvolvimento do plano de auditoria: elabore um plano detalhado que inclua
cronogramas, recursos necessários e métodos de avaliação. Alinhe o plano com os
objetivos estratégicos da organização.
Execução da auditoria
1. Coleta de evidências: utilize procedimentos de auditoria para coletar evidências relevantes.
Realize entrevistas, revisões documentais e testes técnicos para validar controles de
segurança.
2. Avaliação de controles internos: veri�que a e�cácia dos controles internos relacionados à
segurança da informação. Avalie o alinhamento com padrões e regulamentações, como
ISO 27001.
3. Testes de segurança técnica: realize testes técnicos, como varreduras de vulnerabilidade e
análise de conformidade. Avalie a segurança de sistemas, redes e aplicativos.
4. Documentação adequada: mantenha registros detalhados de todas as atividades e
resultados da auditoria. Garanta a rastreabilidade das conclusões até as evidências
coletadas.
Relatório da auditoria
1. Elaboração do relatório: apresente claramente os resultados da auditoria, destacando
descobertas e recomendações. Estruture o relatório de forma compreensível para
diferentes públicos, incluindo a alta administração.
2. Comunicação com a administração: comunique os resultados da auditoria à alta
administração de forma transparente. Forneça insights sobre os riscos e impactos
associados às descobertas.
3. Follow-up: monitore a implementação de recomendações pós-auditoria. Garanta que as
ações corretivas sejam e�cazes e alinhadas aos objetivos da auditoria.
4. Melhoria contínua: utilize as lições aprendidas para aprimorar futuras auditorias.
Contribua para a melhoria contínua dos processos de segurança da informação na organização.
Alguns métodos para avaliar controles, conforme o ISACA, são:
Disciplina
Segurança e Auditoria de
Sistemas
Software de auditoria para analisar o conteúdo de arquivos de dados, como os logs de
sistemas e a lista de acesso de usuários.
Software especializado para avaliar conteúdo de sistemas operacionais, banco de dados e
arquivos de parâmetros de aplicações.
Técnicas de desenho de �uxos para documentar processos de negócios e controles
automatizados.
Logs de auditorias e relatórios para avaliar parâmetros.
Revisão de documentação.
Perguntas e observação.
Simulações passo a passo.
Execução de controles.
Certi�que-se de consultar as versões mais recentes do ITAF, COBIT e outras normas relevantes,
pois as diretrizes podem ser atualizadas ao longo do tempo. Além disso, considere a
conformidade com regulamentações especí�cas do setor em que a organização atua.
Vamos Exercitar?
Em uma empresa de médio porte, especializada em serviços �nanceiros, o departamento de TI
percebeu um aumento nos incidentes de segurança da informação. Houve relatos de acessos
não autorizados a sistemas críticos, vazamento de informações con�denciais e atividades
suspeitas em servidores de armazenamento de dados. A alta administração está preocupada
com a possível exposição a riscos �nanceiros e reputacionais.
Resolução:
A empresa decide realizar uma auditoria de segurança da informação para identi�car
vulnerabilidades, avaliar a e�cácia dos controles existentes e propor melhorias. O auditor de TI
desempenha um papel essencial nesse processo.
Planejamento: o auditor de TI, em conjunto com a equipe de segurança da informação,
estabelece os objetivos da auditoria, de�nindo claramente as áreas a serem avaliadas; identi�ca
os ativos críticos, como servidores, bancos de dados e sistemas de pagamento, para determinar
o escopo da auditoria.
Avaliação de riscos: realiza uma análise de riscos detalhada para identi�car as principais
ameaças e vulnerabilidades. Prioriza os riscos com base em sua probabilidade de ocorrência e
impacto nos negócios.
Execução da auditoria: conduz testes técnicos, incluindo varreduras de vulnerabilidade e análise
de logs de segurança, para identi�car possíveis brechas. Avalia a e�cácia dos controles de
acesso, políticas de senha e criptogra�a implementadas nos sistemas.
Disciplina
Segurança e Auditoria de
Sistemas
Relato da auditoria: prepara um relatório abrangente destacando as descobertas da auditoria,
incluindo pontos fortes e áreas de melhoria. Comunica os resultados à alta administração,
explicando os riscos identi�cados e fornecendo recomendações claras.
Seguimento e melhoria contínua: monitora a implementação das recomendações, garantindo que
as ações corretivas sejam e�cazes. Contribui para a elaboração de políticas e procedimentos
atualizados, visando melhorar continuamente a postura de segurança da informação.
Conformidade às normas: veri�ca a conformidade com normas relevantes, como ISO 27001, e
assegura que a empresa esteja aderindo às melhores práticas de segurança da informação.
Ao �nal da auditoria, a empresa implementa as recomendações do auditor de TI, reforçando
controles de segurança, promovendo a conscientização dos funcionários e fortalecendo a
postura geral de segurança da informação. Essa abordagem ajuda a mitigar os riscos
identi�cados e a proteger a empresa contra ameaças futuras, fortalecendo sua segurança
cibernética e preservando sua reputação no mercado.
Saiba mais
Recomendações de leitura:
Imoniana, Joshua O. Auditoria de Sistemas de Informação, 3. ed. Barueri:Grupo GEN, 2016.
Disponível em: Minha Biblioteca.
Em seu primeiro capítulo (p. 1), são apresentadas muitas de�nições e diferenciações dentro da
auditoria, iniciando pelo histórico, depois pelo conceito de sistemas e, posteriormente, conceitos
de auditoria de sistemas de informação.
Em seu item 1.4. Competências e per�s do auditor de sistemas (p. 4), traz uma tabela com vários
aspectos sobre o auditor, mostrando tarefas do auditor de sistemas de informação,
conhecimentos de tecnologia e sistemas de informações         e seus conhecimentos de
auditoria.
Barreto, Jeanine S. et al. Fundamentos de segurança da informação. Porto Alegre: Grupo A, 2018.
Disponível em: Minha Biblioteca.
No capítulo de Aplicação de normas, padrões internacionais e certi�cações (p. 151), temos
fontes pertinentes de auditoria.
Referências
Disciplina
Segurança e Auditoria de
Sistemas
ISACA. ITAF®. A Professional Practices Framework for IS Audit/Assurance. 3rd Edition. 2019.
Disponível em: http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-
Audit-/Pages/default.aspx   Acesso em: 10 nov. 23.
ISACA. Information Systems Audit and Control Association. COBIT 2019 Framework. Introduction
and Methodology. 2018. Disponível em: https://bit.ly/31uXeJr Acesso em: 10 nov. 23.
ISACA. Information Systems Audit and Control Association. COBIT 2019 Framework. Governance
and Management Objectives. 2018. Disponível em: https://bit.ly/3dnOWbw  Acesso em: 10 nov.
23.
ISACA. Information Systems Audit and Control Association. Information Systems Auditing: Tools
and Techniques Creating Audit Programs. 2016. Disponível em: https://bit.ly/3rx5Cm1  Acesso
em: 10 nov. 23.
ISACA. Information Systems Audit and Control Association. Auditing Cyber Security: Evaluating
Risk and Auditing Controls. 2017. Disponível em: https://bit.ly/3sVDgUl  Acesso em: 10 nov. 23.
ISACA. Information Systems Audit and Control Association. IT Audit Framework (ITAF™). A
Professional Practices Framework IT Audit. 4th Edition. Disponível em: https://bit.ly/2Poo17z 
Acesso em: 10 nov. 23.
ISACA. Information Systems Audit and Control Association. Protiviti. IT Audit’s Perspectives on
the Top Technology Risks for 2021. 2020. Disponível em: https://bit.ly/3u8Ag6Y  Acesso em: 10
nov. 23.
Aula 2
Controles Gerais de Auditoria de Sistemas
Controles gerais de auditoria de sistemas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/Pages/default.aspx
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/Pages/default.aspx
https://bit.ly/31uXeJr
https://bit.ly/3dnOWbw
https://bit.ly/3rx5Cm1
https://bit.ly/3sVDgUl
https://bit.ly/2Poo17z
https://bit.ly/3u8Ag6Y
Disciplina
Segurança e Auditoria de
Sistemas
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
A auditoria visa garantir que os controles sejam adequados para cada uma das empresas, tanto
na de�nição quanto na implantação, de modo que os objetivos da empresa estejam sendo
alcançados de uma forma e�ciente e e�caz. Em função disso, a auditoria de sistemas é
fundamental para a efetiva proteção da empresa, ao analisar a e�ciência e e�cácia dos controles
de�nidos e implementados.
Os controles têm objetivos diversos, seja para o processo de aquisição, desenvolvimento e
manutenção de sistemas ou para o controle de acesso lógico e físico. Há controles voltados para
a segurança e privacidade, como os de�nidos na norma ABNT NBR ISO/IEC 27002. E há
controles voltados para outras �nalidades, como para a governança de TI (COBIT) ou para o
gerenciamento de serviços (ITIL). O importante é que eles têm relação com a segurança e
privacidade, como a continuidade de serviços do ITIL, que é importante para a proteção da
disponibilidade da informação.
O auditor precisa conhecer as normas, padrões, frameworks, regulações e leis que exigem a
implantação de controles, assim como conhecer os seus objetivos dos controles para poder
conduzir uma boa auditoria, atingindo os objetivos esperados.
Como podemos fazer uma auditoria de controle físico? 
Vamos Começar!
Controles de software de sistema, controles de acesso,
controles de desenvolvimento e alteração de softwares em
aplicativo
Em um contexto de auditoria de segurança da informação, há diferentes tipos de controles que
são implementados para garantir a integridade, con�dencialidade e disponibilidade dos dados.
Esses controles devem der avaliados nas auditorias para garantir que as práticas de segurança
estejam implementadas de maneira e�caz.
Disciplina
Segurança e Auditoria de
Sistemas
Quando falamos de controles de software de sistema, dizemos respeito às medidas de
segurança implementadas no nível do sistema operacional para garantir a integridade,
con�dencialidade e disponibilidade do ambiente de computação. Para esses controles, em uma
auditoria, podemos fazer:
Veri�cação de atualizações regulares do sistema operacional.
Avaliação das con�gurações de segurança, como �rewalls e políticas de senhas.
Revisão de logs e eventos do sistema para identi�car atividades suspeitas.
Veri�cação dos controles de acesso físico a servidores e data centers.
Quando nos referimos aos controles de acesso, que são os controles que gerenciam quem tem
permissão para acessar determinados recursos ou informações em um sistema, em uma
auditoria, podemos fazer:
Revisão dos processos de autenticação de usuários (senhas, tokens, biometria).
Avaliação das autorizações de acesso com base em funções (RBAC).
Veri�cação dos controles de acesso físico a instalações críticas.
Quando falamos de controles de desenvolvimento e alteração de software aplicativo, nos
referimos às práticas durante o ciclo de vida do desenvolvimento de software para garantir a
segurança do código e dos aplicativos. Para esses controles, em uma auditoria podemos fazer:
Revisão de políticas e procedimentos de segurança durante o desenvolvimento de
software.
Avaliação das práticas de revisão de código para identi�car vulnerabilidades.
Veri�cação dos testes de segurança, como testes de penetração e varreduras de
vulnerabilidades.
Análise das políticas de gerenciamento de con�guração para garantir a integridade do
software.
Durante uma auditoria, os auditores avaliam se esses controles estão alinhados com as
melhores práticas de segurança da informação e se estão sendo implementados de maneira
consistente. Isso ajuda a garantir que a organização esteja tomando medidas adequadas para
proteger seus sistemas e dados contra ameaças de segurança. Além disso, a conformidade às
regulamentações e padrões relevantes também é veri�cada durante o processo de auditoria.
Controles físicos e lógicos
Para Imoniana (2016), uma função de segurança bem controlada tem mecanismos para
restringir o acesso físico aos recursos de computação, programas para restringir o acesso lógico
a esses recursos e procedimentos estabelecidos para monitorar e garantir a segurança de
informações. Perda de hardware ou meios físicos de arquivo de dados, alterações não
Disciplina
Segurança e Auditoria de
Sistemas
autorizadas de dados ou programas, ou controles programados ine�cientes, podem indicar
ine�ciência no controle da segurança de acessos lógicos.
O NIST Cybersecurity Framework (2020) tem uma família de controles de segurança para o
controle de acesso. Esses controles são um dos principais alvos de avaliações em auditorias e
envolvem controles relacionados à identi�cação, autenticação e autorização, como pode ser
visto no Quadro 1:
Política e procedimentos Controle de acesso para
dispositivos móveis
Gerenciamento de contas Atributos de segurança e
privacidade
Aplicaçãodo acesso Acesso remoto
Aplicação do �uxo de informação Acesso sem �o
Separação de deveres Controle de acesso para
dispositivos móveis
Menor privilégio Uso de sistemas externos
Tentativas de acesso sem sucesso Compartilhamento de informações
Noti�cação de uso do sistema Conteúdo acessível publicamente
Noti�cação do acesso anterior Proteção contra mineração de
dados
Controle de sessões concorrentes Decisões de controle de acesso
Bloqueio de dispositivo Monitor de referência
Término de sessão Ações permitidas sem identi�cação
ou autenticação
Política e procedimentos Atributos de segurança e
privacidade
Gerenciamento de contas Acesso remoto
Disciplina
Segurança e Auditoria de
Sistemas
Aplicação do acesso Acesso sem �o
Aplicação do �uxo de informação Cercas e Barreiras
Monitoramento visual ...
Quadro 1 | Controles de acesso. Fonte: adaptado de Cybersecurity Framework (2020).
Os controles físicos são as medidas tangíveis e visíveis implementadas para proteger os ativos
de informação contra acessos não autorizados, danos ou interferências físicas. Podemos citar:
Cercas e barreiras com limitação física do acesso a instalações.
Controles de acesso com sistemas de travamento, como portas com fechaduras, cartões
de acesso físico, biometria.
