Apostila - Gestão de Riscos, Ameaças e Vulnerabilidades

Prévia do material em texto

1 
 
 
Gestão de Riscos, Ameaças 
e Vulnerabilidades 
 
 
2 
I. Introdução - guerra cibernética 
 
O advento da internet e a globalização transformaram completamente o mundo em que vivemos. 
Estas transformações afetaram de forma decisiva as organizações, quebrando diversos paradigmas 
e promovendo uma profunda reavaliação dos que as estão comandando. 
 
Atualmente já se vivencia um cenário de guerra cibernética, que dia após dia toma conta das 
manchetes e páginas dos principais meios de comunicação, colocando em risco a paz mundial. 
 
Tecnicamente a guerra cibernética é definida como sendo o uso de ataques digitais às estruturas 
estratégicas ou táticas de um alvo, para fins de espionagem ou sabotagem. 
 
Diferentemente de um confronto militar, a guerra cibernética é silenciosa. Seu perfil é o de uma 
competição violenta e antiética, na maior parte das vezes desumana e com graves consequências 
econômicas. 
 
Ela nada mais é do que a utilização dos recursos de computação e comunicação para se conseguir 
uma informação ou até mesmo para destruir, modificar, alterar ou corromper os equipamentos e 
sistemas de outros países. 
 
Em meados de 2013, o ex-técnico de informação da Agência de Segurança Nacional Norte-americana1 
(da sigla em inglês NSA) Edward Snowden revelou ao mundo o programa de espionagem conduzido 
pelo governo dos EUA. 
 
Segundo as informações divulgadas por Snowden, os alvos foram governos, governantes, empresas, 
empresários e cidadãos de vários países, aliados ou não dos EUA, tudo justificado pela égide do 
"combate ao terrorismo". 
 
Ainda segundo Snowden, empresas como a Microsoft, Yahoo, Google, Facebook, Paltalk, Youtube, 
Skype, AOL e Apple fornecem acesso aos técnicos da NSA para alimentar as bases de dados de 
 
1NSA: é a agência de segurança dos Estados Unidos, criada em 4 de novembro de 1952, com funções relacionadas à inteligência de 
sinais, incluindo interceptação e criptoanálise. É um dos órgãos encarregados de proteger as comunicações norte-americanas. 
 
 
3 
programas como o “Prism”2, que é um programa de vigilância eletrônica altamente secreto, mantido 
por aquela agência e que tem por finalidade o monitoramento e avaliação de mídias eletrônicas. 
 
Na sua versão mais assustadora, a ciberguerra pode ter como alvo o recurso estratégico mais 
importante de um país: sua população. Um hacker poderia fazer um ataque terrorista para 
desestabilizar ou desmotivar uma população a lutar. 
 
Isso implica em coisas assustadoras como ataques aos setores financeiros, que causariam danos 
econômicos; ou ataques a sistemas de comunicação. Você pode imaginar o que aconteceria se a rede 
de telefonia fosse desativada e a internet caísse. 
 
No contexto atual, em que a internet é utilizada em todos os serviços essenciais, como bancos, 
polícias, hospitais, aeroportos, indústrias, dentre outros, a guerra cibernética é uma ameaça 
constante e presente. 
 
Seu alvo pode ser praticamente qualquer setor importante para a infraestrutura do inimigo. Isto 
significa setores óbvios como o exército, a defesa nacional e a indústria bélica. 
 
No entanto, esses alvos também podem ser fábricas civis de armas, minas e outras manufaturas que 
auxiliem no funcionamento dessas fábricas — e o sistema elétrico, que fornece energia para todos 
esses setores. 
 
Um bom exemplo seria um ataque ao sistema energético. Nos EUA, este é um recurso estratégico 
importantíssimo. 
 
Se o sistema fosse destruído por um ciberataque, uma possibilidade que assusta o país, não seriam 
só as fábricas de armas que parariam de funcionar. 
 
Um ataque desses resultaria também em acidentes de trânsito, cirurgias interrompidas, falhas em 
máquinas de suporte à vida — basicamente, uma quantidade absurda de pessoas morreria. 
 
 
2Prism: um dos programas de vigilância global da NSA que foi mantido secreto até junho de 2013. Permite coletar e monitorar várias 
atividades de usuários que estão em poder de provedores de serviços de internet, incluindo histórico de pesquisas, conteúdo de e-
mails, transferência de arquivos, vídeos, fotos, chamadas de voz e vídeo, detalhes de redes sociais, logins e outros dados em poder 
das empresas de internet. 
 
 
4 
 
Hackers com o apoio do Estado, sejam membros das forças militares de um país ou financiados por 
ele, atacam computadores e redes do oponente que afetem recursos necessários para a guerra. 
 
Eles fazem isso da mesma forma que em qualquer outro computador ou sistema: estudam o sistema 
profundamente, descobrem suas falhas ou vulnerabilidades e usam essa falhas para controlar esse 
sistema ou destruí-lo. 
 
A espionagem é o início do processo de guerra cibernética. É quando você, intencionalmente, invade 
o sistema do outro para pegar alguma informação que não estaria disponível de outra forma. A 
estratégia mais urgente, nesse caso, é se prevenir destes ataques. 
 
Os analistas de segurança digital devem montar estratégias especializadas em identificar 
vulnerabilidades em redes de computadores, computadores pessoais e aplicações de forma geral. 
 
Não há dúvidas de que o conflito por meio de computadores já começou. Nós já estamos em guerra 
cibernética. Porém, muitos países não assumem o que fazem. 
 
Imagine um cenário de desordem total onde não há energia, a água está acabando e a comida 
estocada já foi consumida. Enquanto o lixo toma conta das ruas, o trânsito corre sem regras. Os 
hospitais funcionam parcialmente, o metrô e os aeroportos estão em completa desordem e uma 
operação bancária simples, como sacar dinheiro, está fora de cogitação: os sistemas foram 
derrubados. 
 
Esse roteiro lembra ficções assustadoras que lemos ou vemos no cinema, como nos filmes Duro de 
Matar 4, A Estrada e Ensaio sobre a Cegueira. 
 
Apesar de ser um cenário bastante catastrófico, vivemos hoje uma era em que os sistemas 
informatizados de um país podem sofrer ataques e parar de funcionar. Esse caos já é colocado em 
prática e tem nome: guerra cibernética. 
 
É fundamental que estudemos os riscos, vulnerabilidades e ameaças, a fim de nos prevenirmos dessas 
situações. 
 
 
5 
 
1. Gestão de riscos 
 
1.1. Introdução 
 
A Norma ABNT NBR ISO/IEC 27.005/2008 apresenta vários conceitos importantes, sendo que 
passaremos a explorar o risco e a medida de risco. 
 
Ainda segundo a norma, todas as atividades de uma organização envolvem risco. As 
organizações devem gerenciar o risco, identificando-o, analisando-o, e em seguida, avaliando 
se o risco deve ser modificado pelo tratamento, a fim de atender a seus critérios. 
 
Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas, monitoram 
e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum 
tratamento de risco adicional seja requerido. 
 
Risco é a possibilidade ou probabilidade de uma determinada ameaça, associada à ocorrência 
de algum incidente, explorar uma ou várias vulnerabilidades de um ativo ou de um conjunto de 
ativos, que provoque a alteração isolada ou em conjunto, da confidencialidade, integridade e 
disponibilidade, princípios básicos da segurança da informação. 
 
Sua escala é dada por dois fatores: 
 
• Probabilidade de ocorrência da ameaça medida através da combinação da sua 
frequência com a avaliação das vulnerabilidades; 
• Consequências trazidas pela ocorrência do incidente, ou seja, o impacto. 
 
É preciso lembrar que ativo vem a ser qualquer coisa que tenha valor para a organização. São 
exemplos de ativos, os elementos que compõem o processo de manipulação da informação, 
inclusive ela própria, os meios em que ela é armazenada, transportada e descartada. 
 
 
 
 
 
6 
 
1.2. Risco e impacto 
 
Para ilustrar a questão do risco e do impacto, vamos imaginar a questão do assalto a uma 
residência em diversos cenários. 
 
a) Assalto a uma rica residência em uma grande cidade 
 
"Na cidade,acontecem muitos assaltos. Porém, se minha casa for assaltada, mando comprar 
tudo de novo". 
 
Neste caso, mesmo havendo risco alto, o impacto é baixo. 
 
b) Assalto a uma pobre residência em uma grande cidade 
 
“Na cidade, acontecem muitos assaltos. Se minha casa for assaltada, vai ser muito difícil 
comprar tudo de novo". 
 
Nesse caso, o risco e o impacto são altos. 
 
c) Assalto a uma rica residência em uma cidade do interior 
 
“Na minha cidadezinha não acontecem assaltos. Se mesmo assim minha casa for assaltada, 
mando comprar tudo de novo". 
 
Nesse caso, tanto o risco quanto o impacto são baixos. 
 
d) Assalto a uma pobre residência em uma cidade do interior 
 
“Na minha cidadezinha não ocorrem assaltos. Mas, se minha casa fosse assaltada, seria muito 
difícil comprar tudo de novo". 
 
Nesse caso, o risco é baixo, porém o impacto é alto. 
 
 
 
7 
 
1.2.1. Impacto nos negócios 
 
1.2.1.1. Impactos financeiros 
 
 Perdas de receitas, vendas, juros ou descontos; 
 Pagamento de multas contratuais; 
 Cancelamento de ordens de vendas por atraso; 
 Indisponibilidade de fundos; 
 Despesas extraordinárias com serviços externos, funcionários temporários, 
compras de emergência, entre outras. 
 
1.2.1.2. Impactos operacionais 
 
 Interrupção dos negócios; 
 Perda da capacidade de atendimento a clientes externos e internos, como 
por exemplo, alta gerência; 
 Problemas de imagem; 
 Problemas de perda de confiança, tais como de clientes, de entidades 
reguladoras, e outras. 
 