Monitoramento visual com câmeras de vigilância para monitorar e registrar atividades.
Ambientes controlados em salas com acesso restrito a servidores e equipamentos críticos.
Os controles lógicos são medidos que protegem ativos de informação por meio de métodos
computacionais, como software e con�gurações de sistema. Exempli�cando esses controles,
temos:
Autenticação de usuário: senhas, autenticação de dois fatores, certi�cados digitais.
Firewalls e roteadores: regulam o tráfego de dados na rede.
Controles de acesso a dados: restrições baseadas em funções (RBAC), controle de acesso
a bancos de dados.
Criptogra�a: protege a con�dencialidade dos dados durante a transmissão e
armazenamento.
Na prática, uma abordagem e�caz de segurança da informação geralmente incorpora uma
combinação de controles físicos e lógicos para proporcionar uma defesa abrangente contra uma
variedade de ameaças.
Durante uma auditoria de segurança da informação, os auditores avaliam a e�cácia desses
controles para garantir que eles estejam alinhados às políticas e padrões de segurança da
organização, além de estarem em conformidade com regulamentações relevantes. O objetivo é
assegurar que tanto os controles físicos quanto os lógicos estejam sendo aplicados e mantidos
de maneira adequada para proteger os ativos de informação contra riscos de segurança.
Siga em Frente...
Disciplina
Segurança e Auditoria de
Sistemas
Controles organizacionais, relacionados à segurança,
continuidade do serviço
Esses controles referem-se a práticas e medidas implementadas pela organização como um
todo para garantir a segurança da informação e a continuidade operacional, mesmo em face de
eventos adversos. Esses controles são cruciais para garantir que a empresa possa enfrentar e se
recuperar de incidentes de segurança, interrupções operacionais ou desastres. Dentre eles,
podemos listar:
Políticas de segurança da informação que é a documentação formal que estabelece as diretrizes
e expectativas da organização em relação à segurança da informação. Na auditoria fazemos a
revisão das políticas para garantir que elas abordem aspectos, como classi�cação de dados, uso
aceitável, responsabilidades dos usuários e a veri�cação da conformidade das práticas
operacionais com as políticas estabelecidas.
Gestão de riscos é o processo contínuo de identi�cação, avaliação e mitigação de riscos de
segurança da informação. Dentro da auditoria fazemos a avaliação dos processos de
identi�cação e avaliação de riscos e a revisão das estratégias de mitigação e planos de resposta
a incidentes.
O Plano de Continuidade de Negócios (BCP) e Plano de Recuperação de Desastres (DRP) são os
documentos que detalham como a organização continuará suas operações em caso de
interrupções signi�cativas ou desastres. Em uma auditoria, fazemos a veri�cação da existência e
atualização dos planos e o teste e avaliação periódicos dos planos para garantir a e�cácia
Treinamento e conscientização são os programas para educar os funcionários sobre práticas
seguras e conscientizá-los sobre ameaças de segurança. Na auditoria podemos fazer a revisão
dos programas de treinamento de segurança e a avaliação da e�cácia dos programas na
conscientização e adesão dos funcionários.
Governança de segurança da informação é a estrutura de governança que de�ne papéis,
responsabilidades e processos para garantir a segurança da informação em toda a organização.
Em uma auditoria, podemos fazer a veri�cação da estrutura de governança e suas interações
com as áreas de negócios e a avaliação da comunicação efetiva das políticas de segurança e
práticas.
COBIT é um framework para governança de TI que possui um conjunto de controles mais amplos,
que podem ser implantados, incluindo os de segurança e privacidade. Já o ITIL é um conjunto de
melhores práticas para o gerenciamento de serviços e estabelece também um conjunto de
controles mais amplos que inclui aspectos de segurança.
Durante uma auditoria de segurança da informação, os auditores avaliam a e�cácia desses
controles organizacionais para garantir que a organização esteja adotando medidas adequadas
Disciplina
Segurança e Auditoria de
Sistemas
para proteger seus ativos de informação e garantir a continuidade dos serviços, mesmo em
circunstâncias adversas.
Vamos Exercitar?
Em uma empresa que lida com processamento de dados sensíveis para clientes de setores
�nanceiros, foi identi�cado um aumento nas preocupações relacionadas à segurança física dos
centros de processamento de dados. Houve relatos de acessos não autorizados às instalações,
falhas no controle de acesso e preocupações quanto à segurança dos equipamentos que
armazenam informações críticas. A alta administração está ciente de que a segurança física
desempenha um papel crucial na proteção da segurança da informação e busca soluções para
mitigar esses riscos.
Resolução:
A empresa decide realizar uma auditoria em controle físico, com foco na segurança da
informação, para avaliar e melhorar as medidas de proteção.
Planejamento: o auditor trabalha conjuntamente com a equipe de segurança da informação
e os responsáveis pelas instalações para estabelecer os objetivos da auditoria. Identi�ca os
pontos críticos de controle físico, como salas de servidores, salas de acesso restrito e
sistemas de vigilância.
Avaliação de riscos: realiza uma análise de riscos para identi�car ameaças à segurança
física dos dados e equipamentos. Avalia a probabilidade e o impacto potencial de
incidentes, como acessos não autorizados e danos físicos.
Execução da auditoria: veri�ca a e�cácia dos sistemas de controle de acesso, como
cartões magnéticos, biometria e registros de entrada. Avalia a presença de câmeras de
vigilância, sua cobertura e a qualidade das gravações. Revisa procedimentos de segurança,
como a escolta de visitantes e a gestão de chaves.
Relato da auditoria: prepara um relatório detalhado destacando as descobertas da
auditoria, identi�cando áreas de melhoria nos controles físicos. Comunica os resultados à
alta administração, ressaltando os riscos identi�cados e fornecendo recomendações
especí�cas.
Seguimento e melhoria contínua: monitora a implementação das recomendações,
assegurando que as ações corretivas sejam aplicadas. Contribui para a atualização de
políticas e procedimentos relacionados à segurança física.
Treinamento e conscientização: propõe programas de treinamento para funcionários,
conscientizando-os sobre a importância da segurança física e boas práticas.
Ao �nal da auditoria em controle físico, a empresa implementa melhorias signi�cativas nos
sistemas de segurança, reforçando os controles de acesso, atualizando os sistemas de vigilância
e fortalecendo os procedimentos de gestão de chaves.
Disciplina
Segurança e Auditoria de
SistemasEssas ações ajudam a mitigar os riscos identi�cados, protegendo não apenas os dados
sensíveis, mas também os equipamentos e as instalações físicas contra ameaças potenciais.
Saiba mais
Recomendações de leitura:
Barreto, Jeanine S. et al. Fundamentos de segurança da informação. Porto Alegre: Grupo A, 2018.
Disponível em: Minha Biblioteca.
Em seu décimo terceiro capítulo (p. 165), são trazidas as normas de segurança em TI, a família
27.000 e os controles.
Imoniana, Joshua O. Auditoria de sistemas de informação. 3. ed. Barueri: Grupo GEN, 2016.
Disponível em: Minha Biblioteca.
Em seu nono capítulo (p. 96), há uma vasta de�nição sobre tipos e formas de controle de acesso
que engloba os físicos, lógicos, organizacionais. 
Referências
CYBERSECURITY FRAMEWORK. The Five Functions. NIST, 2020. Disponível em:
https://www.nist.gov/cyberframework/online-learning/�ve-functions  Acesso em: 11 out. 23. 
Imoniana, J. O. Auditoria de Sistemas de Informação. 3. ed. Barueri: Grupo GEN, 2016. Disponível
em: Minha Biblioteca.
Aula 3
Técnicas e Ferramentas para Auditoria de Sistemas
Técnicas e Ferramentas para Auditoria de Sistemas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
https://www.nist.gov/cyberframework/online-learning/five-functions
Disciplina
Segurança e Auditoria de
Sistemas
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
Técnicas e ferramentas para auditoria de sistemas são recursos versáteis empregados na
interação com indivíduos, na condução de análises manuais e na execução de análises técnicas.
Entrevistas são exemplos proeminentes, permitindo a obtenção de informações por meio da
interação com as pessoas. Além disso, análises e revisões de documentação, políticas,
procedimentos, processos e con�gurações são técnicas manuais relevantes. Outro exemplo
inclui a utilização de softwares especializados, que desempenham funções como a geração de
amostras, a importação de dados, a sumarização e o teste de controles, condições e processos
implementados nos sistemas. Essas ferramentas são empregadas para conduzir análises
técnicas de maneira e�caz.
Quando uma empresa solicita uma auditoria, cabe ao auditor e sua equipe a escolha das
melhores técnicas e ferramentas a serem utilizadas nesse trabalho, e podem ser baseadas em
normas, padrões e frameworks como COBIT, ITIL, NIST Cybersecurity Framework, CIS Controls,
PCI DSS e ISO 27001. As auditorias visam a conformidade, o que resulta na segurança e na maior
con�ança de todos os envolvidos, de clientes a investidores, passando por parceiros,
funcionários e fornecedores.
O objetivo e o escopo da auditoria podem estar relacionados à conformidade a normas, padrões,
frameworks, leis e requisitos de negócios. A aplicabilidade das técnicas para auditoria de
sistemas depende dos objetivos especí�cos da auditoria, do ambiente de TI da organização, das
ameaças percebidas e dos requisitos regulatórios. As técnicas são escolhidas e adaptadas com
base nas metas da auditoria e nas áreas que precisam ser avaliadas.
Como funciona a técnica de entrevista em uma auditoria? 
Vamos Começar!
Disciplina
Segurança e Auditoria de
Sistemas
Introdução às técnicas e tipos de ferramentas para auditoria de
sistemas
Para alguns autores como Beneton (2017) e Kamal(2020) e o ISACA (2016, 2017), as técnicas e
ferramentas envolvem 3 tipos distintos: a interação com pessoas; a análise manual e a análise
técnica.
Para interação com pessoas, temos:
Entrevistas: interagir com membros da equipe para entender processos, procedimentos e
desa�os para a auditoria.
Questionários: questionários a serem respondidos pelos pro�ssionais de áreas-chave.
Pesquisas: obtenção de dados via pesquisas individuais ou para grupos.
Perguntas e observação: conversas e observações no contexto do cotidiano da empresa.
Dinâmicas em grupo: exercícios ou atividades especializadas direcionadas a grupos.
Para a análise manual, temos:
Análise e revisão de documentação, analisar documentos, como políticas de segurança,
procedimentos operacionais e registros de auditoria.
Análise de con�gurações.
Desenho de �uxos para documentar processos de negócios e controles automatizados.
Simulação de mesa.
Revisões gerenciais.
Autoavaliação.
Análise de código.
Para a análise técnica com uso de ferramentas, que é um dos principais métodos que exigem um
conhecimento técnico amplo dos auditores, temos:
Planilhas eletrônicas: organização e análise obtida de diferentes fontes.
Scripts: execução automatizada para obtenção ou �ltragem de dados especí�cos.
Software de auditoria: para analisar o conteúdo de arquivos de dados, como os logs de
sistemas, lista de acesso de usuários.
Ferramentas/softwares de auditoria especí�cas (Varredura de Vulnerabilidades, Análise de
log, gerenciamento de con�guração, monitoramento de rede, análise de código-fonte,
pentests ou testes de penetração, identi�cação e análise de vulnerabilidades, auditoria de
conformidade, ferramentas de forense digital, entre outras) são softwares  e ferramentas
especializados para gerar amostras, importar dados, sumarizar e testar os controles, avaliar
conteúdos ,arquivos, parâmetros, condições e processos.
Simulações passo a passo: utilizam as informações do sistema para mapear e construir os
passos a serem simulados em outra ferramenta a �m de chegar ao mesmo resultado do
sistema.
Disciplina
Segurança e Auditoria de
Sistemas
Execução de controles: submete parâmetros de teste com dados reais, sem impactar na
rotina normal de processamento do sistema.
Metodologias para coleta de transações.
A introdução a essas técnicas e ferramentas é essencial para os pro�ssionais de auditoria de
sistemas. À medida que a tecnologia evolui e novas ameaças surgem, é crucial que os auditores
compreendam as técnicas e ferramentas disponíveis para garantir uma avaliação abrangente e
precisa da segurança dos sistemas de informação.
Siga em Frente...
Principais técnicas e ferramentas para auditoria de sistemas
As principais técnicas e ferramentas para auditoria de sistemas variam de acordo com os
objetivos especí�cos da auditoria e as áreas a serem examinadas.
Entrevistas nada mais são do que conversas com pessoal chave para entender práticas,
desa�os e necessidades. A �nalidade das entrevistas é obter insights sobre as práticas
diárias, conscientização em segurança e áreas de preocupação.
Observação direta é a avaliação direta de processos e controles operacionais. O objetivo é
veri�car a implementação prática de políticas e procedimentos.
Revisão documental é a avaliação de políticas, procedimentos, manuais e documentação
relacionada à segurança da informação. Sua função é garantir que a organização tenha
políticas adequadas e que os procedimentos estejam em conformidade com essas
políticas.
Análise de dados é a revisão de registros e logs para identi�car padrões ou anomalias. Sua
�nalidade é detectar atividades incomuns e analisar tendências de segurança.
Ferramentas de auditoria especí�cas (varredura de vulnerabilidades), elas identi�cam e
avaliam vulnerabilidades em sistemas, redes e aplicativos. Exemplos: Nessus, Qualys,
OpenVAS.
Ferramentas de auditoria especí�cas (análise de log), elas examinam registros de eventos
para detectar atividades incomuns ou potencialmente maliciosas. Exemplos: Splunk, ELK
Stack (Elasticsearch, Logstash, Kibana), Graylog.
Ferramentas de auditoria especí�cas (gerenciamento de con�guração), elas monitoram e
garantem a conformidade das con�gurações do sistema com as políticas de segurança.
Exemplos: Ansible, Puppet, Chef.
Ferramentas de auditoria especí�cas (monitoramento de rede) avaliam o tráfego de rede
para identi�cardas informações, colocando em risco as propriedades da segurança
da informação e tudo que cerca o ambiente seguro da corporação.
Esses riscos podem ser causados por fatores internos ou externos à organização. Como
exemplo de fatores internos, temos os erros humanos, como o uso de senhas fracas ou
compartilhadas, a falta de treinamento sobre segurança da informação, falhas de processos ou
sistemas, falhas no hardware ou software ou vulnerabilidades de segurança não corrigidas. E
como exemplos de fatores externos podemos ter ataques cibernéticos dos mais variados e
também eventos naturais, como tempestades, alagamentos e, até mesmo, falhas de energia.
Os riscos da segurança da informação podem ter consequências graves para as organizações,
como perda ou vazamento de dados con�denciais que podem levar a fraudes, roubo de
identidade ou outros crimes; danos na reputação da organização que podem afetar sua
capacidade de fazer negócios; perda de receita por uma interrupção dos negócios, entre outros.
A estratégia de segurança deve ser de�nida a partir da avaliação de riscos, que prioriza as ações
de acordo com o cálculo da probabilidade e do impacto envolvido no caso de um agente de
ameaça explorar vulnerabilidades de ativos. O objetivo é evitar que os riscos sejam uma
possibilidade, sendo a ameaça um incidente de segurança, que resulta em impactos.
A gestão de riscos da segurança da informação, de�nida pela ABNT NBR ISO/IEC 27005:2011, é
um processo contínuo que deve ser realizado por todas as organizações, independentemente de
seu tamanho ou setor.
Conforme nos mostra a gestão de riscos da segurança da informação, após a avaliação de
riscos, o tratamento é realizado, enquanto os processos de comunicação e consulta e também
de monitoramento e revisão são efetuados o tempo todo. Vamos utilizar os processos de�nidos
na norma para realizar um mapeamento de riscos especí�cos para a segurança da informação e
utilizaremos os controles de segurança ou mecanismos de defesa que conheceremos em
nossas aulas para nos protegermos.
Sempre temos que pensar em situações de ataque antes que elas aconteçam, para podermos
mapear os riscos, fazer a prevenção e manter estratégias. Vamos antecipar uma situação
comum:
Disciplina
Segurança e Auditoria de
Sistemas
Uma empresa de comércio eletrônico é alvo de um ataque cibernético. Os atacantes conseguem
acessar dados de clientes, incluindo nomes, endereços, números de cartão de crédito e senhas.
O que podemos fazer diante dessa situação?
Vamos Começar!
Riscos em segurança da informação
A ABNT NBR ISO/IEC 27005:2011 de�ne, em sua página 1, os riscos de segurança da informação
como “a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de
um conjunto de ativos, desta maneira prejudicando a organização”.
A ABNT NBR ISO/IEC 27002:2013 é uma norma obrigatória para a de�nição de controles de
segurança da informação. A norma estabelece que a seleção de controles de segurança da
informação depende das decisões da organização, baseadas nos critérios para aceitação de
risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à
organização. Convém também que a seleção dos controles de segurança esteja sujeita a todas
as legislações e regulamentações nacionais e internacionais relevantes.  A seleção de controles
também depende da maneira pela qual os controles interagem para prover uma proteção segura
(ISO 27002, 2013).
Riscos são eventos que podem ocorrer e precisamos conhecê-los para garantir a segurança
adequada com a implementação de controles. Temos riscos diferentes a serem analisados: há
os riscos aceitos, riscos residuais e novos riscos não identi�cados ou emergentes, e é
necessário estar preparado para possíveis incidentes de segurança.
Mapeamento, classi�cação e contramedidas dos riscos
A identi�cação de riscos envolve todos esses elementos: ativos, vulnerabilidades, ameaças,
agentes de ameaças. A análise e a avaliação de riscos são feitas com o cálculo da probabilidade
e do impacto de cada um dos eventos identi�cados, formando uma matriz de riscos. É a partir
desse ponto que os controles de segurança ou mecanismos de defesa são de�nidos e
implementados no tratamento dos riscos.
Risco = o produto entre a probabilidade e o impacto.
R = P * I = Risco = Probabilidade (de ocorrência) * Impacto (gerado)
Alto, com os valores 6 e 9.
Médio, com os valores 3 e 4.
Baixo, com os valores 1 e 2.
Disciplina
Segurança e Auditoria de
Sistemas
Figura 1 | Classi�cação dos riscos. Fonte: Nakamura (2020, p. 10).
Contramedidas dos riscos
Uma vez que os riscos tenham sido identi�cados e analisados, o próximo passo é a avaliação
dos riscos, que essencialmente realiza cálculos, considerando o tratamento desses riscos.
Os riscos podem ser tratados da seguinte forma:
Mitigação ou redução: aplicação de controles de segurança, contramedidas ou
mecanismos de defesa.
Aceitação: há situações em que os controles de segurança são muito caros ou o risco é
considerado muito baixo, o que leva a organização à decisão pela aceitação do risco.
Nesse caso, o monitoramento é fundamental.
Eliminação: o risco pode ser evitado ou eliminado. Nessa situação, para que não haja
riscos, um ativo é inutilizado.
Transferência: o risco pode ser transferido, como em um seguro ou, no caso de TI, com a
contratação de terceiros ou de um data center, por exemplo
Siga em Frente...
Controles de segurança ou mecanismos de defesa
A proteção, que visa a prevenção contra os riscos identi�cados, analisados e avaliados, é feita
pela de�nição e implementação de controles de segurança, que engloba mecanismos de defesa
e uso de medidas e técnicas de segurança de redes.Os controles de segurança podem ser
físicos, tecnológicos ou processos, e são aplicados nos ativos para remover as vulnerabilidades.
Disciplina
Segurança e Auditoria de
Sistemas
Figura 2 | Controles de segurança. Fonte: Nakamura (2020, p. 13).
Controles de segurança podem ser:
Físicos, como um controle de acesso ao data center, câmeras de vigilância, sistemas de
alarmes, guardas, trancas.
Tecnológicos, como um �rewall para controle de acesso de rede, VPN (Rede Privada   
Virtual), biometria, antivírus criptogra�a.
Processuais, como uma política bem elaborada de troca contínua de senhas; como e com
que frequência fazer os backups, conscientização das pessoas sobre como agir em suas
redes sociais ou com um pendrive.
Regulatórios, como a Lei Geral de Proteção de Dados.
A norma ABNT NBR ISO/IEC 27002:2013 de�ne seções, objetivos de controle e controles de
segurança da informação. São no total 14 seções, 35 objetivos de controle e 114 controles. Entre
essas seções, temos a Política de segurança da informação; controles de acesso; criptogra�a;
segurança física e do ambiente; aspectos de segurança da informação na gestão da
continuidade do negócio e conformidade, entre muitos outros aspectos.
Esses 14 agrupamentos de controles de segurança indicam a abrangência de proteção que
devemos estabelecer no ambiente e nos ativos. Há controles físicos, tecnológicos, processuais e
regulatórios para �ns de prevenção, detecção e resposta.
O Controle de Segurança para Prevenção de ataques serve para evitar que um risco se torne um
incidente. Exemplo: criptogra�a (C, I) e Firewall, cuja função é limitar as conexões para o
ambiente ou para o ativo a ser protegido, abrindo apenas as portas de serviços que podem ser
acessadas de forma legítima pelos usuários.
Disciplina
Segurança e Auditoria de
Sistemas
Controle de Segurança para Detecção de ataques. Exemplo: sistema de detecção de intrusão
(IDS, Intrusion Detection System) que detecta, com base em padrões e assinaturas, ataques ao
ambiente ou aos ativos.
Resposta a um incidente, como retornar ao estado original antes dos ataques, análise forense
computacional. Exemplo: restauração de um sistema que foi atacado ou análise do computador
depois de um ataque.
Temos que nos atentar que a proteção é feita em múltiplas camadas, com diversos controlespadrões suspeitos ou atividades maliciosas. Exemplos: Wireshark, Nagios,
Snort.
Ferramentas de auditoria especí�cas (análise de código-fonte) veri�cam o código-fonte de
aplicativos para identi�car vulnerabilidades de segurança durante o desenvolvimento.
Exemplos: SonarQube, Veracode, Checkmarx.
Disciplina
Segurança e Auditoria de
Sistemas
Ferramentas de auditoria especí�cas (testes de penetração ou pentest) fazem a simulação
controlada de um ataque real para identi�car e explorar vulnerabilidades. Exemplos:
Metasploit, Burp Suite, OWASP ZAP.
Ferramentas de auditoria especí�cas (auditoria de conformidade) são ferramentas de
automação para veri�car a conformidade com requisitos especí�cos. Exemplos: Nessus,
OpenSCAP, Lynis.
Ferramentas de forense digital são usadas para coletar, analisar e preservar evidências
digitais em casos de incidentes de segurança. Exemplos: EnCase, Forensic Toolkit (FTK),
Autopsy.
A escolha das técnicas e ferramentas dependerá dos objetivos especí�cos da auditoria, do
ambiente de TI da organização e dos requisitos regulatórios. Em muitos casos, uma combinação
de abordagens é utilizada para garantir uma avaliação abrangente da segurança dos sistemas.
Aplicabilidade das técnicas para auditoria de sistemas
A revisão documental tem aplicabilidade alta, pois a revisão documental é fundamental
para compreender as políticas de segurança, procedimentos operacionais e outros
documentos relacionados à segurança da informação.
As entrevistas têm sua aplicabilidade alta, pois são essenciais para obter informações
contextuais, compreender práticas operacionais, desa�os de segurança e para validar as
informações obtidas por outras técnicas.
A observação direta pode ter sua aplicabilidade de média a alta, pois a observação direta é
e�caz para avaliar a implementação prática de controles de segurança, especialmente no
que diz respeito à segurança física e lógica.
A análise de dados tem a aplicabilidade alta, pois, incluindo a revisão de registros e logs, é
essencial para identi�car padrões, anomalias e possíveis ameaças.
Os testes de penetração (pentest) possuem a aplicabilidade alta, pois simulam ataques
reais e são e�cazes para identi�car e corrigir vulnerabilidades de segurança.
A auditoria de conformidade tem a aplicabilidade alta, pois é crucial para garantir que a
organização esteja em conformidade com padrões, regulamentações e políticas de
segurança.
A avaliação de controles de acesso tem a aplicabilidade alta, pois é vital para garantir que
apenas usuários autorizados tenham acesso aos recursos do sistema.
É importante adaptar as técnicas de auditoria de sistemas com base nos objetivos especí�cos
da auditoria, nas características do ambiente de TI e nas regulamentações aplicáveis. A
combinação de várias técnicas geralmente oferece uma visão mais completa da segurança dos
sistemas, abordando diferentes aspectos, desde a conformidade até a e�cácia prática dos
controles implementados.
Vamos Exercitar?
Disciplina
Segurança e Auditoria de
Sistemas
Em uma organização que está fortalecendo suas práticas de segurança da informação, o
departamento de TI identi�cou a necessidade de realizar uma auditoria de segurança para avaliar
o nível de conscientização e adesão dos funcionários às políticas de segurança. A equipe de
auditoria decidiu utilizar técnicas de interação com pessoas, como entrevistas, para coletar
informações relevantes sobre a compreensão e o cumprimento das diretrizes de segurança.
Durante uma entrevista com um colaborador, ele revela que ocasionalmente compartilha sua
senha com colegas para facilitar a execução de tarefas em sua ausência.
Resolução:
A resposta adequada à situação apresentada seria documentar essa prática durante a entrevista
e, posteriormente, utilizar essa informação para identi�car um possível ponto de vulnerabilidade
na política de segurança. Além disso, a equipe de auditoria poderia propor medidas corretivas,
como reforço na conscientização sobre a importância da con�dencialidade das senhas e a
implementação de autenticação de dois fatores para reduzir o risco de compartilhamento
inadequado de credenciais.
As entrevistas são ferramentas valiosas para obter insights sobre o comportamento e práticas
dos funcionários em relação à segurança da informação. Nesse caso, a entrevista revelou uma
prática de compartilhamento de senhas, destacando a importância de abordar esse
comportamento por meio de ações corretivas, reforço de treinamento e, possivelmente, ajustes
nas políticas de segurança.
Saiba mais
Leia mais em:
Barreto, Jeanine S. et al. Fundamentos de segurança da informação. Porto Alegre: Grupo A, 2018.
Disponível em: Minha Biblioteca.
Em seu décimo terceiro capítulo (p. 165), são trazidas as Normas de segurança em TI.
Imoniana, Joshua O. Auditoria de Sistemas de Informação. 3. ed. Barueri: Grupo GEN, 2016.
Disponível em: Minha Biblioteca.
Em seu quinto capítulo (p. 54), traz uma vasta de�nição sobre ferramentas e técnicas de
auditoria. Em seu sexto capítulo (p. 65), traz  a de�nição sobre ferramentas e técnicas de
auditoria. 
Referências
Disciplina
Segurança e Auditoria de
Sistemas
BENETON, E. Auditoria e controle de acesso. São Paulo: Editora Senac, 2017.
ISACA. Information Systems Audit and Control Association. Information Systems Auditing: Tools
and Techniques Creating Audit Programs, 2016. Disponível em: https://bit.ly/39sed3i. Acesso em:
11 nov. 23.
ISACA. Information Systems Audit and Control Association. Auditing Cyber Security: Evaluating
Risk and Auditing Controls, 2017. Disponível em: https://bit.ly/3mdxIC3. Acesso em: 11 nov. 23.
KAMAL, S.; HELAL, I. M. A.; MAZEN, S. A. Computer-Assisted Audit Tools for IS Auditing – A
comparative study. Faculty of Computers and Arti�cial Intelligence, Cairo University, Giza, Egypt.
Disponível em: https://bit.ly/3fyWg70. Acesso em: 11 nov. 23.