1.2.1.3. Principais benefícios na adoção da gestão de riscos 
 
 Entender os riscos associados com o negócio e a gestão da informação; 
 Melhorar a efetividade das decisões para controlar riscos nos processos 
internos e externos e suas interações; 
 Melhorar a eficácia no controle de riscos. 
 
A medida de risco é a combinação da probabilidade de um evento indesejável ocorrer e a 
sua consequência. 
 
O mais importante para a proteção da informação é que esses assuntos formem um conjunto 
coeso e integrado. É pouco importante para uma organização ter um estado de excelência 
em um assunto e uma situação deplorável em uma outra dimensão. 
 
 
8 
 
Esse é um dos primeiros cuidados que se deve ter ao desenvolver e implantar dimensões de 
controle. Com as melhores das intenções, queremos que, em um primeiro momento, a 
organização saia do estágio zero para o estágio de controle total e que seja referência de 
mercado. 
 
Cada negócio, independentemente de seu segmento de mercado, possui dezenas ou centenas 
de variáveis, que se relacionam direta e indiretamente com a definição de seu nível de risco. 
 
Como já vimos, o risco é a probabilidade de uma determinada ameaça explorar uma ou várias 
vulnerabilidades, expondo ativos a perdas de confidencialidade, integridade e disponibilidade, 
causando impacto nos negócios, que são limitados por medidas de segurança que protegem 
os ativos. 
 
Impede-se assim que as ameaças explores as vulnerabilidades, tentando minimizar o risco. 
 
Considerando R como sendo a taxa de risco, V as vulnerabilidades, A as ameaças, I os 
impactos e M as medidas de segurança, o risco pode ser calculado conforme a equação: 
 
 
 
Pode-se observar que a inclusão de medidas de segurança pode reduzir o risco. Por isto, a 
análise de riscos é uma das etapas mais importantes para a construção de um sistema de 
gestão de segurança de informação. 
 
 
 
 
 
 
 
 
 
9 
1.3. Contextualização 
 
Escopo é o conjunto de ativos, tais como indivíduos, grupos ou organizações, que são 
afetados diretamente por um determinado risco e que será coberto pelo processo de gestão 
de riscos. 
 
Para as organizações, de uma forma geral, o risco é visto como a exposição às perdas 
baseada nas frequências estimadas e custos de concorrência. 
 
Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover 
ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para 
tratar a questão dentro do escopo que está sendo estudada. 
 
1.4. Ciclo PDCA 
 
A fim de resolver suas questões corporativas e desenvolver melhorias de gestão, as 
organizações,implementam um método amplamente utilizado pelas próprias companhias e 
por consultorias de gestão: o PDCA. 
 
Acrônimo para plan (planejar), do (executar), check (verificar) e act (agir), em inglês, o 
método remete à obra do filósofo francês René Descartes, Discurso do Método, de 1637. 
 
Naquela época, a motivação de Descartes era descobrir uma forma de condução científica do 
pensamento humano em busca da verdade. Essa é a origem fundamental do PDCA, um 
método cartesiano de resolver problemas. 
 
A grande razão de ser do PDCA é a resolução de problemas: ele é um passo a passo para o 
alcance de metas. O método pode ser aplicado a qualquer tipo de problema e é base 
fundamental dos processos de gestão de qualquer tipo de organização. 
 
Na prática, o método segue a sequência das quatro letras. O primeiro passo é identificar o 
problema, traçar uma meta e, a partir daí, analisar e planejar as ações que vão trazer o 
resultado esperado (plan). 
 
 
 
10 
Depois disso, executar o plano de ação (do), em seguida verificar os resultados (check) e, 
por fim, agir para consertar possíveis falhas a partir dos aprendizados (act). 
 
1.4.1. Planejar 
 
Estabelecer os objetivos e processos necessários para entregar resultados de acordo com o 
projetado, objetivos ou metas. 
 
Ao estabelecer expectativas de resultado, a integridade e precisão da especificação também 
são partes da melhoria almejada. Quando possível, começar em pequena escala, para testar 
os possíveis efeitos. 
 
1.4.2. Desempenhar 
 
Implementar o plano, executar o processo, fazer o produto. Coletar dados para o 
mapeamento e análise dos próximos passos: "checar" e "ajustar". 
 
A metodologia possibilita desenvolver um planejamento sistemático, permitindo de imediato 
maior produtividade, segurança, clima organizacional e motivação dos funcionários, com 
consequente melhoria da competitividade organizacional. 
 
1.4.3. Conferir/ checar 
 
Estudar o resultado, medido e coletado no passo anterior, “desempenhar”, e compará-lo em 
relação aos resultados esperados, que foram os objetivos estabelecidos no passo “planejar”, 
para determinar quaisquer diferenças. 
 
Procurar por desvios principalmente na aplicação do plano e também olhar para a adequação 
e abrangência do plano permite a execução do próximo passo, ou seja, "agir". 
 
Traçar dados pode tornar isso muito mais fácil para ver as tendências ao longo de vários 
ciclos de PDCA, e assim converter os dados coletados em informação. Informação é o que se 
precisa para a próxima etapa: "ajustar". 
 
 
 
11 
 
 
 
1.4.4. Alavancar/ ajustar/ atuar 
 
É a realização das ações corretivas, que visam a correção das falhas encontradas durante o 
processo. Após a correção ser realizada, deve-se repetir o ciclo. 
 
É nessa etapa que o ciclo se reinicia, dando continuidade ao processo de melhoria contínua. 
É através da análise crítica do ciclo PDCA que se estabelece um plano de ação definitivo para 
a implementação das atividades a serem executadas após os estudos do ciclo. 
 
O objetivo é tomar ações corretivas sobre as diferenças significativas entre os resultados 
reais e os planejados. 
 
O plano PDCA, quando aplicado junto ao Sistema de Gestão da Qualidade, pode implementar 
ações para atingir a melhoria contínua, assegurar a operação e controle dos processos 
produtivos. 
 
No sistema de Gestão da Qualidade, podemos encontrar não conformidades nos processos. 
Para tratar a não conformidade, utilizamos o plano PDCA. 
 
1.4.5. Ciclo PDCA proposto por Deming3 (melhoria contínua) 
 
 
 
3DEMING, W. Edwards. Out of the Crisis. [S.l.]: MIT Center for Advanced Engineering Study, 1986. 
 
P – Plan – Planejar 
D – Do – Implementar 
C– Check - Verificar 
A – Act – Atuar corretivamente 
https://pt.wikipedia.org/wiki/PDCAhttps://pt.wikipedia.org/w/index.php?title=Sistema_de_Gest%C3%A3o_da_Qualidade&action=edit&redlink=1
https://pt.wikipedia.org/wiki/Controle
https://pt.wikipedia.org/w/index.php?title=Processos_produtivos&action=edit&redlink=1
https://pt.wikipedia.org/w/index.php?title=Processos_produtivos&action=edit&redlink=1
https://pt.wikipedia.org/w/index.php?title=Sistema_de_Gest%C3%A3o_da_Qualidade&action=edit&redlink=1
https://pt.wikipedia.org/wiki/PDCA
https://pt.wikipedia.org/wiki/W._Edwards_Deming
 
 
12 
 
 
 
 
1.5. Gestão de Riscos 
 
A Gestão de Riscos, segundo a norma AS/NZS 4360, refere-se a cultura, estruturas e processos 
de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos. 
 
Segundo a Norma NBR ISO 27.002, é o conjunto de práticas, procedimentos e elementos de 
suporte utilizados para gerenciar o risco. 
 
Dessa forma, a Gestão de Riscos é o processo através do qual as organizações lidam com o 
risco associado à sua atividade, para obter medidas de prevenção ou controle que devem ser 
adotadas, para eliminar, prevenir ou minimizar um ou vários pontos críticos ou de risco. 
 
A Gestão de Riscos em Segurança da Informação – GRSI é um dos assuntos de um processo de 
segurança da informação em uma organização e compõe o conjunto de ações que possibilitam 
que este processo ocorra de maneira eficiente, eficaz e contínua ao longo do tempo. 
 
Muitos benefícios são verificados na organização, ao se adotar um planejamento adequado para 
a Gestão de Riscos, entre eles: 
 
• Melhorar a efetividade das decisões para controlar riscos nos processos internos e 
externos e suas interações; 
• Melhorar a eficácia no controle de riscos; 
• Entender os riscos associados com o negócio e a gestão da informação; 
• Manter a imagem e reputação da organização; 
• Minimizar as possibilidades de furto de informação e maximizar a proteção e dados; 
• Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios. 
 
O propósito da Gestão de Riscos deve ser voltado a dar suporte a um sistema de segurança da 
informação - SGSI, que esteja em conformidade legal, e a evidência da realização dos 
procedimentos corretos, direcionado à preparação de um plano de continuidade de negócio, 
 
 
13 
resposta a incidentes e a descrição dos requisitos de segurança da informação para um produto, 
serviço ou mecanismo. 
 
1.5.1.1. Etapas do processo da gestão de risco 
 
A Gestão de Riscos contempla uma série de atividades relacionadas à forma como uma 
organização lida com o risco, cobrindo todo o ciclo de vida do risco, desde a sua identificação 
até ser comunicado aos envolvidos, podendo ser representada da seguinte forma: 
 
 
 
1.6. Análise e avaliação dos riscos 
 
Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, 
que cobrem todo o processo de identificação das ameaças e estimativas de risco, iniciando 
através da identificação dos riscos e seus elementos, que costumam ser classificadas como: 
 
Alvo==Agentes ==Ameaças==Vulnerabilidades 
==Impactos 
 
 
 
 
1.6.1. Método quantitativo 
 
IDENTIFICAR
AVALIAR OS 
RISCOS
SELECIONAR, 
IMPLEMENTAR E 
OPERAR 
CONTROLES 
PARA TRATAR OS 
RISCOS
VERIFICAR E 
ANALISAR 
CRITICAMEN
TE OS 
RISCOS
MANTER E 
MELHORAR 
OS 
CONTROLES
 
 
14 
A métrica é feita através de uma metodologia na qual tentamos quantificar, em termos 
numérico,s os componentes associados ao risco. O risco é representando em termos de 
possíveis perdas financeiras. 
 