Aula 4
Tendências e Desa�os em Auditoria de Sistemas
Tendências e Desa�os em Auditoria de Sistemas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
A natureza dinâmica e complexa dos ambientes de IoT exige uma abordagem holística na
auditoria de sistemas. É essencial adaptar as práticas tradicionais de auditoria de sistemas para
https://bit.ly/39sed3i
https://bit.ly/3mdxIC3
https://bit.ly/3fyWg70
Disciplina
Segurança e Auditoria de
Sistemas
considerar os desa�os especí�cos associados aos dispositivos IoT, incluindo a diversidade de
dispositivos, protocolos de comunicação e ambientes operacionais.
Outra abordagem desta aula é a auditoria contínua, com o suporte da análise de dados, que se
trata de uma abordagem proativa que fortalece a postura de segurança, permitindo a
identi�cação e resposta imediata a eventos de segurança em constante evolução. Essa prática é
especialmente relevante em ambientes de TI dinâmicos, como os encontrados na Internet das
Coisas (IoT) e em sistemas altamente distribuídos.
Falamos muito em contratar empresas para fazer auditorias, mas podemos fazer auditorias
internas. A auditoria interna é uma parte importante para as empresas e faz parte do processo de
avaliação de desempenho do Sistema de Gestão de Segurança da Informação (SGSI), o qual
indica que elas devem conduzi-las a intervalos planejados para prover informações sobre o
quanto o sistema de gestão da segurança da informação está em conformidade com os próprios
requisitos da organização para o seu sistema de gestão da segurança da informação e os
requisitos da ABNT NBR ISO/IEC 27001 e que o SGSI está efetivamente implementado e mantido
(ISO 27001, 2013).
Para �nalizar a aula, traremosmédicos
eletrônicos, garantir a conformidade com padrões especí�cos do setor e identi�car potenciais
áreas de melhoria.
Auditoria de sistemas internos de uma empresa de tecnologia
Uma empresa de tecnologia realiza auditorias internas de seus sistemas para garantir a
conformidade com políticas internas, proteger propriedade intelectual e identi�car possíveis
vulnerabilidades.
Objetivos: revisar os processos de desenvolvimento de software, avaliar a segurança do código-
fonte, veri�car a e�cácia dos controles de acesso e garantir a conformidade com políticas
internas de segurança.
Auditoria de continuidade de negócios em uma instituição �nanceira
Um banco realiza uma auditoria para avaliar a prontidão e a e�cácia de seus planos de
continuidade de negócios em caso de desastres ou interrupções críticas.
Objetivos: veri�car a existência de planos de recuperação de desastres, testar a capacidade de
restaurar serviços críticos, revisar políticas de backup e recuperação e identi�car áreas de
melhoria.
Auditoria de segurança em uma empresa de varejo online
Uma empresa de comércio eletrônico contrata auditores para avaliar a segurança de sua
plataforma online, considerando transações �nanceiras, dados do cliente e a integridade do site.
Objetivos: avaliar a segurança da aplicação web, veri�car a conformidade com padrões de
segurança online, testar a resistência a ataques de injeção SQL e avaliar a e�cácia dos controles
de acesso.
Esses são exemplos gerais, e a auditoria de sistemas de informação pode abranger uma
variedade de áreas, dependendo dos objetivos e desa�os especí�cos enfrentados por uma
organização.
As auditorias visam fornecer garantias sobre a e�cácia dos controles implementados, identi�car
riscos potenciais e oferecer recomendações para melhorias contínuas.
Disciplina
Segurança e Auditoria de
Sistemas
Vamos Exercitar?
A empresa Tudus Info S.A, que armazena dados sensíveis do cliente, identi�cou um possível
vazamento de dados e pediu uma auditoria para veri�cação desse fato.
Resolução:
Uma auditoria é conduzida para revisar as práticas de segurança de dados, analisar logs de
acesso e identi�car a origem do vazamento. Após o planejamento e veri�cações, chega-se ao
resultado em que se descobre que uma vulnerabilidade no sistema permitiu o acesso não
autorizado. Recomendações são feitas para melhorar a segurança e corrigir a vulnerabilidade.
Saiba mais
Leia mais em:
Moraes, Alexandre D.; HAYASHI, Victor Takashi. Segurança em IoT. São Paulo: Alta Books, 2021.
Disponível em: Minha Biblioteca.
Em seu capítulo dois, há algumas explicações sobre auditoria em ioT
Imoniana, Joshua O. Auditoria de sistemas de informação. 3, ed. Barueri: Grupo GEN, 2016.
Em seu quinto capítulo (p. 54), há uma vasta de�nição sobre ferramentas e técnicas de auditoria
e análise de dados. Em seu décimo sétimo capítulo (p.163), oferece a visão de planejamento
para o futuro.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉNICAS. ABNT NBR ISO/IEC 27001:2013. Tecnologia da
informação. Técnicas de segurança. Sistemas de gestão da segurança da informação.
Requisitos. Rio de Janeiro, 2013.
Moraes, A. D.; HAYASHI, V. Takashi. Segurança em IoT. São Paulo: Alta Books, 2021.
Aula 5
Encerramento da Unidade
Disciplina
Segurança e Auditoria de
Sistemas
Videoaula de Encerramento
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Chegada
Olá, estudante! A competência desta Unidade é conhecer e compreender o que é a auditoria,
como ela acontece, quem faz uma auditoria e os controles, técnicas e ferramentas para auditoria
de segurança.
A auditoria de sistemas abrange conceitos, princípios e objetivos essenciais para garantir a
integridade, con�dencialidade e disponibilidade dos dados.
A auditoria de sistemas é um processo sistemático de avaliação e veri�cação das práticas de
segurança em uma organização que visa determinar se os controles de segurança estão
adequados e são e�cazes.
Os auditores de sistemas devem ser independentes e imparciais, ou seja, não devem estar
envolvidos na gestão dos sistemas que estão auditando, à exceção de quando são feitas
auditorias internas. Isso ajuda a garantir uma avaliação objetiva. Sua principal responsabilidade é
avaliar e garantir que os sistemas de informação de uma organização estejam operando de
acordo com as melhores práticas de segurança, políticas internas e regulamentações relevantes.
O auditor de sistemas revisa e avalia os controles de segurança implementados pela
organização. Isso inclui a análise de medidas técnicas, administrativas e físicas para proteger os
ativos de informação, como dados, sistemas, redes e recursos.
A auditoria de sistemas possui alguns objetivos principais, como garantir a precisão e
con�abilidade das informações; veri�car se a organização segue as políticas e normas
Disciplina
Segurança e Auditoria de
Sistemas
estabelecidas; identi�car e alertar para a correção de possíveis brechas de segurança; avaliar a
e�cácia dos controles para garantir um ambiente de sistemas e�ciente.
Os controles de segurança envolvem investimentos em pessoas, processos e tecnologias,
principalmente para o desenvolvimento de uma cultura de segurança, e podem ser
administrativos, técnicos ou operacionais. Alguns exemplos são (ISACA, 2017):
Conscientização.
Políticas.
Sistemas de detecção de intrusão.
Registro de eventos (logging).
Varredura de vulnerabilidades.
Classi�cação da informação.
Hardening de arquitetura e de tecnologia e 
Hardening de sistemas.
As auditorias são organizadas geralmente em três principais fases, que são o planejamento,
execução ou trabalho em campo e relatório, conforme Quadro 1:
Quadro 1 | Principais fases de um processo de auditoria. Fonte: adaptado de ISACA (2016).
As técnicas de auditoria de TI são métodos especí�cos usados pelos auditores para avaliar a
e�cácia e a conformidade dos controles de segurança de sistemas de informação e ambientes
tecnológicos. Essas técnicas ajudam os auditores a identi�car vulnerabilidades, avaliar riscos de
segurança, veri�car a conformidade com políticas e regulamentações e recomendar
aprimoramentos na segurança da informação.
As técnicas e ferramentas abrangem basicamente três tipos distintos: a interação com pessoas;
a análise manual e a análise técnica. Vamos exempli�car algumas delas:
Disciplina
Segurança e Auditoria de
Sistemas
A revisão documental é uma das formas dos auditores trabalharem, revisando documentos,
políticas, procedimentos, registros de auditorias anteriores e outros relacionados à
segurança da informação. Isso ajuda a entender o ambiente e as políticas de segurança da
organização.
Os auditores, se for necessário, conduzem entrevistas com a equipe de TI, gerentes de
departamentos e outros stakeholders para obter informações sobre práticas de segurança,
conscientização e conformidade.
Os auditores veri�cam se a organização está em conformidade com regulamentações
especí�cas, como a LGPD, GDPR, HIPAA, ISO 27001, entre outras.
Os auditores avaliam a segurança de aplicativos, identi�cando vulnerabilidades de injeção
de SQL, cross-site scripting e autenticação fraca.
Os auditores podem avaliar o nível de conscientização dos funcionários em relação à
segurança da informação e à conformidade com políticas de segurança.
Como ferramentas para auditoria, podemos exempli�car:
Nmap (Network Mapper), cuja �nalidade é realizar varreduras de redes para descobrir
hosts, serviços e detalhes de con�guração.
Wireshark, cuja �nalidade é capturar e analisar pacotes de dados em redes, sendo útil para
identi�car tráfego malicioso evulnerabilidades.
Metasploit, é uma estrutura de teste de penetração que permite testar a segurança dos
sistemas, simulando ataques e identi�cando vulnerabilidades.
OpenVAS (Open Vulnerability Assessment System), que realiza varreduras de segurança
para identi�car e gerenciar vulnerabilidades em sistemas e redes.
Auditd, um utilitário de auditoria para sistemas Linux que registra eventos do kernel para
análise posterior.
Nessus, uma ferramenta de veri�cação de vulnerabilidades que identi�ca pontos fracos em
sistemas e redes.
Splunk, que agrega e analisa grandes volumes de dados de logs para fornecer insights
sobre a segurança da informação e detecção de ameaças.
AIDE (Advanced Intrusion Detection Environment), que realiza veri�cação da integridade
dos arquivos do sistema para identi�car alterações não autorizadas.
Wi-Fi Pineapple, uma ferramenta para testes de segurança em redes sem �o, permitindo
simular ataques para avaliar a segurança de redes Wi-Fi.
Snort, um sistema de detecção de intrusões (IDS) que monitora e analisa o tráfego de rede
em busca de atividades suspeitas.
Essas técnicas de auditoria de TI são aplicadas de acordo com o escopo da auditoria, os
objetivos e as necessidades especí�cas da organização. Elas desempenham um papel
fundamental na identi�cação de ameaças à segurança, na avaliação de riscos e na garantia de
que os controles de segurança estejam e�cazes e em conformidade.
Um dos desa�os da auditoria é a auditoria em segurança de IoT, que é essencial para garantir
que os dispositivos e sistemas conectados estejam protegidos contra ameaças cibernéticas,
Disciplina
Segurança e Auditoria de
Sistemas
especialmente considerando o aumento da complexidade e da interconexão na era da Internet
das Coisas.
A auditoria contínua, no contexto de auditoria de sistemas, refere-se a uma abordagem em que o
processo de auditoria é realizado de forma contínua e em tempo real, em oposição a auditorias
pontuais e periódicas. Essa abordagem utiliza a análise de dados como uma ferramenta
fundamental para monitorar constantemente os sistemas, identi�car padrões, anomalias e
possíveis riscos de forma contínua.
O uso de análise de dados também pode ser extremamente útil em uma auditoria, com
ferramentas de análise de log, ferramentas de análise preditiva, que utilizam algoritmos para
prever possíveis incidentes com base em padrões históricos e ferramentas para análise de
tráfego de rede, trazendo a identi�cação imediata de padrões suspeitos de comunicação.
Temos que ter a clareza que o grande volume de dados gerados pode ser desa�ador, portanto, é
crucial ter ferramentas e�cientes de análise. Con�gurar corretamente os sistemas de auditoria
contínua é vital para garantir que eventos importantes não sejam negligenciados. Devemos voltar
nossa atenção para a inteligência de ameaças para melhor contextualização e interpretação dos
eventos.
Assim conseguiremos realizar uma auditoria adequada.
É Hora de Praticar!
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
O que é necessário para realizar uma auditoria de sistemas em ambientes de Internet das Coisas
(IoT)? 
Devemos fazer auditorias apenas quando tivermos problemas na empresa?
A auditoria deve ser considerada como algo que irá mostrar tudo que não está correto e
seremos punidos por isso?
Como se tornar um auditor de sistemas? 
Disciplina
Segurança e Auditoria de
Sistemas
A auditoria de sistemas em ambientes de Internet das Coisas (IoT) requer uma abordagem
abrangente e especí�ca devido às características únicas desses ambientes. Entre as
recomendações:
1. Compreensão do Ambiente IoT
Antes de iniciar a auditoria, é crucial ter uma compreensão profunda do ambiente IoT em
questão. Isso inclui identi�car todos os dispositivos IoT, suas funções, comunicações e
interações com outros sistemas.
2. Avaliação de riscos
Realize uma avaliação de riscos especí�ca para o ambiente IoT. Identi�que possíveis
ameaças, vulnerabilidades e os impactos potenciais de falhas de segurança. Isso ajudará a
priorizar os esforços durante a auditoria.
3. Protocolos de comunicação seguros
Avalie os protocolos de comunicação utilizados pelos dispositivos IoT. Certi�que-se de que
estão implementando criptogra�a adequada para proteger a integridade e
con�dencialidade dos dados transmitidos.
4. Identi�cação e autenticação
Veri�que os mecanismos de identi�cação e autenticação dos dispositivos IoT. Certi�que-se
de que apenas dispositivos autorizados tenham acesso ao sistema, e que as credenciais
estejam protegidas adequadamente.