Os métodos quantitativos costumam ser vistos com cautela pelos estudiosos, devido à 
dificuldade de obtenção de resultados representativos e pela sua complexidade. 
 
1.6.2. Método qualitativo 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos 
com menções mais subjetivas como alto, médio e baixo. Isto torna o processo mais 
rápido. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
Nessa etapa, são identificados os eventos que podem causar perdas, ou seja, as ameaças. 
Logo após, devemos identificar os controles existentes e a sua eficácia em evitar que uma 
ameaça explore uma vulnerabilidade. 
 
Com a informação das ameaças e da efetividade dos controles, podemos identificar o 
nível de risco. Conhecendo o nível de risco, a organização tem a oportunidade de decidir 
o que vai fazer em relação a cada um deles: 
 
• Reduzir através da adoção de novos controles; 
• Aceitar; 
• Evitar ou transferir. 
 
Vários métodos de avaliação qualitativa do risco utilizam questionários e matrizes de risco, 
como, por exemplo, a apresentada a seguir: 
 
 
PROBABILIDADE DA OCORRRÊNCIA DO INCIDENTE 
 
 
15 
GRAVIDADE 
DO IMPACTO 
F 
Impossível 
 
E 
Improvável 
D 
Remota 
C 
Ocasional 
B 
Provável 
A 
Frequente 
I 
Catástrofe 
 
 
 
 
 
 
 
 
 
 
II 
Alta 
 
 
 
 
 
 
 
 
III 
Média 
 
 
 
 
 
 
IV 
Baixa 
 
 
 É muito importante reduzir os riscos. 
 Devem ser adotadas medidas de proteção adicionais. 
 As medidas básicas de proteção adotadas pela organização são consideradas 
suficientes para manter os riscos em níveis aceitáveis. 
 
A norma fala da avaliação do risco e análise das consequências, em pontos distintos. 
 
O que faz mais sentido prático é quando ela define que a avaliação de riscos tem como entrada uma 
lista de riscos com níveis de valores designados e como saída uma lista de riscos ordenados por 
prioridades. 
 
Ou seja, faz-se necessário priorizar os riscos, pois um de nível alto, com baixo impacto financeiro, 
não necessariamente deve ser tratado antes de um risco de nível médio, porém com grande impacto 
financeiro. 
 
Dessa forma, a avaliação de risco considera impactos do tipo socioambiental, operacional, financeiro, 
oportunidade de negócio, cumprimento de prazo ou requisitos legais. 
 
Entende-se que, em uma primeira versão do processo da GRSI - Gestão de Risco em Segurança da 
Informação, pode-se tomar o item impacto englobando todos esses aspectos. 
 
Na medida em que a organização amadurece em gestão de risco, pode-se ter uma maior 
granularidade dos tipos de impactos. A norma define em seus anexos algumas abordagens para o 
processo de tratamento de risco. Uma das estratégias de razoável eficácia é: 
 
 
 
16 
• Avaliar, considerando a probabilidade da ameaça e facilidade de exploração, 
fragilidade dos controles, e chegando ao nível da medida de risco. Desta forma, 
podemos ter uma visão dos riscos existentes; 
 
• Priorização de ações sobre o risco, considerando os impactos ou consequências. 
Essa maneira ficará coerente quando tratarmos de riscos operacionais, nos quais 
primeiro será analisado o que impede a organização (ou área da organização) de 
atingir os seus objetivos e depois consideraremos o custo dessas ações. 
 
A norma indica um caminho estruturado que deve ser tomado por base. 
 
1.7. Tratamento dos riscos 
 
A fase do tratamento dos riscos é aquela em que se selecionam e implementam as medidas 
necessárias de forma a reduzir os riscos já previamente identificados. Existem várias 
classificações disponíveis para as medidas de proteção, sendo uma delas a seguinte: 
 
1.7.1. Medidas preventivas 
 
É a adoção de controles que reduzem a probabilidade de uma ameaça se concretizar ou 
diminuem ao grau de vulnerabilidade do ambiente, do ativo atingido ou do sistema, reduzindo 
assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na 
organização. 
 
1.7.2. Medidas corretivas ou reativas 
 
São aquelas que reduzem o impacto de uma ataque ou incidente. São medidas tomadas 
durante ou após a ocorrência do evento. 
 
1.7.3. Métodos detectivos 
 
São aqueles que expõem os ataques ou incidentes e disparam medidas reativas, tentando 
evitar a concretização do dano, reduzi-lo ou impedir que se repita. 
 
 
 
17 
1.8. Aceitação e comunicação do risco 
 
A aceitação dos riscos ocorre quandoo custo de proteção contra um determinado risco não 
vale a pena. Aceitar um risco é uma das maneiras de tratá-lo. 
 
Já a comunicação dos riscos refere-se à divulgação de informações sobre os riscos que foram 
identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisem 
ter conhecimento a respeito deles. 
 
Uma das melhores formas de se comunicar os riscos de maneira genérica, com o intuito de 
notificar os colaboradores a respeito deles, é desenvolver e manter uma campanha de 
conscientização de segurança. 
 
1.9. Monitoramento e revisão dos riscos 
 
A gestão do risco precisa ser desenvolvida de forma permanente e iterativa, para que as 
mudanças nos sistemas e na forma como são usados, no perfil dos usuários, no ambiente, 
na tecnologia, nas ameaças, nas vulnerabilidades e em outras variáveis pertinentes, não 
tornem obsoletos os requisitos de segurança estabelecidos. 
 
Essa etapa de monitoração dos riscos consiste na verificação contínua, supervisão, 
observação crítica ou determinação da situação, visando identificar uma alteração no nível 
de desempenho requerido ou esperado dos riscos. 
 
1.10. Riscos, medidas de segurança e o ciclo de segurança 
 
Segundo Sêmola4, para um melhor entendimento da amplitude e complexidade da segurança, 
é comum se estudarem os desafios em camadas ou fases para tornar mais claro o entendimento 
de cada uma delas. 
 
 
4 Sêmola, Marcos. Gestão da Segurança da Informação: uma visão executiva. Editora Campus. 
 
 
 
18 
Essas fases são chamadas de barreiras e foram divididas em seis. Cada uma delas tem uma 
participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada 
adequadamente para proporcionar a mais perfeita integração e interação: 
 
1.10.1. Barreiras de segurança 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
1.10.1.1. Desencorajar 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar 
as ameaças. 
 
As ameaças, por sua vez, podem ser desmotivadas ou podem perder o interesse e o 
estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, 
tecnológicos ou humanos. 
AMEAÇAS 
NEGÓCIO 
ATIVOS 
 
 
19 
 
A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de 
alarmes, já é efetiva nesta fase. 
 
 
1.10.1.2. Dificultar 
 
O papel desta barreira é complementar a anterior, através da adoção efetiva dos controles 
que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para 
acesso físico, por exemplo. 
 
1.10.1.3. Discriminar 
 
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo 
perfis e autorizando permissões. 
 
Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos 
serviços de telefonia, perímetros fisicos, aplicações de computador e banco de dados. 
 
1.10.1.4. Detectar 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e 
instrumentem os gestores da segurança na detecção de situações de risco — seja uma tentativa 
de invasão ou por uma possível contaminação por vírus, por exemplo. 
 
1.10.1.5. Deter 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. 
 
O acionamento dessa barreira, ativando seus mecanismos de controle, é um sinal de que as 
barreiras anteriores não foram suficientes para conter a ação da ameaça. 
 
 
 
20 
Nesse momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de 
acessos físicos e lógicos são bons exemplos. 
 
 
 
 
1.10.1.6. Diagnosticar 
 
Apesar de representar a última barreira no diagrama, esta fase tem o sentido especial de 
representar a continuidade do processo de gestão de segurança da informação. Cria o elo com a 
primeira barreira, criando um movimento cíclico e contínuo. 
 
Devido a esses fatores, é a barreira de maior importância. Deve ser conduzida por atividades de 
análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos. 
 
2. Ameaças aos sistemas de informação 
 
2.1. Introdução às ameaças de segurança 
 
As ameaças à segurança da informação e na internet continuam a evoluir exponencialmente. 
Discutiremos aqui as estratégias que as organizações podem adotar para contê-las e minimizá-las. 
 
Entende-se por ameaças, que podem ser ambientais ou humanas, tudo aquilo que tem potencial de 
causar algum tipo de dano aos ativos. O incidente ocorre quando uma ameaça se concretiza. 
 
A conectividade sem precedentes da era da internet trouxe um imenso benefício social e econômico, 
mas também introduziu inúmeros novos desafios. O mundo está totalmente conectado, e assim as 
ameaças à segurança na internet continuam a evoluir com mais rapidez do que as proteções mais 
avançadas. 
 
Os incidentes de segurança da informação vêm aumentando consideravelmente ao longo dos últimos 
anos, motivados não só pela difusão da internet, que cresceu de alguns milhares de usuários no início 
 
 
21 
da década de 1980 para centenas de milhões de usuários ao redor do globo nos dias de hoje, como 
também pela democratização da informação. 
 