5. Atualizações de software e �rmware
Avalie o processo de atualização de software e �rmware dos dispositivos IoT. Certi�que-se
de que exista um processo seguro para a aplicação de patches e atualizações, garantindo
que os dispositivos estejam sempre protegidos contra vulnerabilidades conhecidas.
�. Controle de acesso
Analise os controles de acesso no ambiente IoT. Isso inclui a revisão de políticas de
acesso, permissões e restrições para garantir que apenas usuários autorizados possam
interagir com os dispositivos e sistemas.
7. Monitoramento e detecção de anomalias
Implemente soluções de monitoramento contínuo para identi�car atividades suspeitas ou
anomalias no tráfego e no comportamento dos dispositivos IoT
�. Privacidade e proteção de dados
Avalie como os dados coletados pelos dispositivos IoT são armazenados, processados e
protegidos. Garanta que as práticas estejam em conformidade com as regulamentações de
privacidade e proteção de dados.
9. Resiliência e recuperação
Certi�que-se de que o ambiente IoT seja resiliente a falhas e tenha planos de recuperação
e�cazes em caso de incidentes de segurança.
10. Conformidade regulatória
Garanta que o ambiente IoT esteja em conformidade com as regulamentações de
segurança da informação especí�cas do setor.
11. Testes de penetração (pentests)
Realize testes de penetração para identi�car vulnerabilidades especí�cas e medir a e�cácia
dos controles de segurança implementados.
Disciplina
Segurança e Auditoria de
Sistemas
12. Treinamento e conscientização
Certi�que-se de que os usuários e administradores do sistema estejam devidamente
treinados e conscientes das melhores práticas de segurança.
Lembre-se de que a segurança em ambientes IoT é um desa�o em constante evolução, e a
auditoria deve ser realizada regularmente para manter a e�cácia ao longo do tempo.
Disciplina
Segurança e Auditoria de
Sistemas
ISACA. Information Systems Audit and Control Association. Information Systems Auditing: Tools
and Techniques Creating Audit Programs. 2016. Disponível em: https://bit.ly/3rx5Cm1. Acesso
https://bit.ly/3rx5Cm1
Disciplina
Segurança e Auditoria de
Sistemas
em: 11 nov. 23.para que tenhamos resultados e�cazes.
Vamos Exercitar?
Compreendemos o que são os riscos de segurança da informação, como podemos mapeá-los e
tentar evitá-los, além de usar mecanismos em nossa defesa. Algumas boas práticas devem ser
observadas para minimizar os problemas:
Realize uma avaliação de riscos: essa avaliação deve identi�car os ativos de informação da
organização, as ameaças e os riscos associados a cada ativo.
Implemente um plano de segurança: deve-se de�nir as medidas de segurança necessárias
para mitigar os riscos identi�cados.
Teste e revise o plano de segurança regularmente: para garantir que ele funcione conforme
esperado; revise-o regularmente para incorporar novas ameaças e riscos.
Sobre a situação da empresa de comércio eletrônico que é alvo de um ataque cibernético:
Resolução:
Para mitigar os riscos desse ataque, a empresa deve:
Noti�car os clientes sobre o vazamento de dados; oferecer aos clientes assistência para proteger
suas contas; investigar o ataque e tomar medidas para evitar que ele aconteça novamente.
Consequências por não resolver o problema: os clientes podem ser vítimas de fraudes e outros
crimes. A empresa também pode sofrer danos à sua reputação.
Saiba mais
Dicas de leitura:
Disciplina
Segurança e Auditoria de
Sistemas
BARRETO, Jeanine S. et al. Fundamentos de segurança da informação. Grupo A, 2018. Disponível
em: Minha Biblioteca.
Em seu décimo primeiro capítulo (p.123), Técnicas e tecnologias disponíveis para defesa da
informação, é demonstrada a importância dos mecanismos de segurança da informação. Em
seu décimo terceiro capítulo (p. 165): Normas de segurança em TI, são trazidas as normas de
segurança em TI, a que nos referimos nesta aula, como a família 27.000.
AGRA, Andressa D.; BARBOSA Fabrício M. Segurança de sistemas da informação. Grupo A, 2019.
 Disponível em: Minha Biblioteca.
No nono capítulo (p. 116): Normas vigentes sobre segurança da informação, são especi�cados
termos e de�nições, como impacto, riscos de segurança da informação, ação de evitar o risco,
estimativa de riscos, identi�cação de riscos e redução do risco. 
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2013. Tecnologia
da informação. Técnicas de segurança. Código de prática para controles de segurança da
informação. Rio de Janeiro, 2013.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27005:2011. Tecnologia
da informação. Técnicas de segurança. Gestão de riscos de segurança da informação. Rio de
Janeiro, 2011.
NAKAMURA, E. T. Segurança da informação e de redes. Londrina: Editora e Distribuidora
Educacional S. A. 2016. 
NAKAMURA, E. T. Segurança de dados. Londrina: Editora e Distribuidora Educacional S.A. 2020. 
NAKAMURA, E. T.; GEUS, P. L. de. Segurança de redes em ambientes cooperativos. São Paulo:
Novatec, 2007.
Aula 3
Segurança de Redes
Segurança de Redes
Disciplina
Segurança e Auditoria de
Sistemas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
O cenário atualmente apresentado é de uma grande dependência das redes de computadores e
suas aplicações, com distribuições complexas e cada vez mais diversi�cadas, como, por
exemplo, as aplicações em nuvens, os automóveis autônomos, internet das coisas, entre outros. 
Nesse cenário, a garantia da segurança é extremamente preocupante. 
A internet é a rede das redes pela qual se movimenta a economia global e da qual é inegável
nossa participação diária. O protocolo TCP/IP é o grande responsável pelo mundo conectado em
que vivemos e o que mais sobre as possibilidades de ataques. Nesse contexto, devemos
conhecer os possíveis problemas nas redes hoje, nos anteciparmos ao que poderá vir e nos
prevenirmos da melhor maneira possível.
Pensando nesses aspectos, podemos enumerar algumas questões: quais são os principais
problemas de segurança e as principais ameaças na Internet?            Quais os aspectos técnicos
de protocolos que os criminosos exploram? Quais tecnologias estão disponíveis para ajudar a
aumentar a segurança?
Vamos trazer, nesta aula, exemplos clássicos do que vivenciamos em nosso cotidiano para já
pensarmos no que está por vir. É uma jornada em que precisamos estar à frente dos atacantes,
com muito estudo e estratégias. Nada melhor que o conhecimento para imaginar o que virá no
futuro.
Já sabemos que temos que identi�car e mapear os riscos e agora vamos trazer alguns pontos
em relação a metodologias quando avaliamos a segurança e posterior proteção de redes de
computadores.
Disciplina
Segurança e Auditoria de
Sistemas
 Em geral, a prática usada por invasores, segundo McNab (2019, p. 44), envolve quatro passos,
sendo o primeiro o reconhecimento e identi�cação das redes, hosts e usuários; pode ser
interessante fazer o scanning de vulnerabilidades para identi�car falhas, o aprofundamento
manual e a exploração dessas vulnerabilidades, e a evasão dos sistemas de segurança.
Sabemos as técnicas, agora temos que fazer a defesa com contramedidas apropriadas.
Pensemos na situação de uma pequena empresa conectada à internet:
Uma pequena revendedora de baterias possui uma rede local com 10 computadores, incluindo
servidores, estações de trabalho e dispositivos móveis. A rede é conectada à internet e possui
um �rewall. Um hacker consegue invadir a rede da empresa e roubar dados con�denciais, como
informações de clientes e funcionários.
Vamos Começar!
Vulnerabilidades de rede
Os ataques estão cada vez mais elaborados e temos que nos aprofundar mais nos
conhecimentos para proteção das nossas informações.
Quanto às con�gurações de rede, vamos trazer o protocolo TCP/IP (Transmission Control
Protocol/Internet Protocol), que fornece a estrutura da internet. Lembramos que nesse protocolo
temos algumas camadas importantes, como a camada de host/rede ou de enlace, que pode ser
o Ethernet, por exemplo, enquanto a camada de inter-rede tem como exemplos os protocolos IP e
IPSec. Já a camada de transporte envolve o TCP e UDP, enquanto a camada de aplicação envolve
os serviços, como o HTTP (Hypertext Transfer Protocol) ou o SSH (Secure Shell) (Tanenbaum;
Wetherall, 2011).
As vulnerabilidades de rede em computadores referem-se a fraquezas, falhas ou exposições que
podem ser exploradas por indivíduos mal intencionados para comprometer a segurança e a
integridade de sistemas e dados. Essas vulnerabilidades podem se manifestar em diferentes
camadas de uma rede de computadores, incluindo hardware, software, protocolos e aplicações.
Aqui está uma explicação mais detalhada sobre cada tipo de vulnerabilidade:
Vulnerabilidades de hardware: falhas de hardware, como dispositivos de rede defeituosos,
falhas em switches, roteadores ou �rewalls. Impacto: problemas de hardware podem
causar interrupções na rede ou abrir portas para ataques, caso um dispositivo não esteja
funcionando conforme esperado.
Vulnerabilidades de softwares: bugs de software, falhas de segurança, vulnerabilidades de
sistemas operacionais e aplicativos. Impacto: essas vulnerabilidades podem permitir que
invasores explorem o software para ganhar acesso não autorizado, executar código
malicioso ou causar mau funcionamento dos sistemas.
Disciplina
Segurança e Auditoria de
Sistemas
Vulnerabilidades de protocolos: de rede, como TCP/IP, BGP, DNS, etc. Impacto: falhas em
protocolos podem ser exploradas para redirecionar o tráfego de rede, interceptar dados ou
realizar ataques de spoo�ng.
Vulnerabilidades de aplicações: em aplicativos web, servidores de e-mail, sistemas de
gerenciamento de banco de dados, entre outros. Impacto: podem ser exploradaspara obter
acesso não autorizado, vazar dados sensíveis ou realizar ataques direcionados.
É fundamental entender que a segurança de rede envolve a identi�cação e a correção de todas
essas vulnerabilidades. Isso é feito por meio de práticas, como o monitoramento contínuo, a
aplicação de patches de segurança, a con�guração adequada de �rewalls e outros dispositivos
de segurança, além da educação dos usuários para evitar ameaças como phishing.
Ameaças e ataques à rede
Ameaças e ataques à rede de computadores podem ter origem em várias fontes, incluindo
pessoas (hackers), malware, ataques de negação de serviço (DoS e DDoS), ataques de força
bruta e ataques do tipo "homem no meio".
Hackers: são indivíduos com conhecimento avançado em sistemas de computação que
podem ser benignos (hackers éticos) ou maliciosos (hackers crackers). Ameaças: hackers
podem explorar vulnerabilidades em sistemas para ganhar acesso não autorizado, roubar
informações con�denciais ou realizar ataques cibernéticos. Hackers éticos ajudam a
identi�car e corrigir vulnerabilidades, enquanto os crackers buscam explorá-las para �ns
maliciosos.
Malware: é um software malicioso projetado para causar danos aos sistemas ou roubar
informações. 
Ameaças: vírus, Trojan (cavalos de Troia), um software que traz escondido em seu
interior programações ocultas. 
Worms (vermes), que se multiplicam e mudam seu conteúdo, com a exploração de
vulnerabilidades.
Ransomware, que é o “sequestro” dos dados por criptogra�a e cobrança de valor.
Hoax, que são boatos, fake News. 
Backdoor (porta dos fundos), um programa que permite o acesso de uma máquina a
um invasor de computador remotamente. 
Spoo�ng, um tipo de ataque que consiste em mascarar pacotes IP, utilizando
endereços de remetentes falsos. 
Phishing (pescaria), que tem o objetivo de “pescar” informações e dados pessoais
importantes através de mensagens falsas e com intenções �nanceiras. Esses
ataques podem se espalhar por redes, infectar dispositivos e executar ações
prejudiciais, como roubar senhas, ex�ltrar dados ou dani�car sistemas, entre dezenas
de outros.
DoS (Negação de Serviço) e DDoS (Ataque Distribuído de Negação de Serviço):   buscam
sobrecarregar os recursos de um servidor ou rede, tornando-os inacessíveis. 
Disciplina
Segurança e Auditoria de
Sistemas
Ameaças: ataques DoS são normalmente realizados por uma única fonte, enquanto
os ataques DDoS envolvem uma rede de dispositivos comprometidos. Ambos podem
causar interrupções nos serviços online, tornando sistemas inutilizáveis para usuários
legítimos.
Ataque de Força Bruta: tentam descobrir senhas, adivinhando-as repetidamente. 
Ameaças: hackers utilizam programas automatizados para testar todas as
combinações possíveis de senhas até encontrar a correta. Isso pode comprometer
contas e sistemas que usam senhas fracas ou padrões previsíveis.
Ataque "Homem do Meio" (Man-in-the-Middle - MitM): envolve um intermediário que
intercepta a comunicação entre duas partes sem que elas saibam. Ameaças: os atacantes
podem ler, modi�car ou injetar dados na comunicação, comprometendo a
con�dencialidade e a integridade das informações transmitidas. Isso é especialmente
crítico em transações �nanceiras, comunicações seguras e redes Wi-Fi públicas não
seguras.
Ameaças: ataques DoS são normalmente realizados por uma única fonte, enquanto os
ataques DDoS envolvem uma rede de dispositivos comprometidos. Ambos podem causar
interrupções nos serviços online, tornando sistemas inutilizáveis para usuários legítimos.
Ameaças: hackers utilizam programas automatizados para testar todas as combinações
possíveis de senhas até encontrar a correta. Isso pode comprometer contas e sistemas
que usam senhas fracas ou padrões previsíveis.
Siga em Frente...
Proteção à rede
Proteger redes de computadores é uma prioridade para manter a segurança dos dados e
sistemas. Existem diversas medidas que podem ser implementadas para fortalecer a segurança
de uma rede.
Firewall: para controlar o tráfego de entrada e saída, bloqueando tráfego indesejado ou
malicioso.