Outros fatores também contribuíram para impulsionar o crescimento dos incidentes de segurança, 
tais como: 
 
• O aumento do número de vulnerabilidades nos sistemas existentes, como, por exemplo, as 
brechas de segurança nos sistemas operacionais utilizados em servidores e estações de 
trabalho; 
 
• O processo de diminuir tais vulnerabilidades com a aplicação de correções do sistema, 
realizadas muitas vezes de forma manual e individual: de máquina em máquina; 
 
• A complexidade e a sofisticação dos ataques, que assumem as formas mais variadas, como, 
por exemplo: infecção por vírus, acesso não autorizado, ataques DoS - denial of service 
DDoS – distributed denial of service5contra redes e sistemas, furto de informação 
proprietária, invasão de sistemas, fraudes internas e externas, uso não autorizado de redes 
sem fio, entre outras. 
 
É a conjunção dessas condições que culmina na parada generalizada de sistemas e redes 
corporativas ao redor do mundo. 
 
Os roubos de informações são hoje um negócio lucrativo e, em geral, controlado pelo crime 
organizado. 
 
 
5Os ataques DoS (sigla para denial of service ou "ataques de negação de serviços") consistem em tentativas de fazer com que 
computadores — servidores web, por exemplo — tenham dificuldade ou mesmo sejam impedidos de executar suas tarefas. 
Para isso, em vez de "invadir" o computador ou mesmo infectá-lo com malwares, o autor do ataque faz com que a máquina receba 
tantas requisições que esta chega ao ponto de não conseguir dar conta delas. Em outras palavras, o computador fica tão sobrecarregado 
que nega serviço. 
Já o DDoS (sigla para distributed denial of service) é um tipo de ataque DoS de grandes dimensões, ou seja, que utiliza até milhares 
de computadores para atacar uma determinada máquina, distribuindo a ação entre elas. Trata-se de uma forma que aparece 
constantemente no noticiário, já que é o tipo de ataque mais comum na internet. 
 
 
 
 
22 
Um número crescente de modelos de crimes cibernéticos sofisticados, incluindo o surgimento de 
empresas fantasmas, utiliza ferramentas e serviços de vendas para iniciar ataques na rede, em vez 
de simplesmente vender as informações obtidas dos ataques. 
 
As autoridades governamentais, órgãos de pesquisas e a sociedade em geral podem interferir e 
ajudar a diminuir as ameaças à segurança da informação e internet, tomando as seguintes medidas: 
 
• Aumentando a conscientização dos clientes e da indústria sobre a importância da 
segurança; 
• Educando usuários sobre as melhores práticas; 
• Usando as melhores práticas para assegurar seus próprios sistemas; 
• Financiando pesquisa e desenvolvimento de longoprazo; 
• Criando e aplicando com rigidez leis contra crimes cibernéticos e processando 
criminosos que usam ou tentam usar a rede para roubo, fraude, extorsão ou outros 
crimes; 
• Aumentando a colaboração internacional com outros governos, órgãos de aplicação da 
lei e o setores privados sobre a socialização das melhores práticas e a instauração de 
processos internacionais por crimes cibernéticos. 
 
2.2. Ameaças 
 
2.2.1. Definição 
 
Segundo a definição da RFC 2828, do Internet Security Glossary, ameaça é um potencial para violação 
da segurança quando há uma circunstância, capacidade, ação ou evento que pode quebrar a 
segurança e causar dano, ou seja, é um possível perigo que pode explorar uma vulnerabilidade. 
 
Já o ataque à segurança da informação, oriundo de uma ameaça inteligente, ou seja, um ato 
inteligente é uma tentativa deliberada de burlar os serviços de segurança e violar a política de 
segurança da organização. 
 
2.2.2. Classificação das ameaças 
 
As ameaças podem ser classificadas, segundo a sua intencionalidade, em: 
 
 
23 
 
a) Naturais 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, 
enchentes, terremotos, tempestades, poluição, entre outros; 
 
 
b) Involuntárias 
Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser 
causados por acidentes, erros, falta de energia, entre outros; 
 
c) Voluntárias 
Ameaças propositais causadas por agentes humanos como hackers, invasores, 
espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários. 
Podem se originar de fatores técnicos, organizacionais e ambientais, agravados por 
más decisões administrativas. 
 
As ameaças podem também ser classificadas quanto a sua origem: 
 
a) Interna 
Quando o agente do ataque está localizado geograficamente dentro das instalações 
da organização, como por exemplo um colaborador mal-intencionado ou muito 
insatisfeito, que geralmente possui livre acesso aos recursos disponíveis e que pode 
comprometer seus ativos. 
 
b) Externa 
Quando o agente do ataque está localizado geograficamente fora das instalações 
da organização. 
 
 
24 
 
 
 
AMEAÇAS 
Causando Impacto 
NEGÓCIOS 
 
ATACAM 
 
 
25 
2.3. Principais tipos de ameaças 
 
2.3.1. Códigos maliciosos - Malwares 
 
O termo malware é proveniente do inglês malicious software e refere-se a um software destinado a 
se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano 
ou roubo de informações, confidenciais ou não. 
 
Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers, bots, rootkits 
e spywares são considerados malwares. 
 
Também pode ser considerada malware uma aplicação legal que, por uma falha de programação, 
intencional ou não, execute funções que se enquadrem nessa definição. 
 
2.3.1.1. Vírus 
 
Vírus é um programa ou parte de um programa malicioso criado para gerar resultados indesejados, 
que se autodissemina sem o conhecimento do usuário, “contagiando” os computadores que tiverem 
contato com ele. 
 
O vírus é normalmente malicioso e se propaga infectando, isto é, inserindo cópias de si mesmo e se 
tornando parte de outros programas e arquivos de um computador. 
 
Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do 
programa ou arquivo hospedeiro. 
 
Ele utiliza um programa executável para nele se instalar, infecta o sistema, faz cópias de si mesmo e 
tenta se espalhar para outros computadores, utilizando-se de diversos meios. 
 
Alguns vírus e outros programas maliciosos, incluindo o spyware, estão programados para “reinfectar” 
o computador mesmo depois de detectados e removidos. 
 
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar 
uma mensagem de “feliz aniversário” até alterar ou destruir programas e arquivos do disco. 
 
 
26 
 
Uma máquina pode ser infectada através de um programa previamente infectado e que seja 
executado. Isto pode ocorrer de diversas maneiras, tais como: 
 
• Abrir arquivos anexados aos e-mails; 
• Abrir arquivos do Word, Excel, entre outros; 
• Abrir arquivos armazenados em outros computadores, através do compartilhamento de 
recursos; 
• Instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, de 
disquetes, pendrives, CDs, DVDs, entre outros; 
• Ter alguma mídia removível infectada conectada ou inserida no computador quando ele é 
ligado. 
 
2.3.1.2. Tipos de vírus 
 
2.3.1.2.1. Vírus de e-mail 
 
É um tipo de vírus propagado por e-mail. Normalmente é recebido como um arquivo anexado 
à mensagem de correio eletrônico. 
 
O conteúdo dessa mensagem normalmente irá induzir o usuário a clicar sobre o arquivo 
anexado, fazendo com que o vírus seja executado. 
 
Nesse momento, o vírus entra em ação infectando arquivos e programas e enviando cópias de 
si mesmo para os contatos encontrados na lista de endereços de e-mails armazenadas no 
computador do usuário. 
 
Esse tipo de vírus não se propaga automaticamente, sendo necessário que o usuário execute 
o arquivo anexado que contém o vírus, ou o programa leitor de vírus precisa estar configurado 
para autoexecutar arquivos anexados. 
 
 
 
 
 
 
27 
2.3.1.2.2. Vírus de macro 
 
Explora a facilidade de automatização de determinados aplicativos tais como Word, Excel, 
Access, Powerpoint e é parte de um arquivo normalmente manipulado. 
 
Uma macro é um conjunto de comandos que são armazenados em alguns aplicativos e 
utilizados para automatizar algumas tarefas repetitivas. 
 
Por exemplo: em um editor de textos, definir uma macro que contenha a sequência de passos 
necessários para imprimir um documento com a orientação de retrato e utilizando a escala de 
cores em tons de cinza. 
 
Um vírus de macro explora esta facilidade de automatização e é parte de um arquivo que 
normalmente é manipulado por algum aplicativo que utiliza macros. 
 
Para que o vírus possa ser executado, o arquivo que o contém precisa ser aberto e, somente 
então, o vírus pode executar uma série de comandos automaticamente e infectar outros 
arquivos no computador. 
 
Existem alguns aplicativos que possuem arquivos base ou modelos que são abertos sempre 
que o aplicativo é executado. Caso este arquivo base seja infectado pelo vírus de macro, toda 
vez que o aplicativo for executado, o vírus também será. 
 
Os arquivos mais suscetíveis a esse tipo de vírus são os gerados nos formatos dos programas 
da Microsoft, como o Word, Excel, Powerpoint e Access, porém isto não quer dizer que arquivos 
nos formatos RTF, PDF e PostScript não possam conter vírus. 
 
 
 
 
 
 
 
 
 
 
28 
2.3.1.2.3. Vírus de telefone celular 
 
Um vírus de celular se propaga de telefone para telefone através da tecnologia bluetooth ou 
MMS (Multimedia Message Service). 
 
Um aparelho celular pode ser infectado através de uma mensagem recebida informando que 
o telefone está prestes a receber um arquivo. O usuário permite que o arquivo infectado seja 
recebido, instalado e executado em seu aparelho. 
 
Os vírus de celular diferem-se dos vírus tradicionais, pois normalmente não inserem cópias de 
si mesmos em outros arquivos armazenados no telefone celular, mas podem ser 
especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema 
operacional instalado no aparelho. 
 
Depois de infectar um telefone celular, o vírus pode realizar diversas atividades, tais como: 
 
• Tentar se propagar para outros telefones; 
• Destruir ou tentar sobrescrever arquivos; 
• Drenar a carga da bateria; 
• Remover contatos da agenda; 
• Efetuar ligações telefônicas. 
 
2.3.1.3. Cavalo de Troia 
 
Também conhecido como trojan, é um invasor que não se reproduz. 
 