Atualizações de software: mantenha sistemas operacionais, aplicativos e dispositivos
atualizados com as últimas correções de segurança (patches) para mitigar vulnerabilidades
conhecidas.
Autenticação forte: utilize autenticação de múltiplos fatores (MFA) para adicionar uma
camada extra de segurança ao login, exigindo algo além de uma senha, como um código de
autenticação ou uma impressão digital.
Políticas de senha forte: implemente políticas que exijam senhas complexas e a troca
regular de senhas.
Disciplina
Segurança e Auditoria de
Sistemas
Criptogra�a: utilize para proteger a con�dencialidade dos dados em trânsito, especialmente
em redes públicas.
Controle de acesso: de�na permissões de acesso estritas para limitar quem pode acessar
determinados recursos e dados.
Sistemas de Detecção de Intrusões (IDS) e Prevenção de Intrusões (IPS): implemente para
identi�car e responder a atividades suspeitas ou invasões em tempo real.
Monitoramento de rede: em busca de atividades anormais ou não autorizadas.
Backup regular: realize para dados críticos e veri�que se eles podem ser restaurados com
sucesso.
Conscientização dos usuários: eduque os usuários sobre as melhores práticas de
segurança, incluindo a detecção de phishing e a importância de senhas fortes.
Políticas de segurança: desenvolva políticas de segurança claras e rigorosas e certi�que-se
de que todos os funcionários as sigam.
Segmentação de rede: divida a rede em segmentos para limitar a propagação de ameaças,
caso uma parte da rede seja comprometida. Em uma rede segura, a criação de uma zona
desmilitarizada ou DeMilitarized Zone (DMZ), é uma técnica importante. Uma DMZ é uma
rede especí�ca que �ca entre uma rede pública, como a internet, e a rede interna. Com essa
segmentação, a rede interna conta com uma camada adicional de proteção, pois os
acessos são permitidos para os serviços disponibilizados na DMZ, mas não para a rede
interna.
Testes de segurança: realize testes de penetração e avaliações de vulnerabilidade
regularmente para identi�car e corrigir possíveis fraquezas.
Políticas de controle de dispositivos móveis: implemente políticas para gerenciar
dispositivos móveis corporativos, incluindo a capacidade de apagar dados remotamente.
Gerenciamento de logs: mantenha registros detalhados de atividades na rede e revise-os
regularmente em busca de anomalias.
Plano de resposta a incidentes: desenvolva um plano para lidar com ameaças de maneira
e�caz quando ocorrerem.
Segurança física: proteja o acesso físico aos servidores e equipamentos de rede,
garantindo que apenas pessoal autorizado tenha acesso.
Auditorias de segurança: realize auditorias de segurança regulares para garantir a
conformidade com políticas e padrões de segurança.
Atualização de políticas: mantenha as políticas de segurança atualizadas para se adaptar
às mudanças nas ameaças cibernéticas e nas tecnologias.
Implementar uma combinação dessas medidas de segurança ajuda a criar uma rede mais
robusta e resiliente contra ameaças cibernéticas. A segurança da rede deve ser uma
preocupação contínua para enfrentar os desa�os em constante evolução no mundo digital.
Vamos Exercitar?
Para proteger efetivamente as redes de computadores, é necessário adotar uma abordagem
abrangente, combinando a segurança em hardware, software, protocolos e aplicações, e estar
Disciplina
Segurança e Auditoria de
Sistemas
ciente das ameaças emergentes e das melhores práticas de mitigação de vulnerabilidades.
Na pequena empresa de baterias, que possui uma rede interligada na internet, pela qual o hacker
passou pelo �rewall, o que podemos fazer?
Resolução:
A empresa pode implementar as seguintes medidas de segurança:
Uso de senhas fortes e únicas para todos os dispositivos conectados à rede; atualização regular
dos softwares e sistemas operacionais; instalação de software antivírus e antimalware; uso de
�rewall para �ltrar o tráfego de entrada e saída, mais bem implementado; implementação de
políticas desegurança para funcionários; implementação de um sistema de autenticação
multifatorial; monitoramento da rede para detectar atividades suspeitas.
Saiba mais
Recomendações de leitura:
COMER, Douglas E. Redes de computadores e internet. 6 ed. Porto Alegre: Grupo A, 2016.
Disponível em: Minha Biblioteca. O capítulo 29 (p. 444) traz amplas informações sobre segurança
em redes.
MORAES, Alexandre F. D. Redes de computadores: fundamentos. 8. ed. São Paulo: Saraiva, 2020.
O capítulo 12 (p. 189) descreve �rewall, proxy, portas TCP/IP, detecção e prevenção de intrusão,
DOS, DDOS.
LACERDA, Paulo S. P. et al. Projeto de redes de computadores. Porto Alegre: Grupo A, 2022.
Disponível em: Minha Biblioteca. Em seu capítulo 7 (p. 103), veja a importância dos elementos
seguros e suas con�gurações para a rede.
Referências
McNAB, C. Avaliação de segurança de redes. Conheça a sua rede. 1 ed. São Paulo: Novatec,
2019.
TANENBAUM, A. S.; WETHERALL, D. Redes de computadores. 5. ed. São Paulo: Pearson
Education, 2011.
Disciplina
Segurança e Auditoria de
Sistemas
Aula 4
Criptogra�a
Criptogra�a
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
A criptogra�a desempenha um papel fundamental na segurança da informação, pois é uma
técnica que protege os dados, tornando-os ilegíveis para qualquer pessoa que não possua a
chave de descriptogra�a apropriada. Observe que ela vem ao encontro dos princípios da
segurança da informação.
Con�dencialidade: a criptogra�a é usada para proteger a con�dencialidade dos dados,
garantindo que apenas pessoas autorizadas possam acessá-los. Isso é crucial para
proteger informações sensíveis, como dados pessoais, segredos comerciais e informações
�nanceiras.
Integridade dos dados: a criptogra�a ajuda a veri�car a integridade dos dados, garantindo
que eles não tenham sido alterados ou corrompidos durante a transmissão ou
armazenamento. Qualquer alteração nos dados criptografados resulta em uma quebra da
integridade e a detecção de possível manipulação.
Autenticação: a criptogra�a é usada em processos de autenticação para veri�car a
identidade de usuários, sistemas ou dispositivos. Ela pode ser usada para garantir que
apenas entidades con�áveis tenham acesso aos recursos da rede.
Disciplina
Segurança e Auditoria de
Sistemas
Em resumo, a criptogra�a é uma ferramenta essencial para proteger a privacidade, a integridade
e a con�dencialidade das informações em sistemas de informação, redes e comunicações. Ela é
fundamental na garantia da segurança da informação em um mundo cada vez mais digital e
interconectado.
Como utilizar a criptogra�a para minimizar os danos a informações roubadas? Vejamos:
Uma clínica de estética armazena informações sensíveis de clientes, como números de cartão
de crédito e endereços de e-mail, em seus servidores. Um hacker conseguiu invadir um dos
servidores da empresa e roubar esses dados. Como impedir que esses dados sejam usados para
cometer fraudes ou outros crimes?
Vamos Começar!
Criptogra�a ao longo do tempo
Para Moraes (2020, p. 192), criptogra�a é a ciência que, por meio da matemática, permite
criptografar (cripto = esconder) e descriptografar dados. Ao longo dos anos, a criptogra�a foi
evoluindo até chegarmos ao que conhecemos hoje dentro da computação.
Você sabia que ao entrar na internet e digitar https ou usar o serviço de mensagens WhatsApp
você está utilizando a criptogra�a? Sim, mesmo sem saber, a utilizamos bastante.
A história da criptogra�a começa em 50 a.C., com a Cifra de César que é uma das formas mais
antigas de criptogra�a conhecidas, atribuída ao imperador romano Júlio César. Ela envolve o
deslocamento das letras do alfabeto por um número �xo de posições. Por exemplo, um
deslocamento de 3 letras torna "HELLO" em "KHOOR". Em seguida veio, a Cifra de Vigenère
conhecida em meados do século XVI, que foi desenvolvida por Blaise de Vigenère; essa cifra usa
uma chave para realizar vários deslocamentos no alfabeto. Ela é uma forma de criptogra�a de
substituição polialfabética e foi uma das técnicas mais avançadas da época.
Com o tempo, foi criada a Cifra de Substituição de Jefferson, por volta do século XVIII,
desenvolvida por Thomas Jefferson, e era um dispositivo mecânico para criptografar mensagens,
usando discos intercambiáveis com alfabetos embaralhados. Também considerado por muitos
historiadores uma forma de criptogra�a, o Código Morse do século XIX é uma técnica que usa
sequências de pontos e traços para representar letras e números. Foi amplamente utilizada nas
comunicações telegrá�cas e foi uma das primeiras formas de comunicação à distância.
A evolução veio com a Máquina Enigma, já no século XX, utilizada pela Alemanha nazista durante
a Segunda Guerra Mundial, um dos exemplos mais famosos de criptogra�a mecânica. Ela era
capaz de criar códigos complexos que desa�aram os esforços dos Aliados para decifrá-los. Hoje,
usamos a Criptogra�a de Chave Pública, criada nos anos 1970, por Whit�eld Di�e e Martin
Disciplina
Segurança e Auditoria de
Sistemas
Hellman, também conhecida como criptogra�a assimétrica, introduziu o conceito de chaves
públicas e privadas. Essa inovação permitiu a comunicação segura pela internet.
Logo depois, em 1978, surgiu o Algoritmo RSA, inventado por Ron Rivest, Adi Shamir e Leonard
Adleman, que é um dos sistemas de criptogra�a de chave pública mais amplamente utilizado e
fornece segurança para muitos sistemas de comunicação e transações online.
A Criptogra�a de Curva Elíptica, de 1985, é uma técnica de criptogra�a de chave pública que se
baseia na matemática de curvas elípticas. Ela oferece níveis elevados de segurança com chaves
menores, tornando-a adequada para dispositivos com recursos limitados. Evoluímos para a
Criptogra�a Quântica, já no século XXI, que é uma abordagem que utiliza princípios da física
quântica para garantir a segurança das comunicações. Ela explora as propriedades únicas da
mecânica quântica para proteger informações de forma inquebrável.
Esses são apenas alguns dos principais marcos na história da criptogra�a. A evolução constante
da criptogra�a é uma resposta às crescentes ameaças cibernéticas e às necessidades de
segurança da informação na era digital. A criptogra�a continua sendo uma ferramenta essencial
para proteger a privacidade e a segurança de comunicações e dados sensíveis.
E não podemos nos esquecer da antiga e, também hoje, muito utilizada esteganogra�a, que é a
prática de ocultar informações dentro de outra mensagem ou objeto físico para evitar a
detecção. A esteganogra�a pode ser usada para ocultar praticamente qualquer tipo de conteúdo
digital, incluindo texto, imagem, vídeo ou conteúdo de áudio. Esses dados ocultos são extraídos
em seu destino.
Aplicações e benefícios da criptogra�a
Proteção de dados em trânsito: protege informações enquanto são transmitidas pela rede.
Protocolos como HTTPS, TLS e SSL são amplamente utilizados para garantir a segurança
das transações online.
Armazenamento seguro: Dados armazenados em dispositivos e servidores podem ser
criptografados para impedir o acesso não autorizado. Isso é especialmente importante
para proteger informações armazenadas em dispositivos móveis, laptops, servidores na
nuvem e unidades USB.
Proteção contra ameaças externas: a criptogra�a ajuda a proteger os dados contra
ameaças externas, como ataques de interceptação (por exemplo, sni�ng) e intrusões.
Mesmo que um atacante obtenha acesso aos dados criptografados, ele não poderá ler ou
utilizar as informações sem a chave adequada.
Conformidade legal: em muitos setores, regulamentações e leis exigema criptogra�a de
dados sensíveis, como informações de saúde (HIPAA) e dados de cartões de pagamento
(PCI DSS). O uso da criptogra�a ajuda as organizações a cumprir as obrigações legais de
proteção de dados.
Disciplina
Segurança e Auditoria de
Sistemas
Prevenção contra ransomware: a criptogra�a pode ser usada para criar backups
criptografados de dados críticos, protegendo-os contra ransomware, que criptografa os
dados de forma maliciosa até que um resgate seja pago.
Proteção de senhas: as senhas armazenadas nos bancos de dados geralmente são
criptografadas para garantir que, mesmo se o banco de dados for comprometido, as
senhas não sejam imediatamente legíveis para os invasores.
Segurança de comunicações móveis: a criptogra�a é essencial em comunicações móveis,
protegendo chamadas telefônicas, mensagens de texto e dados móveis de interceptação e
escuta não autorizada.
Siga em Frente...
Principais técnicas de criptogra�a
Existem várias técnicas de criptogra�a na segurança da informação, cada uma com seus
próprios algoritmos e aplicações especí�cas. As principais técnicas de criptogra�a incluem:
Criptogra�a simétrica (ou de chave secreta): nessa técnica, a mesma chave é usada para
criptografar e descriptografar dados. Ela é e�ciente e rápida, adequada para comunicações
seguras em tempo real. Algoritmos: AES (Advanced Encryption Standard), DES (Data
Encryption Standard), 3DES, IDEA.
Criptogra�a de chave pública (ou assimétrica): usa um par de chaves: uma pública, usada
para criptografar, e outra privada, usada para descriptografar. Isso permite comunicações
seguras sem compartilhar uma chave comum. Algoritmos: RSA, DSA (Digital Signature
Algorithm), ECC (Elliptic Curve Cryptography).
Hashing criptográ�co: usado para criar uma representação �xa (resumo) de dados,
geralmente uma sequência de caracteres de tamanho �xo. É amplamente utilizado para
veri�car a integridade dos dados e criar assinaturas digitais. Algoritmos: SHA-256, MD5
(embora não seja mais considerado seguro para �ns críticos).
Criptogra�a de curva elíptica: uma variação da criptogra�a assimétrica que se baseia na
matemática das curvas elípticas. Ela oferece níveis elevados de segurança com chaves
menores, tornando-a adequada para dispositivos com recursos limitados. Algoritmos:
ECDSA (Elliptic Curve Digital Signature Algorithm), ECDH (Elliptic Curve Di�e-Hellman).
Criptogra�a quântica: baseada em princípios da física quântica, oferece segurança
inquebrável, uma vez que a observação de partículas quânticas afeta seu estado. É
especialmente e�caz na proteção de comunicações contra-ataques quânticos. Algoritmos:
BB84, QKD (Quantum Key Distribution).
Criptogra�a homomór�ca: permite que os dados sejam operados enquanto criptografados,
sem a necessidade de descriptografá-los. Isso é útil para processamento seguro de dados
em serviços de nuvem. Algoritmos: Paillier, BFV (Brakerski-Freund-Gentry-Vaikuntanathan).
Criptogra�a pós-quântica: desenvolvida para resistir a ataques de computação quântica,
que têm o potencial de quebrar algoritmos criptográ�cos convencionais. Ainda está em
Disciplina
Segurança e Auditoria de
Sistemas
desenvolvimento e pesquisa ativa. Algoritmos em desenvolvimento: NIST está conduzindo
um processo de padronização para algoritmos pós-quânticos.
Criptogra�a de container: usada para criar recipientes criptografados que armazenam
dados sensíveis, como arquivos e informações de sistema, protegendo-os contra acesso
não autorizado. Algoritmos: BitLocker, FileVault.
Criptogra�a de e-mail: usada para proteger mensagens de e-mail, garantindo que apenas o
destinatário autorizado possa lê-las. Algoritmos: PGP (Pretty Good Privacy), S/MIME
(Secure/Multipurpose Internet Mail Extensions).
Criptomoedas e blockchain: uma criptomoeda é uma forma de moeda digital que utiliza
criptogra�a para garantir transações seguras e para controlar a criação de novas unidades.
O blockchain é a tecnologia subjacente às criptomoedas, mas também tem várias
aplicações além das moedas digitais. Ele é um registro público e distribuído de todas as
transações que ocorrem em uma rede, formando uma cadeia contínua de blocos.
Essas são algumas das principais técnicas de criptogra�a na segurança da informação. A
escolha da técnica depende das necessidades especí�cas de segurança e das características da
implementação, como e�ciência, escalabilidade e resistência a ameaças conhecidas.
Vamos Exercitar?
A criptogra�a desempenha um papel fundamental na segurança das informações em diversas
áreas, incluindo comunicações online, armazenamento de dados e transações �nanceiras. Sua
implementação apropriada e a gestão segura das chaves são essenciais para proteger
informações sensíveis em um mundo cada vez mais digital e interconectado.
Na clínica de estética que teve um servidor invadido por um hacker, como a criptogra�a poderia
ajudar?
 Resolução:
  A empresa pode criptografar todos os dados con�denciais antes de armazená-los nos
servidores. A criptogra�a pode usar uma chave para transformar dados em um formato
incompreensível. Apenas alguém com a chave correta pode descriptografar os dados.
Assim o hacker não conseguirá descriptografar os dados con�denciais e não conseguirá
usá-los para cometer fraudes ou outros crimes.
Outros sistemas, como:
Uso de um sistema de gerenciamento de identidade e acesso (IAM): O sistema IAM ajuda a
controlar o acesso a dados con�denciais.
Uso de um sistema de detecção e resposta a incidentes (SIEM):  O sistema SIEM pode
ajudar a detectar ataques que possam comprometer os dados con�denciais.
Disciplina
Segurança e Auditoria de
Sistemas
A implementação de medidas de segurança é um processo contínuo. À medida que as ameaças
cibernéticas evoluem, as empresas precisam se adaptar e implementar novas medidas de
segurança para proteger seus dados e sistemas.
A criptogra�a pode ser usada para proteger informações con�denciais de várias maneiras. Um
exemplo comum é a criptogra�a de dados em trânsito. Nesse caso, os dados são criptografados
antes de serem enviados pela rede. Isso ajuda a proteger os dados contra acesso não autorizado
enquanto estão em trânsito.
Outro exemplo comum é a criptogra�a de dados em repouso. Nesse caso, os dados são
criptografados antes de serem armazenados em um dispositivo de armazenamento, como um
servidor ou um disco rígido. Isso ajuda a proteger os dados contra acesso não autorizado
enquanto estão armazenados.
Saiba mais
Recomendações de leitura:
COMER, Douglas E. Redes de computadores e internet. 6. ed. Porto Alegre: Grupo A, 2016.
Disponível em: Minha Biblioteca.
O capítulo 29 (p.444) traz amplas informações sobre segurança em redes.
MORAES, Alexandre Fernandes D. Redes de computadores: fundamentos. 8. Ed. São Paulo:
Editora Saraiva, 2020. Disponível em: Minha Biblioteca.
No capítulo 12 (p. 189), leia mais sobre �rewall, proxy, portas TCP/IP, detecção e prevenção de
intrusão, DOS, DDOS, entre outros.
LACERDA, Paulo S. Pádua, D. et al. Projeto de redes de computadores. Porto Alegre: Grupo A,
2022. Disponível em: Minha Biblioteca.
O capítulo 7 (p. 103), traz a importância dos elementos seguros e suas con�gurações para a
rede.
Referências
MORAES, A. F. D. Redes de computadores: fundamentos. 8. Ed. São Paulo: Editora Saraiva, 2020.
Disciplina
Segurança e Auditoria de
Sistemas
Aula 5
Encerramento da Unidade
Videoaula de Encerramento
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Chegada
Olá, estudante! Para desenvolver a competência desta Unidade, que é conhecer e compreender
fundamentos de segurança da informação, identi�carriscos e direcionar mecanismos de defesa,
você deve saber que a segurança da informação envolve cinco processos: a identi�cação, a
proteção, a detecção, a resposta e a recuperação (Cybersecurity Framework, 2020).
A segurança da informação é um campo fundamental na proteção de dados sensíveis e
sistemas contra ameaças e ataques cibernéticos. Ela se baseia em princípios, pilares e
estratégias especí�cas para garantir a integridade, con�dencialidade e disponibilidade das
informações.
Como princípios temos que conhecer:
Con�dencialidade: garante que as informações estejam acessíveis apenas para pessoas
autorizadas. Isso envolve o controle de acesso e a criptogra�a de dados.
Integridade: certi�ca-se de que as informações não sejam alteradas de forma não
autorizada. os dados devem ser protegidos contra modi�cações não autorizadas.
Disciplina
Segurança e Auditoria de
Sistemas
Disponibilidade: assegura que as informações estejam disponíveis quando necessário. isso
inclui garantir que os sistemas estejam funcionando e que os dados possam ser
acessados quando necessário.
Autenticidade: garante que a identidade das partes envolvidas seja con�rmada, garantindo
que as informações não sejam falsi�cadas e não repúdio: impede que uma parte envolvida
negue a autoria ou ações realizadas, fornecendo evidências sólidas de transações e
atividades.
Temos elementos muito importantes nesse contexto de segurança que não podem ser
minimizados. São eles:
Pessoas: os colaboradores desempenham um papel fundamental na segurança da
informação. A conscientização, treinamento e políticas de segurança são cruciais. 
Processos: implementar procedimentos de segurança bem de�nidos, como políticas de
senhas fortes, controle de acesso e práticas de segurança, é essencial. 
Tecnologia: a escolha e con�guração adequada de ferramentas de segurança, como
�rewalls, antivírus e criptogra�a, são vitais. Sistemas e redes: servidores, redes de
computadores e dispositivos que processam, armazenam e transmitem dados. 
Aplicações: software e aplicativos que podem conter vulnerabilidades que os tornam
suscetíveis a ataques.
Como vulnerabilidades temos inúmeras, veja alguns exemplos:
Falhas de software: vulnerabilidades em aplicativos e sistemas operacionais podem ser
exploradas por invasores para ganhar acesso não autorizado.
Engenharia social: ataques que exploram a con�ança das pessoas, como phishing, para
obter informações con�denciais.
Senhas fracas: senhas simples ou senhas reutilizadas podem permitir o acesso não
autorizado a contas e sistemas.
Falta de atualizações: sistemas não atualizados estão sujeitos a vulnerabilidades
conhecidas.
Erros humanos: descuido ou falta de treinamento pode levar a incidentes de segurança.
Alguns dos principais riscos incluem:
Ameaças cibernéticas: ataques maliciosos, como vírus, malware, ransomware e phishing,
que visam comprometer sistemas e roubar dados. 
Vulnerabilidades de softwares: falhas em aplicativos e sistemas operacionais que podem
ser exploradas por invasores para ganhar acesso não autorizado.
Mecanismos de defesa em segurança da informação:
Para mitigar esses riscos, são implementados diversos mecanismos de defesa, incluindo:
Disciplina
Segurança e Auditoria de
Sistemas
Firewalls: barreiras de segurança que monitoram e controlam o tráfego de rede, bloqueando
tráfego não autorizado.
Antivírus e antimalware: programas que detectam e removem softwares maliciosos de
sistemas e dispositivos.
Controle de acesso: restringe o acesso a sistemas e dados apenas a usuários autorizados
por meio de autenticação, autorização e auditoria.
Atualizações de software: mantêm sistemas e aplicativos atualizados com as correções de
segurança mais recentes ajuda a eliminar vulnerabilidades conhecidas.
Criptogra�a em segurança da informação: a criptogra�a é uma técnica fundamental para
proteger dados con�denciais. Ela envolve a conversão de informações em um formato ilegível
(cifrado) que só pode ser lido por quem possui a chave apropriada. A criptogra�a é usada em
várias áreas da segurança da informação:
Comunicações seguras: criptografar comunicações por meio de SSL/TLS em navegadores
ou VPNs protege a con�dencialidade dos dados transmitidos.
Armazenamento de dados: criptogra�a de dados armazenados em discos rígidos ou na
nuvem ajuda a proteger informações con�denciais contra acesso não autorizado.
Assinatura digital: a criptogra�a é usada para criar assinaturas digitais que garantem a
autenticidade e a integridade de documentos eletrônicos.
Chaves de acesso: as chaves criptográ�cas são essenciais para garantir que somente as
partes autorizadas possam acessar informações protegidas.
Em resumo, a segurança da informação envolve a identi�cação de riscos, a implementação de
mecanismos de defesa e�cazes e o uso da criptogra�a para proteger dados e sistemas contra
ameaças cibernéticas. A combinação desses elementos contribui para a criação de ambientes
seguros e a proteção de informações valiosas.
É Hora de Praticar!
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
A empresa Maximus Financeira está crescendo. Quanto mais avança, mais nítidas se tornam as
necessidades de investimento nas redes da organização, principalmente na área de segurança,
considerando que os dados da empresa e dos clientes estão muito vulneráveis a ataques. Com a
matriz em Londrina (PR) e expandindo sua �lial para Recife (PE), a preocupação com segurança
Disciplina
Segurança e Auditoria de
Sistemas
aumentou bastante. Já que os servidores �carão no Datacenter em Londrina, teremos que adotar
alguns cuidados para que nossa comunicação esteja sempre ativa, que nosso time possa fazer
as trocas diárias e todos tenham os treinamentos e alcancem as metas mensais com facilidade.
O que precisaremos pensar sobre riscos, segurança de rede e mecanismos de defesa para que a
empresa possa funcionar a contento?
Assim que nos conectamos à internet, o que dever ser protegido?
Por que minha empresa pode ser alvo de hackers?
Quais ataques e proteções mais so�sticados temos hoje?
Para proteger as conexões Maximus Financeira será necessário um conjunto de mecanismos em
camadas, incluindo �rewalls, segurança física, registros de auditoria, autenticação e autorização.
No datacenter, deverão ser instaladas proteções de biometria.
Antimalware obrigatório e atualizado, os �rewalls deverão ser con�gurados para evitar dos e
outros ataques.
Será adicionado um IDS e IPS para monitorar os servidores e estações de trabalho, evitando
ataques ou atividades maliciosas e ataques laterais, além de identi�car violações bem-sucedidas
na proteção de rede.
A organização também deseja utilizar Virtual Private Network (VPN) para a conexão de sites
privados e usuários �nais por meio de uma rede pública como a internet, o que torna necessária
a utilização de �rewalls, de autenticação forte e de criptogra�a.
Sugerimos também aplicar métodos de criptogra�a para proteger os dados em transmissão e
armazenados. As próprias ferramentas de antivírus têm processos para a implementação dessa
metodologia.
Terá que ser feita a conscientização e treinamento dos colaboradores, com restrições a
downloads e uso de pendrives.
Assim, com a colaboração de todos e revisões periódicas, a empresa estará razoavelmente
protegida.
Disciplina
Segurança e Auditoria de
Sistemas
Cybersecurity Framework.  The Five Functions. NIST. 2020. Disponível em:
https://www.nist.gov/cyberframework/online-learning/�ve-functions  Acesso em: 11 out. 23.
,
Unidade 2
Política e Cultura de Segurança
Aula 1
Gestão e Políticas de Segurança
Gestão e Políticas de Segurança
https://www.nist.gov/cyberframework/online-learning/five-functions
Disciplina
Segurança e Auditoria de
Sistemas
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeosdireto no aplicativo
para assistir mesmo sem conexão à internet.
Dica para você
Aproveite o acesso para baixar os slides do vídeo, isso pode deixar sua
aprendizagem ainda mais completa.
Estudante, esta videoaula foi preparada especialmente para você. Nela, você irá aprender
conteúdos importantes para a sua formação pro�ssional. Vamos assisti-la?
Ponto de Partida
Você sabia que quando falamos em segurança, não estamos nos referindo apenas a tecnologia,
mas a aspectos normativos e de cultura da segurança da informação, que tratam, de forma
integrada, de processos, pessoas e tecnologias?  