São programas que parecem úteis mas têm um código destrutivo embutido se instalando, 
geralmente, via e-mail; toda vez que o computador é ligado, o trojan automaticamente é 
executado sem o conhecimento do usuário. 
 
As açõesmaliciosas mais comuns são o furto de senhas e outras informações como número 
de cartões de crédito. 
 
 
 
29 
Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou 
de worms, não criam réplicas de si, e esse é o motivo pelo qual o cavalo de troia não é 
considerado um vírus. 
 
2.3.1.4. Adware 
 
É um tipo de software especificamente projetado para apresentar propagandas, seja através 
de um browser, seja através de algum outro programa instalado em um computador. 
 
Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma 
forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software 
livre ou prestam serviços gratuitos. 
 
2.3.1.5. Spyware 
 
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de 
monitorar atividades de um sistema, ou seja, é um aplicativo ou programa espião, e enviar as 
informações coletadas para terceiros. 
 
Consiste num programa automático de computador que recolhe informações sobre o usuário, 
sobre os seus costumes na internet, e transmite essa informação a uma entidade externa, sem 
seu conhecimento ou consentimento. 
 
Existem adwares que também são considerados um tipo de spyware, pois são projetados para 
monitorar os hábitos do usuário durante a navegação na internet, direcionando as 
propagandas que serão apresentadas. 
 
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas na maioria 
das vezes são utilizados de forma dissimulada, não autorizada e maliciosa. 
 
Diferem dos cavalos de Troia por não terem como objetivo fazer com que o sistema do usuário 
seja dominado e manipulado por uma entidade externa comandada pelo invasor. 
 
 
 
30 
É importante ressaltar que esses programas, na maioria das vezes, comprometem a 
privacidade e a segurança do computador do usuário, dependendo das ações realizadas pelo 
spyware no computador e de quais informações são monitoradas e enviadas para terceiros. 
 
2.3.1.6. Backdoors 
 
Backdoor é uma falha de segurança que pode existir em um programa de computador ou 
sistema operacional, que pode permitir a invasão do sistema para que se possa obter o total 
controle da máquina. 
 
São programas que permitem o retorno de um invasor a um computador comprometido 
utilizando serviços criados ou modificados para este fim, sem precisar recorrer aos métodos 
utilizados na invasão. 
 
Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometido 
sem ser notado. 
 
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou 
substituição de um determinado serviço por uma versão alterada, normalmente possuindo 
recursos que permitam o acesso remoto através da internet. 
 
O backdoor pode ser incluído por um vírus, através de um cavalo de troia ou pela a instalação 
de pacotes de software. 
 
2.3.1.7. Keyloggers 
 
São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado 
de um computador, a fim de descobrir suas senhas de banco, números de cartão de crédito e 
afins. 
 
Sua ativação está condicionada a uma ação prévia do usuário e normalmente contém 
mecanismos que permitem o envio automático das informações capturadas para terceiros, por 
exemplo, através de e-mails. 
 
 
 
31 
A contaminação por keyloggers geralmente vem acompanhada de uma infecção por outros 
tipos de vírus, em geral, os trojans. 
 
Os screenloggers são formas mais avançadas de keyloggers que, além de serem capazes de 
armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o 
mouse é clicado, também podem armazenar a região que circunda a posição onde o mouse 
é clicado. 
 
2.3.1.8. Rootkits 
 
Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de 
um invasor. 
 
Sua principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer 
antivírus. 
 
Um rootkit não deixa de ser um trojan que busca se esconder de softwares de segurança e do 
usuário, utilizando diversas técnicas avançadas de programação. 
 
O nome rootkit não indica que o conjunto de ferramentas que o compõem são usadas para 
obter acesso privilegiado, root ou administrador em um computador, mas sim para mantê-lo. 
 
Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador 
previamente comprometido, sem precisar recorrer novamente aos métodos utilizados na 
realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários 
do computador. 
 
2.3.1.9. Worms 
 
São programas capazes de se autopropagar por meio de redes, enviando cópias de si mesmo 
de computador para computador. 
 
Diferentemente do vírus, o worm não embute cópias de si mesmo em outros programas ou 
arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se 
 
 
32 
dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares 
instalados em computadores. 
 
Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se 
propagar, o worm é um programa completo e não precisa de outro para se propagar. 
 
Geralmente os worms não têm como consequência gerar danos como um vírus, mas 
são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o 
desempenho de redes e podem lotar o disco rígido de computadores, devido à grande 
quantidade de cópias de si mesmo que costumam propagar. 
 
Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de 
se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por e-mail. 
 
2.4. Planejamento de um ataque 
 
Para que um ataque ocorra, normalmente o atacante irá seguir alguns passos para que tente 
ter sucesso em sua missão. São eles: 
 
2.4.1. Levantamento das informações 
 
O reconhecimento é uma fase preparatória na qual o atacante procura coletar o maior número 
possível de informações sobre o “alvo em avaliação", antes do lançamento do ataque. 
 
Existem duas formas de realizar o reconhecimento: ativo e passivo. O reconhecimento passivo 
envolve a aquisição de informação sem interação direta com o “alvo". 
 
O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por 
exemplo, contato telefônico por meio do help desk ou do departamento técnico. 
 
 
 
 
2.4.2. Exploração das informações 
 
 
33 
 
O atacante explora a rede, baseando-se nas informações obtidas na fase de reconhecimento. 
 
Essa fase apresenta um alto risco para os negócios de uma empresas, pois, além de ser 
considerada uma fase de pré-ataque, envolve a utilização de diferentes técnicas e softwares, 
como por exemplo, a utilização de portscan, scanner de vulnerabilidade e network mapping. 
 
2.4.3. Obtenção de acesso 
 
Consiste na penetração do sistema propriamente dita. Nela, são exploradas as vulnerabilidades 
encontradas no sistema. Isto pode ocorrer através da internet ou da rede local, por fraude ou 
roubo. 
 
Os fatores que irão influenciar nos métodos utilizados pelo atacante serão a arquitetura e 
configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso 
obtido. 
 
O atacante, nessa fase, poderá obter o acesso no nível de sistema operacional, aplicação e 
rede. 
 
2.4.4. Manutenção de acesso 
 
O atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de 
outros atacantes através da utilização de “acessos exclusivos" obtidos através de rootkits, 
backdoors ou trojans. 
 
Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da 
máquina atacada. Nesta fase, o sistema atacado pode ficar comprometido. 
 
 
 
 
 
2.4.5. Camuflagem das evidências 
 
 
34 
 
Consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados, 
com o objetivo de prolongar sua permanência na máquinahospedeira, na utilização indevida 
dos recursos computacionais. 
 
Podemos citar como técnicas utilizadas nesta fase a esteganografia, o tunelamento e a 
alteração dos arquivos de log. 
 
2.5. Classificação dos ataques 
 
Os ataquem podem ser classificados em dois grupos: 
 
2.5.1. Ataques passivos 
 
Possuem a natureza de bisbilhotar ou monitorar as transmissões. O objetivo dos ataques 
passivos é obter informações que estão sendo transmitidas e são muito difíceis de serem 
detectados por não envolverem a alteração dos dados. 
 
Um ataque passivo envolve uma entidade atacante “ouvir” ou “sniff”, normalmente através 
de analisadores de protocolos, as trocas de comunicações entre a Entidade A e Entidade B 
ou gravar de forma passiva as atividades destes computadores, para uma posterior análise. 
 
Existem diversas formas de se fazer esta “escuta”, tais como keyloggers, para gravar teclas 
digitadas, e obter IDs de usuário e senhas. 
 
O objetivo, independentemente do método, é apenas de ouvir e gravar os dados de que 
estão circulando pela rede. O ataque passivo propriamente dito não é prejudicial, mas as 
informações recolhidas podem ser extremamente prejudiciais. 
 
Os ataques passivos podem ser divididos em dois grupos: 
 
2.5.1.1. Liberação ou interceptação do conteúdo da mensagem = Ocorre na 
interceptação de uma conversa telefônica, mensagem de correio eletrônico ou de um 
 
 
35 
arquivo transferido, que pode conter informações importantes ou confidenciais, para 
descobrir seu conteúdo. 
 
 
 
 
 
 
 
2.5.1.2. Análise do tráfego = Aqui o atacante observa os padrões das mensagens 
enviadas e pode determinar o local e a identidade dos envolvidos na comunicação e 
observar a frequência eo tamanho das mensagens trocadas. 
 
Essas informações podem ser úteis para descobrir a natureza da comunicação que 
estava ocorrendo. 
 
 
 
 
 
 
 
 
2.5.1.3. Exemplos de ataques passivos (normalmente utilizados antes de um ataque 
ativo): 
 
• Pesquisa de vulnerabilidades; 
• Pesquisa por portas/ serviços; 
• http://www.insecure.org – Nmap; 
• Escuta (sniffing); 
• Ataques de senhas; 
• Muito comuns pela facilidade de execução e taxa de sucesso; 
• Força bruta; 
O atacante lê o conteúdo da 
mensagem da Entidade A para a 
Entidade B 
Entidade B 
 
Atacante 
 
Entidade A 
 
O atacante observa o padrão das 
mensagens da Entidade A para a 
Entidade B 
Entidade B 
 
Atacante 
 
Entidade A 
 
 
 
36 
• Teste de todos os caracteres possíveis; 
• Ataques de dicionário; 
• Reduz sensivelmente o tempo de quebra. 
 
2.5.2. Ataques ativos 
 
Os ataques ativos envolvem o uso de informações obtidas durante um ataque passivo, tais 
como identificações de usuários e senhas. Podem ainda ser um ataque imediato utilizando 
artifícios tecnológicos tais como negação de serviço, worms, trojans ou outros malwares. 
 
Em um ataque ativo, o atacante está decidido e já possui informações suficientes para tirar 
um site do ar, roubar informações ou até mesmo destruir o equipamento de computação. 
 
Esses ataques envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso 
e podem ser subdivididos em quatro categorias: 
 
2.5.2.1. Disfarce = Ocorre quando uma entidade se faz passar por outra. 
 
 
 
 
 
 
 
 
 
 
2.5.2.2. Modificação da mensagem =Significa que alguma parte de uma mensagem 
legítima foi alterada ou que as mensagens foram adiadas ou reordenadas para 
produzir um efeito não autorizado. 
 
Entidade B 
 
Atacante 
 
Entidade A 
 
A mensagem da Entidade A é 
interceptada pelo Atacante, que a 
envia para a Entidade B, parecendo 
ser a original da Entidade A 
 
 
37 
 
 
 
 
 
 
2.5.2.3. Repetição =Envolve a captura passiva de uma unidade de dados e sua 
subsequente retransmissão para produzir um efeito não autorizado. 
 
 
 
 
 
 
 
 
2.5.2.4. Negação de serviço =Este tipo de ataque impede ou inibe o uso ou 
gerenciamento das instalações de comunicação. Pode ter um alvo específico, como 
por exemplo, um servidor. 
 
Outra forma de negação de serviço é a interrupção de uma rede inteira, seja 
desativando a rede ou sobrecarregando-a com mensagens a fim de prejudicar o 
desempenho. 
 
 
 
 
 
 
 
 
Entidade B 
 
Atacante 
 
Entidade A 
 
O atacante modifica a mensagem da 
Entidade A para a Entidade B 
Entidade B 
 
Atacante 
 
Entidade A 
 
O atacante captura a mensagem da 
Entidade A e posteriormente a 
repassa para a Entidade B 
Atacante 
 
O atacante interrompe o serviço 
prestado pelo servidor 
Entidade A 
 
 
 
38 
2.5.2.5. Exemplos de ataques ativos: 
 
• DoS/DDoS - Enquanto o DoS é de fácil execução e pode ser corrigido, o 
DDoS é difícil e não pode ser evitado; 
• Reduz a qualidade de serviço a níveis intoleráveis; 
• Buffer Overflow; 
• Shell code, escrito em assembler; 
• Tem como objetivo executar algum código ou conseguir acesso 
privilegiado; 
• Ataques SYN; 
• Fragilidade nativa do TCP/IP; 
• Conexão de três vias (Syn, Syn-Ack, Ack); 
• Spoofing; 
• Faz-se passar por outro ativo da rede; 
• ITM (Man-In-The-Middle); 
• Falta de política de classificação da informação; 
• Engenharia Social. 
 
2.6. Como se proteger dos ataques e ameaças 
 
Como vimos, algumas das ameaças estudadas são capazes de se propagar automaticamente, 
através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares 
instalados em um computador. Porém, todas as ameaças exploram as vulnerabilidades 
encontradas. 
 
O Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil - CERT é 
mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil e atende a qualquer rede brasileira 
conectada à internet. 
 
Esse centro de estudos produz uma cartilha de segurança para a internet, que contém 
recomendações e dicas sobre como você pode aumentar a sua segurança na web. Deve ser 
lida e acompanhada por todos que se interessem em como se proteger. 
 
Nela se encontra uma série de recomendações, sendo uma das mais importantes: 
http://www.nic.br/
http://www.cgi.br/
 
 
39 
 
• Manter o sistema operacional e os softwares instalados nos computadores, 
sempre atualizados e com todas as correções de segurança (patches) disponíveis 
aplicadas, para evitar que possuam vulnerabilidades. 
 
2.7. Conclusão 
 
A tendência é que as ameaças ou ataques à segurança continuem a crescer não apenas em 
ocorrência, mas também em velocidade, complexidade e alcance, tornando o processo de prevenção 
e de mitigação de incidentes cada vez mais difícil e sofisticado. 
 
Novas formas de infecção podem surgir. Portanto, é importante manter-se informado através de 
jornais, revistas e de sites sobre segurança e de fabricantes de antivírus. 
 
2.8. As dez maiores ameaças de segurança nas empresas de pequeno e médio 
porte 
 
Desde 1999 a equipe WatchGuard6 monitora, diariamente, emergentes ameaças de segurança de 
rede, com um foco especial nas questões que afetam as pequenas e médias empresas. Quando 
percebem uma ameaça que pode afetar as empresas negativamente, alertam imediatamente os 
assinantes por avisos via e-mail. 
 
Esse documento contém a lista dos dez principais vetores de dados mais comuns na experiência 
deles, como analistas de segurança para as pequenas e médias empresas. Sugerem também as 
práticas, técnicas e defesas para combater cada vetor. 
 
 
6Para obter informações sobre a WatchGuard®, visite <www.watchguard.com>. 
http://www.gantech.com.br/www.watchguard.com
 
 
40 
3. Vulnerabilidades de segurança 
 
3.1. Introdução 
 
A vulnerabilidade é uma fraqueza que permite que um atacante reduza a garantia da informação de 
um sistema, sendo presente ou associada a ativos que manipulam ou processam informações que, 
ao serem exploradas por ameaças, permitem a ocorrência de um incidente. 
 
Assim, afeta um ou mais princípios de segurança da informação, ou seja, a disponibilidade, 
integridade e confidencialidade.Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha do sistema, acesso do 
atacante à falha e a capacidade do atacante de explorar a falha. 
 
Para explorar uma vulnerabilidade, um atacante deve ter pelo menos uma ferramenta ou técnica 
aplicável que possa conectar a uma fraqueza do sistema. Desta forma, a vulnerabilidade também é 
conhecida como superfície de ataque. 
 
As vulnerabilidades por si só não provocam incidentes, pois são elementos passivos, necessitando 
para tanto de um agente causador ou de uma condição favorável, que são as ameaças. 
 
A todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de 
investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma 
vulnerabilidade capaz de potencializar sua ação. Quando essas possibilidades aparecem, a quebra de 
segurança é consumada. 
 
As vulnerabilidades estão presentes no dia a dia das empresas e se apresentam nas mais diversas 
áreas de uma organização. 
 
Se partirmos do princípio de que não existem ambientes totalmente seguros, podemos afirmar que 
todos os ambientes empresariais são vulneráveis e muitas vezes encontramos também 
vulnerabilidades nas medidas implementadas pela empresa. 
 
https://pt.wikipedia.org/w/index.php?title=Hacker_(seguran%C3%A7a_de_computadores)&action=edit&redlink=1
https://pt.wikipedia.org/w/index.php?title=Garantia_da_informa%C3%A7%C3%A3o&action=edit&redlink=1
https://pt.wikipedia.org/w/index.php?title=Superf%C3%ADcie_de_ataque&action=edit&redlink=1
 
 
41 
O gerenciamento de vulnerabilidade é a prática cíclica de identificar, classificar, remediar e mitigar 
vulnerabilidades, geralmente referentes a softwares nos sistemas de computador. Esta mesma pode 
ser explorada em um determinado sistema ou serviço vulnerável que esteja rodando na máquina. 
 
Gerenciar vulnerabilidades permite identificar falhas de segurança ante um agente malicioso e, ao 
promover ações imediatas de melhoria no desenvolvimento, a empresa antecipa-se ao risco de 
ataques a partir das aplicações web. 
 
O planejamento desse processo deve, evidentemente, levar em conta o tamanho da empresa, a 
quantidade e a complexidade das aplicações web, os indicadores de nível de risco admitidos, a equipe 
de desenvolvimento, as demais competências internas, as oportunidades de testes, os custos 
envolvidos e finalmente o orçamento total de segurança. 
 
As vulnerabilidades mais exploradas nos dias de hoje são as do tipo buffer overflow7, que muitas 
vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, 
burlar particularidades de cada sistema, ataques de negação de serviço DDoS e acesso irrestrito ao 
sistema. 
 
Além dessas, outra vulnerabilidade bastante recorrente nos sistemas é a enumeração de usuários. É 
deste assunto que trataremos a seguir. 
 
3.2. Enumeração de usuários 
 
A enumeração de usuários é uma prática utilizada para identificar os usuários ativos em um 
determinado sistema. Geralmente é utilizada para viabilizar ataques de força bruta. 
 
A constatação da vulnerabilidade se dá através da possibilidade de discernir entre usuários válidos e 
inválidos em uma aplicação. 
 
 
7Buffer overflow é uma anomalia na qual um programa, ao escrever dados em um buffer, ultrapassa os limites 
do buffer e sobrescreve a memória adjacente. É um caso especial de violação de segurança de memória. 
 
https://pt.wikipedia.org/w/index.php?title=Gerenciamento_de_vulnerabilidade&action=edit&redlink=1
 
 
42 
Existem várias falhas nas aplicações que permitem a exploração dos usuários; no entanto, esse tipo 
de falha é mais comum ser encontrada nos mecanismo de autenticação. 
 
Comumente, um atacante irá interagir com o mecanismo de autenticação da aplicação na tentativa 
de identificar o comportamento do sistema em resposta às requisições efetuadas em diferentes 
cenários de autenticação, como por exemplo, utilizando um usuário válido e outro inválido. 
 
Em alguns casos, as aplicações fornecem respostas que revelam se um determinado usuário existe 
na base de dados quando uma credencial inválida é utilizada na requisição de autenticação. 
 
Os testes de enumeração de usuários valida se a aplicação fornece, direta ou indiretamente, alguma 
informação que permita a distinção entre usuários válidos de uma aplicação. 
 
A seguir, vamos apresentar algumas abordagens que podem ser utilizadas para nortear os testes, no 
sentido de verificar a vulnerabilidade da aplicação quanto à segurança da informação. 
 
3.2.1. Cenários de teste para a enumeração de usuários com base nas respostas 
das páginas 
 
3.2.1.1. Autenticação com um usuário válido e senha válida 
 
Registre a resposta fornecida pela aplicação quando um usuário válido e uma senha 
correta sejam utilizados no pedido da autenticação. Verifique o tamanho e a resposta 
do servidor. 
 