Podemos categorizar três aspectos não tecnológicos, que são os aspectos físicos: envolvem
elementos do risco que possuem características físicas, tais como data center, servidor ou
localização; aspectos humanos: envolvem elementos do risco que possuem características
humanas, tais como o administrador de sistemas, concorrentes ou crackers e falhas e acidentes
cometidas por seres humanos, e os aspectos naturais que envolvem elementos do risco que
possuem características de fenômenos naturais, tais como enchentes, terremotos ou altas
temperaturas.
Vimos que a segurança da informação é ponto fundamental da perpetuação das empresas e,
para isso, temos normas a serem seguidas e pontos de atenção que hoje traremos.
O Sistema de Gestão de Segurança da Informação (SGSI) é um elemento chave para o
fortalecimento da cultura de segurança da informação das organizações. E você pode, uma vez
estabelecido um SGSI, certi�car a sua empresa na ISO 27001. A norma ABNT NBR ISO/IEC 27001
estabelece os requisitos para o estabelecimento de um sistema de gestão de segurança da
informação (ISO 27001, 2013).
Uma política de segurança é um desses pontos, um conjunto de diretrizes e regras que fornecem
suporte aos investimentos, organizam processos e ambientes, atribuem responsabilidades e
delegam poderes. O formato da documentação pode variar entre as organizações.
Disciplina
Segurança e Auditoria de
Sistemas
Termos de ciência e contratos de con�dencialidade desempenham papéis importantes na
proteção dos ativos de informação e na manutenção da privacidade e segurança das
informações con�denciais.
Há um conjunto de frameworks e normas que guiam as ações de segurança da informação,
como as da família NBR ISO/IEC 27000 (ABNT, 2023), para organizar e otimizar sua estratégia de
segurança da informação.
Então, em uma corporação, sabemos que não adianta a tecnologia de ponta se as pessoas que
trabalharão com ela não estiverem conscientes e não seguirem os mesmos objetivos da
empresa para sua expansão e melhoria diária.
Você é o gerente de segurança da informação de uma grande empresa de tecnologia.
Recentemente, a empresa enfrentou um incidente de segurança signi�cativo, no qual dados
con�denciais dos clientes foram comprometidos. Como resultado, a reputação da empresa foi
prejudicada, e os clientes estão preocupados com a segurança de seus dados. Além disso, a
diretoria está buscando soluções para evitar futuras violações. Como você pode promover uma
cultura de segurança da informação dentro da empresa para evitar futuras violações e
reconstruir a con�ança dos clientes?.
Vamos Começar!
Conceitos de políticas de segurança
O formato de uma política de segurança pode ser a diferença entre o sucesso e o fracasso, não
apenas da efetiva segurança física e cibernética de uma infraestrutura, mas da própria
conscientização e educação de seus colaboradores.
A Política de Segurança da Informação (PSI) é um documento formal que estabelece diretrizes,
regras, práticas e procedimentos que uma organização deve seguir para proteger suas
informações, ativos de informação e sistemas de informações contra ameaças, violações de
segurança e riscos. Essa política é uma parte fundamental da gestão da segurança da
informação de uma empresa ou instituição e tem como objetivo garantir a con�dencialidade,
integridade, disponibilidade e autenticidade das informações.
A PSI descreve as responsabilidades dos funcionários e partes envolvidas, de�ne os níveis de
acesso aos recursos de informação, estabelece práticas de gestão de senhas, orienta sobre o
uso de dispositivos e redes seguras, e determina como lidar com incidentes de segurança, entre
outros aspectos.
Para que as políticas sejam mais bem estabelecidas e cumpridas, devem ser construídas de
forma colaborativa, adequando-se à realidade da empresa e de seus funcionários. Há um esforço
Disciplina
Segurança e Auditoria de
Sistemas
demandado para esclarecimento e conscientização constante, para que a segurança da
informação se torne cultura da empresa.
Você deve construir as políticas de segurança com o apoio da alta direção da empresa. A própria
norma ABNT NBR ISO/IEC 27001 (ISO 27001, 2013) diz que a alta direção deve estabelecer uma
política de segurança da informação que:
Seja apropriada ao propósito da organização.
Inclua os objetivos de segurança da informação ou forneça a estrutura para estabelecer os
objetivos de segurança da informação.
Inclua um comprometimento para satisfazer os requisitos aplicáveis, relacionados à
segurança da informação.
Inclua um comprometimento para a melhoria contínua do sistema de gestão da segurança
da informação.
Outro ponto importante que a norma ABNT NBR ISO/IEC 27001 estabelece é que a política de
segurança da informação deve:
Estar disponível como informação documentada.
Ser comunicada dentro da organização.
Estar disponível para as partes interessadas conforme apropriado.
  Seguindo esses pontos primordiais e elaborando as políticas de segurança de forma
colaborativa e com divulgações constantes e de forma apropriada para todos os funcionários,
você terá criado uma boa cultura e política de segurança da informação na sua empresa.
Normas para a segurança da informação
O sistema de gestão da segurança da informação (SGSI) preserva a con�dencialidade,
integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de
riscos e fornece con�ança para as partes interessadas de que os riscos são adequadamente
gerenciados.
É importante que um sistema de gestão da segurança da informação seja parte e esteja
integrado aos processos da organização e com a estrutura de administração global e que a
segurança da informação seja considerada no projeto dos processos, sistemas de informação e
controles (ISO 27001, 2013).
Você deve especi�car e implementar o SGSI de acordo com as características especí�cas da sua
organização, que possui necessidades e objetivos, requisitos de segurança, processos
organizacionais, funcionários, tamanho e estrutura da organização. Como esses fatores evoluem
com o tempo, é preciso estabelecer, implementar, manter e melhorar continuamente um sistema
de gestão da segurança da informação dentro do contexto da organização. Essa é uma das
Disciplina
Segurança e Auditoria de
Sistemas
características principais dos sistemas de gestão, o processo de melhoria contínua, ou PDCA
(Plan, Do, Check, Act), que pode ser visto na Figura 1.
Figura 1 | Melhoria contínua e PDCA do SGSI. Fonte: adaptado de Palma (2016).
A Figura 2 mostra alguns requisitos de um SGSI que formam os fatores críticos de sucesso:
Contexto da organização, incluindo questões internas e externas relevantes para o seu
propósito, os requisitos das partes interessadas, incluindo requisitos legais, regulatórias e
contratuais. Escopo do SGSI.
Disciplina
Segurança e Auditoria de
Sistemas
Liderança, com comprometimento da alta direção, estabelecimento de uma política de
segurança da informação e atribuição de papéis, autoridades e responsabilidades.
Planejamento, com ações para contemplar riscos e oportunidades, avaliação de riscos de
segurança da informação, tratamento de riscos de segurança da informação e
estabelecimento de objetivos de segurança da informação para as funções e níveis
relevantes.
Apoio, com provimento de recursos, criação de competências, conscientização e
comunicação.
Operação, com planejamento operacional e controle, avaliaçãovulnerabilidades.
Metasploit, é uma estrutura de teste de penetração que permite testar a segurança dos
sistemas, simulando ataques e identi�cando vulnerabilidades.
OpenVAS (Open Vulnerability Assessment System), que realiza varreduras de segurança
para identi�car e gerenciar vulnerabilidades em sistemas e redes.
Auditd, um utilitário de auditoria para sistemas Linux que registra eventos do kernel para
análise posterior.
Nessus, uma ferramenta de veri�cação de vulnerabilidades que identi�ca pontos fracos em
sistemas e redes.
Splunk, que agrega e analisa grandes volumes de dados de logs para fornecer insights
sobre a segurança da informação e detecção de ameaças.
AIDE (Advanced Intrusion Detection Environment), que realiza veri�cação da integridade
dos arquivos do sistema para identi�car alterações não autorizadas.
Wi-Fi Pineapple, uma ferramenta para testes de segurança em redes sem �o, permitindo
simular ataques para avaliar a segurança de redes Wi-Fi.
Snort, um sistema de detecção de intrusões (IDS) que monitora e analisa o tráfego de rede
em busca de atividades suspeitas.
Essas técnicas de auditoria de TI são aplicadas de acordo com o escopo da auditoria, os
objetivos e as necessidades especí�cas da organização. Elas desempenham um papel
fundamental na identi�cação de ameaças à segurança, na avaliação de riscos e na garantia de
que os controles de segurança estejam e�cazes e em conformidade.
Um dos desa�os da auditoria é a auditoria em segurança de IoT, que é essencial para garantir
que os dispositivos e sistemas conectados estejam protegidos contra ameaças cibernéticas,
Disciplina
Segurança e Auditoria de
Sistemas
especialmente considerando o aumento da complexidade e da interconexão na era da Internet
das Coisas.
A auditoria contínua, no contexto de auditoria de sistemas, refere-se a uma abordagem em que o
processo de auditoria é realizado de forma contínua e em tempo real, em oposição a auditorias
pontuais e periódicas. Essa abordagem utiliza a análise de dados como uma ferramenta
fundamental para monitorar constantemente os sistemas, identi�car padrões, anomalias e
possíveis riscos de forma contínua.
O uso de análise de dados também pode ser extremamente útil em uma auditoria, com
ferramentas de análise de log, ferramentas de análise preditiva, que utilizam algoritmos para
prever possíveis incidentes com base em padrões históricos e ferramentas para análise de
tráfego de rede, trazendo a identi�cação imediata de padrões suspeitos de comunicação.
Temos que ter a clareza que o grande volume de dados gerados pode ser desa�ador, portanto, é
crucial ter ferramentas e�cientes de análise. Con�gurar corretamente os sistemas de auditoria
contínua é vital para garantir que eventos importantes não sejam negligenciados. Devemos voltar
nossa atenção para a inteligência de ameaças para melhor contextualização e interpretação dos
eventos.
Assim conseguiremos realizar uma auditoria adequada.
É Hora de Praticar!
Este conteúdo é um vídeo!
Para assistir este conteúdo é necessário que você acesse o AVA pelo
computador ou pelo aplicativo. Você pode baixar os vídeos direto no aplicativo
para assistir mesmo sem conexão à internet.
O que é necessário para realizar uma auditoria de sistemas em ambientes de Internet das Coisas
(IoT)? 
Devemos fazer auditorias apenas quando tivermos problemas na empresa?
A auditoria deve ser considerada como algo que irá mostrar tudo que não está correto e
seremos punidos por isso?
Como se tornar um auditor de sistemas? 
Disciplina
Segurança e Auditoria de
Sistemas
A auditoria de sistemas em ambientes de Internet das Coisas (IoT) requer uma abordagem
abrangente e especí�ca devido às características únicas desses ambientes. Entre as
recomendações:
1. Compreensão do Ambiente IoT
Antes de iniciar a auditoria, é crucial ter uma compreensão profunda do ambiente IoT em
questão. Isso inclui identi�car todos os dispositivos IoT, suas funções, comunicações e
interações com outros sistemas.
2. Avaliação de riscos
Realize uma avaliação de riscos especí�ca para o ambiente IoT. Identi�que possíveis
ameaças, vulnerabilidades e os impactos potenciais de falhas de segurança. Isso ajudará a
priorizar os esforços durante a auditoria.
3. Protocolos de comunicação seguros
Avalie os protocolos de comunicação utilizados pelos dispositivos IoT. Certi�que-se de que
estão implementando criptogra�a adequada para proteger a integridade e
con�dencialidade dos dados transmitidos.
4. Identi�cação e autenticação
Veri�que os mecanismos de identi�cação e autenticação dos dispositivos IoT. Certi�que-se
de que apenas dispositivos autorizados tenham acesso ao sistema, e que as credenciais
estejam protegidas adequadamente.
5. Atualizações de software e �rmware
Avalie o processo de atualização de software e �rmware dos dispositivos IoT. Certi�que-se
de que exista um processo seguro para a aplicação de patches e atualizações, garantindo
que os dispositivos estejam sempre protegidos contra vulnerabilidades conhecidas.
�. Controle de acesso
Analise os controles de acesso no ambiente IoT. Isso inclui a revisão de políticas de
acesso, permissões e restrições para garantir que apenas usuários autorizados possam
interagir com os dispositivos e sistemas.
7. Monitoramento e detecção de anomalias
Implemente soluções de monitoramento contínuo para identi�car atividades suspeitas ou
anomalias no tráfego e no comportamento dos dispositivos IoT
�. Privacidade e proteção de dados
Avalie como os dados coletados pelos dispositivos IoT são armazenados, processados e
protegidos. Garanta que as práticas estejam em conformidade com as regulamentações de
privacidade e proteção de dados.
9. Resiliência e recuperação
Certi�que-se de que o ambiente IoT seja resiliente a falhas e tenha planos de recuperação
e�cazes em caso de incidentes de segurança.
10. Conformidade regulatória
Garanta que o ambiente IoT esteja em conformidade com as regulamentações de
segurança da informação especí�cas do setor.
11. Testes de penetração (pentests)
Realize testes de penetração para identi�car vulnerabilidades especí�cas e medir a e�cácia
dos controles de segurança implementados.
Disciplina
Segurança e Auditoria de
Sistemas
12. Treinamento e conscientização
Certi�que-se de que os usuários e administradores do sistema estejam devidamente
treinados e conscientes das melhores práticas de segurança.
Lembre-se de que a segurança em ambientes IoT é um desa�o em constante evolução, e a
auditoria deve ser realizada regularmente para manter a e�cácia ao longo do tempo.
Disciplina
Segurança e Auditoria de
Sistemas
ISACA. Information Systems Audit and Control Association. Information Systems Auditing: Tools
and Techniques Creating Audit Programs. 2016. Disponível em: https://bit.ly/3rx5Cm1. Acesso
https://bit.ly/3rx5Cm1
Disciplina
Segurança e Auditoria de
Sistemas
em: 11 nov. 23.