3.2.1.2. Autenticação com um usuário válido e senha inválida 
 
Nesse cenário, o administrador do teste deve utilizar um usuário válido e uma senha 
inválida e registrar a resposta de erro enviada pelo servidor para analisar o 
comportamento da aplicação para esse caso. 
 
Geralmente as aplicações apresentam mensagens como: “Falha na autenticação” ou 
“Senha inválida”. Verifique o tamanho e a resposta do servidor. 
 
 
 
43 
3.2.1.3. Autenticação com um usuário inválido 
 
Nesse outro cenário, o administrador do teste deve utilizar um usuário inválido e senha 
inválida e registrar o response do servidor. 
 
Geralmente as aplicações apresentam mensagens como: “Usuário inválido”, “Login não 
encontrado” ou “Conta inválida”. Verifique o tamanho e a resposta do servidor. 
 
Uma aplicação bem implementada deve retornar o mesmo tamanho e a mesma 
mensagem de erro para requisições de autenticação inválida. 
 
Caso o administrador do teste perceba que a aplicação apresenta tamanho e códigos 
de resposta diferentes para cenários de requisições malsucedidas de autenticação, como 
nos cenários 2 e 3, é indício de vulnerabilidade na aplicação. 
 
3.2.1.3.1. Exemplo de indício de vulnerabilidade 
 
Request: Usuário válido / Senha inválida 
Response: “Senha incorreta” (tamanho: 1500) 
Request: Usuário inválido / Senha inválida 
Response: “Usuário não encontrado” (tamanho: 1780) 
 
Neste exemplo, é perceptível que no primeiro request a aplicação revela que o usuário 
é válido (portanto existente na base de dados), já que a resposta identifica que apenas 
a senha estava incorreta. 
 
O segundo response também revela claramente que o usuário requisitado não é válido. 
 
Com essas informações, já é possível a um atacante interagir com a aplicação realizando 
“requests” com nomes variados de usuários, para verificar qual deles a aplicação irá 
identificar como usuário válido, com base no “response” retornado. 
 
 
3.2.1.4. Enumeração de usuários com base em URLs 
 
 
44 
 
Algumas aplicações web realizam redirecionamento de página quando falhas de 
autenticação acontecem. As URLs utilizadas para redirecionamentos podem ser 
analisadas para identificar os usuários válidos. 
 
3.2.1.4.1. Exemplo de indício de vulnerabilidade 
 
Usuário válido / Senha inválida: 
http:// www.teste.com/err.jsp?User=usuario&Error=0 
 
Usuário inválido / Senha inválida: 
http:// www.teste.com/err.jsp?User=usuario&Error=2 
 
3.2.1.5. Enumeração de usuários com base nos códigos de respostas do 
servidor (response code) 
 
Geralmente os servidores de aplicações, quando não são configurados de forma 
adequada, acabam apresentando mensagem de erro padrão para a requisição de 
recursos e/ou diretórios. Esses responses na maioria das vezes são: 
 
• “403 Forbidden” para indicar que o recurso existe, porém não há 
permissão suficiente para que a requisição possa acessá-lo; 
 
• “404 Not found”para indicar que o recurso não existe. 
 
Algumas aplicações são desenvolvidas utilizando princípios REST, permitindo assim que 
osrecursos da aplicação, como a conta do usuário, possam ser associados a URLs. 
 
Exemplo: a URL http:// www.teste.com.br/usuario01 faz referência à conta do usuário 
01. 
 
Dessa forma, um atacante pode utilizar os “response codes” retornados pelo servidor 
para enumerar os usuários da aplicação. 
 
https://pt.wikipedia.org/wiki/REST
 
 
45 
3.2.1.5.1. Exemplo de indício de vulnerabilidade 
 
Usuário válido: 
Request: http:// www.teste.com/usuario01 
Response: 403 Forbidden 
 
Usuário inválido: 
Request: http:// www.teste.com/usuario01 
Response: 404 Not Found 
 
No primeiro caso, o usuário existe mas a página não é exibida, visto que o servidor 
responde com o código ”403 Forbidden”. 
 
Já no segundo caso, o código ”404 Not Found” indica que o usuário não existe na base 
da aplicação. Com essas informações, é possível a enumeração dos usuários da 
aplicação por um atacante. 
 
Nota: nem sempre o servidor apresenta um response code "404 Not Found" quando um 
recurso não existente for solicitado. Ao invés disso, ele responde com o response 
code "200 OK", mas com um imagem que representa o erro. 
 
Para esses casos, um atacante atento associará a imagem de erro a um usuário não 
existente. 
 
Esse mesmo raciocínio pode ser utilizado para qualquer resposta enviada pelo servidor, 
bastando diferenciar qual tipo de resposta representa um usuário válido e qual 
representa um usuário inválido. 
 
 
 
 
 
3.2.1.6. Enumeração de usuários com base nas funcionalidades de 
recuperação de senha 
 
 
46 
 
Aplicações que disponibilizam funcionalidades de recuperação de senhas muitas vezes 
permitem que os usuários possam ser enumerados com base nas mensagens que apresentam: 
 
3.2.1.6.1. Exemplo de indício de vulnerabilidade 
 
Usuário válido / Senha inválida: 
Mensagem: “Sua nova senha foi enviada com sucesso para o e-mail 
cadastrado” 
 
Usuário inválido / Senha inválida: 
Mensagem: “O e-mail informado não foi encontrado” 
 
3.3. Ferramentas para exploração de vulnerabilidades 
 
Existem ferramentas específicas para se explorar as vulnerabilidades; cada ferramenta para a sua 
respectiva vulnerabilidade a ser explorada, na maioria das vezes escritas em linguagem C e 
Assembvly. Essas ferramentas são chamadas deexploits. 
 
Um exploit pode ser um programa de computador, uma porção de dados ou uma sequência de 
comandos que se aproveita das vulnerabilidades de um sistema computacional, como o próprio 
sistema operacional ou serviços de interação de protocolos, como por exemplo, servidores web. 
 
São geralmente elaborados por hackers como programas de demonstração das vulnerabilidades, a 
fim de que as falhas sejam corrigidas, ou por crackers a fim de ganhar acesso não autorizado a 
sistemas. 
 
 
 
 
 
3.4. Classificação das vulnerabilidades 
 
 
 
47 
Não existe una única causa para o surgimento de vulnerabilidades. A negligência por parte dos 
administradores de rede e a falta deconhecimento técnico são exemplos típicos, porém diferentes 
tipos de vulnerabilidades podem estar presentes em diversos ambientes computacionais. 
 
As vulnerabilidades podem ser classificadas da seguinte forma: 
 
3.4.1. Vulnerabilidades físicas 
 
Os pontos fracos de ordem física são aqueles presentes nos ambientes em que as informações estão 
sendo armazenadas ou gerenciadas. São ambientes com pontos fracos de ordem física, onde são 
armazenadas ou gerenciadas as informações. 
 
Estas situações podem comprometer a disponibilidade da informação, tais como instalações 
inadequadas para o trabalho, falta de extintores contra incêndio, locais desorganizados ou pessoas 
não autorizadas transitando no local, tirando a privacidade no manuseio das informações sigilosas. 
 
Ao serem explorados por ameaças, afetam diretamente os princípios básicos da segurança da 
informação, principalmente a disponibilidade. 
 
São exemplos de vulnerabilidades físicas: 
• Instalações prediais fora do padrão; 
• Salas de CPD mal planejadas; 
• Falta de extintores e detectores de fumaça; 
• Risco de explosões, vazamentos ou incêndios. 
 
3.4.2. Vulnerabilidades naturais 
 
São aquelas que envolvem condições naturais, que podem trazer riscos para os equipamentos e as 
informações. 
 
Podemos citar como exemplos: locais propensos a inundações, ambientes sem a devida proteção 
contra incêndio, terremotos, furacões ou maremotos. 
 
 
 
48 
A probabilidade de estar expostos às ameaças naturais é fundamental na escolha e na preparação 
de um ambiente. Devem ser tomados cuidados especiais com o local, de acordo com o tipo de ameaça 
natural que possa ocorrer em uma determinada região geográfica. 
 
São exemplos de vulnerabilidades naturais: 
• Incêndios; 
• Enchentes; 
• Terremotos; 
• Tempestades; 
• Falta de energia; 
• Acúmulo de poeira; 
• Aumento de umidade e de temperatura. 
 
3.4.3. Vulnerabilidades de hardware 
 
Estão relacionadas aos equipamentos que apresentam defeitos de fabricação ou configuração, 
podendo permitir o ataque de vírus ou violações. 
 
Nessas situações encontram-se a falta de atualizações dos programas e equipamentos não 
dimensionados corretamente. 
 
Os pontos fracos de hardware são os possíveis defeitos de fabricação ou configuração dos 
equipamentos das empresas, que podem permitir o ataque ou sua alteração. 
 
São exemplos de vulnerabilidades de hardware: 
 
• A ausência de atualizações de acordo com as orientações dos fabricantes dos programas 
utilizados; 
• A conservação inadequada dos equipamentos; 
• Falha nos recursos tecnológicos =desgaste, obsolescência, má utilização; 
• Erros durante a instalação. 
 
 
3.4.4. Vulnerabilidades de software 
 
 
49 
 
São os pontos fracos existentes nos aplicativos, permitindo o acesso de indivíduos não autorizados. 
É por esta razão que os softwares são os preferidos dos elementos que buscam as ameaças. 
 
Exemplos: 
• Aplicativos com configurações ou instalações inadequadas; 
• Programas de e-mail que permitem a execução de códigos maliciosos; 
• Falta de atualizações. 
 
Podem ser classificadas como vulnerabilidade de aplicativo ou de sistema operacional. Neste caso, os 
pontos fracos de software ocorrem quando aplicativos ou o sistema operacional permitem que 
ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário 
ou administrador de rede. 
 
São exemplos de vulnerabilidades de software: 
 
• A configuração e a instalação indevidas dos programas de computador ou de sistemas 
operacionais, que podem levar ao abuso dos recursos por parte de usuários mal-
intencionados; 
• Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de 
informações, perda de dados ou indisponibilidade do recurso quando necessário. 
 
3.4.5. Vulnerabilidades de mídias 
 
Os pontos fracos de mídias são as formas de utilização inadequadas dos dispositivos de 
armazenamento das informações, que podem deixar seu conteúdo vulnerável a uma série de fatores 
que poderão afetar a integridade, a disponibilidade e a confidencialidade das informações. 
 
São exemplos de vulnerabilidades de mídias: 
 
• Uso incorreto das mídias de armazenamento (pendrive, CD-ROM, DVD-ROM, HD); 
• Discos, fitas, relatórios e impressos, que podem ser extraviados; 
 
 
50 
• Local de armazenamento em locais insalubres ou com alto nível de umidade, magnetismo 
ou estática, mofo; 
• Defeito de fabricação. 
 
3.4.6. Vulnerabilidades de comunicação 
 
Está relacionado ao tráfego de informações. Estes tráfegos podem ser realizados através de fibra 
óptica, ondas de rádio, satélite ou cabos. 
 
O sistema de comunicação escolhido deve ser seguro, de modo que as informações transmitidas 
alcancem o destino desejado e que não sofram nenhuma intervenção alheia. 
 
As informações deverão ser criptografadas e, após alguma falha no processo, a informação não 
deverá ficar disponível para pessoas não autorizadas e muito menos perder sua confiabilidade. 
 
Os pontos fracos de comunicação abrangemtodo o tráfego de informações, onde quer que transitem, 
seja por cabo, satélite, fibra óptica ou ondas de rádio. 
 
Abrangem qualquer falha na comunicação que faça com que uma informação fique indisponível para 
seus usuários, ou pelo contrário, fique disponível para quem não possua direitos de acesso, ou ainda 
que as informações sejam alteradas em seu estado original, afetando sua integridade. 
 
São exemplos de vulnerabilidade de comunicação: 
 
• Acesso não autorizado; 
• Perda de comunicação; 
• Ausência de sistemas de criptografia nas comunicações; 
• Má escolha dos sistemas de comunicação para o envio de mensagens de alta prioridade da 
empresa. 
 
 
 
 
 
 
 
51 
3.4.7. Vulnerabilidades humanas 
 
As vulnerabilidades humanas podem ser oriundas de atitudes intencionais ou não, e seus pontos 
fracos são: 
 
• Uso de senha fraca; 
• Compartilhamento de credencial de acesso; 
• Falta de treinamentos para o usuário ou o desconhecimento de segurança da 
informação; 
• Funcionários descontentes. 
 
Os pontos fracos humanos relacionam-se aos danos que as pessoas podem causar às informações e 
ao ambiente tecnológico que lhes oferece suporte, podendo ser intencional ou não e interna ou 
externa. 
 
Um importante exemplo de vulnerabilidade humana interna é o desconhecimento das medidas de 
segurança adequadas que são adotadas pela organização. 
 
São exemplos de vulnerabilidades humanas: 
 
• Falta de treinamento; 
• Compartilhamento de informações confidenciais; 
• Não execução de rotinas de segurança; 
• Erros ou omissões nos procedimentos operacionais da organização; 
• Ameaça de bomba; 
• Sabotagens; 
• Vandalismo, roubo ou destruição da propriedade ou dos dados. 
 
 
 
 
 
 
 
 
 
52 
3.4.8. Vulnerabilidades de armazenamento 
 
As informações são armazenadas em suportes físicos, discos rígidos ou magnéticos, tais como CD, 
DVD, cartão de memória, pendrive, fitas magnéticas, entre outras. 
 
Suas utilizações inadequadas podem ocasionar vulnerabilidade, afetando a integridade, a 
disponibilidade e a confidencialidade das informações. Os pontos fracos podem danificar ou 
indisponibilizar os meios de armazenamento. 
 
Exemplos: 
• Defeitos de fabricação; 
• Uso incorreto; 
• Prazo de validade e expiração. 
 
3.5. Análise de vulnerabilidades 
 
A verificação das vulnerabilidades é essencial para garantir a segurança do sistema e da rede. A 
análise de vulnerabilidade tem por objetivo verificar a existência de falhas de segurança no ambiente 
de TI das empresas. 
 
Essa análise é uma ferramenta importante para a implementação de controles de segurança eficientes 
sobre os ativos de informações das empresas. 
 
É realizada através de um levantamento detalhado do ambiente computacional da empresa, 
verificando se o ambiente atual fornece condições de segurança compatíveis com a importância 
estratégica dos serviços que a empresa fornece ou desempenha. 
 
A análise compreende todos os ativos da informação da empresa, que abrangem: 
 
• Tenologias =Softwares e hardware usados em servidores, estações de trabalho e outros 
equipamentos pertinentes, como sistemas de telefone, rádio e gravadores; 
• Ambiente = É o espaço físico onde acontecem os processos, onde as pessoas trabalham e 
onde estão instalados os componentes de tecnologia. Responsável pela análise de áreas 
técnicas; 
 
 
53 
• Processos = Análise do fluxo de informação, da geração da informação e de seu consumo. 
Analisa também como a informação é compartilhada entre os setores da organização; 
• Pessoas = São ativos da informação e executam processos, logo precisam ser analisadas. 
 
A análise de vulnerabilidades permite que os profissionais de TI e de segurança da empresa possam 
ter maior conhecimento do ambiente de TI e seus problemas, assim como a possibilidade de 
tratamento das vulnerabilidades, com base nas informações geradas. 
 
3.5.1. Ferramentas para análise de vulnerabilidades de segurança 
 
Existem vários softwares para detectar vulnerabilidades, e a cada dia com o avanço das tecnologias 
surgem novas versões e novos produtos. Algumas delas: 
 
• Nmap - É um software livre que realiza a coleta de informações sobre as portas do 
protocolo TCP/IP. É muito utilizado para avaliar a segurança dos computadores, para 
descobrir serviços ou servidores e determinar o layout de uma rede de computadores. 
 
Por já existir há muitos anos, é provavelmente a ferramenta mais utilizada na coleta de 
informações. 
 
• Nessus - É um programa de verificação de falhas/ vulnerabilidades de segurança, 
sendo composto por cliente e servidor. Tem como grande vantagem ser atualizado com 
frequência e possuir um relatório bastante completo. 
 
Até bem pouco tempo atrás, só funcionava em Linux, mas recentemente foi lançada 
um versão para Windows. É distribuído sob os termos da licença pública geral GNU. 
 
Além da análise de vulnerabilidades, também é muito importante que o profissional de TI 
periodicamente realize uma pesquisa de vulnerabilidade sobre os produtos ou aplicações utilizados 
em sua organização. 
 
 
 
 
 
 
54 
3.6. Pesquisa de vulnerabilidade 
 
Significa descobrir as falhas e deficiências em um produto ou aplicação que podem comprometer a 
segurança. Quando um atacante encontra uma vulnerabilidade em um produto ou aplicação, ele 
tenta explorá-la. 
 
É importante realizar uma pesquisa de vulnerabilidade, para auxiliar os profissionais de segurança a 
identificar e corrigir vulnerabilidades de rede como também proteger a rede de ser atacada por 
invasores, como: 
 
• Obter informações que auxiliam a prevenir os problemas de segurança; 
• Obter informações sobre vírus; 
• Conhecer as fragilidades de redes de computadores; 
• Conhecer os alertas de segurança antes de um ataque de rede; 
• Conhecer como recuperar uma rede após um ataque. 
 
3.7. Teste de vulnerabilidade 
 
Os testes de vulnerabilidade consistem na determinação de que falhas de segurança podem ser 
aplicadas à máquina ou rede alvo. O objetivo do teste é a identificação nas máquinas da rede alvo 
de: 
 
• As portas do protocolo TCP/IP que se encontram desprotegidas (abertas); 
• Os sistemas operacionais utilizados; 
• Patches e service packs (se for o caso) aplicados; 
• Os aplicativos instalados. 
 
3.8. Conclusão 
 
Uma importante empresa do ramo de segurança, a http://blog.skyboxsecurity.com/, publicou um 
relatório comparativo com as dez empresas cujos produtos apresentaram uma maior quantidade de 
problemas de vulnerabilidades de 2014, comparado com o ano de 2013. 
 
http://blog.skyboxsecurity.com/
 
 
55 
 
Fonte: http://blog.skyboxsecurity.com/vulnerability-threat-management/top-10-most-vulnerable-vendors-2014/. 
 
REFERÊNCIAS BIBLIOGRÁFICAS 
 
BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de 
informação nas organizações. São Paulo: Atlas, 2005. 
 
FONTES, E. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008. 
 
GUIMARÃES, A.G. ; LINS, R.D.; OLIVEIRA, R. Segurança com VPNs. Rio de Janeiro: Brasport, 
2006. 
 
KUROSE, J.F.; ROSS, K.W. Redes de Computadores e a Internet: uma abordagem top-down. 5. 
ed. São Paulo: Addison Wesley, 2010. 
 
LYRA, Mauricio Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: 
Ciência Moderna, 2008. 
 
NAKAMURA, E.T.; GEUS, P.L. de. Segurança de redes em ambientes cooperativos. São Paulo: 
Novatec, 2007. 
 
SANTOS JUNIOR, A.L. dos. Quem mexeu no meu sistema? Segurança em sistemas de 
informação. Rio de Janeiro: Brasport, 2008. 
 
 
 
56 
SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Campus, 
2003.