Auditoria e Seguranca da Informacao

Prévia do material em texto

Segurança da 
Informação
Prof. Glauco Ruiz
Auditoria e Segurança de Sistemas
Segurança da Informação
Segurança é importante ?
Qual o nosso nível de dependência?
Quanto tempo podemos ficar sem nossos dados?
Quanto tempo cada sistema pode ficar parado ?
Qual o nosso nível de sensibilidade?
Pode ser útil para o seu concorrente?
Pode ficar publicamente disponível?
Qual o valor da sua reputação? (intangível)
Haverá dano em casos de modificações ou 
interrupções?
Quem pode se interessar por tudo isso? (o impacto)
Agente externos? Agentes Internos?
Há risco de caráter culposo
Mitos sobre Segurança
• ‘isso nunca acontecerá conosco’
• ‘nunca fomos atacados, não precisamos de mais segurança’ 
• ‘já estamos seguros com o firewall’
• ‘utilizamos os melhores sistemas, então, eles devem ser 
seguros’
• ‘não dá para gastar com segurança agora, deixa assim 
mesmo’.
Mitos sobre Segurança
• ‘utilizamos as últimas versões dos sistemas dos melhores 
fabricantes’.
• ‘nossos fornecedores irão nos avisar, caso alguma 
vulnerabilidade seja encontrada’
• ‘ninguém vai descobrir essa ‘brecha’ em nossa segurança’
• ‘tomamos todas as precauções, de modo que os testes não 
são necessários’
• ‘vamos deixar funcionando e depois resolveremos os 
problemas de segurança’
Mitos sobre Segurança
• ‘os problemas de segurança são de responsabilidade do
• departamento de TI’
• ‘Luis, depois de instalar o Word para a Claudia, você pode 
instalar o firewall?’
• ‘a companhia de TI que foi contratada irá cuidar da segurança’
• ‘o nosso parceiro é confiável, podemos liberar o acesso para 
ele’
• ‘não precisamos nos preocupar com a segurança, pois 
segurança é um luxo para quem tem dinheiro’
O que pode resolver o 
Problema?
• Compras de equipamentos e softwares de última geração?
• Rígidas regras comportamentais com severas punições?
(isso não é uma solução adequada)
NENHUMA ATITUDE ISOLADA OBTERÁ ÊXITO !
Segurança → Gestão de Riscos: conhecer o problema
Planejar, agir (implementação de controles)
Auditar (imprescindível – teste de invasão), educar, monitorar, 
aprender, gerenciar, etc.
Segurança sem Metodologia
Qual é o bem a ser protegido?
Como a informação em formato digital é facilmente manipulável 
em dispositivos diminutos a complexidade é ainda maior.
Segurança deve ser contínua
• ataque acontece...
• ...há um reforço nesta vulnerabilidade e...
• ...ataques de novos tipos acontecem ...
• ...promovendo novos tipos de reforços e
• assim por diante.
Por que deve ser contínua
• Entender a natureza dos ataques é fundamental
• Novas tecnologias trazem consigo novas vulnerabilidades
• Novas formas de ataques são criadas
• Aumento da conectividade resulta em novas possibilidades de 
ataques
• Existência tanto de ataques direcionados quanto de ataques 
oportunísticos
• A defesa é mais complexa do que o ataque (hacker explora um 
ponto vulnerável, você protege vários pontos)
• Aumento dos crimes digitais
Visão Holística do Risco
• Cada empresa tem um universo próprio
• O nível de risco é crescente em virtude do crescimento da 
conectividade
• Assim como processos já comuns, como o risco jurídico, risco 
de crédito, risco financeiro e pessoal, o risco da informação 
vêm tomando importância nas corporações
• Ações corporativas integradas, com o emprego de 
mecanismos de controle buscam reduzir o risco a níveis 
aceitáveis
• A auditoria visa a conformidade (compliance) dos controles
Alguns incidentes
Incidentes de Segurança da Informação
Ativos
É qualquer elemento que tenha valor para a empresa.
Tipos de ativo: 
- Ativos Humanos: referem-se a tudo que o indivíduo pode 
gerar de benefício para as organizações por meio de sua 
experiência, conhecimento, criatividade e habilidade para 
resolver problemas, visto de forma criativa e dinâmica.
- Financeiros: ativo financeiro é um valor mobiliário que 
representa direitos sobre ativos reais que podem ser tangíveis 
(edifícios, equipamentos, etc) ou intangíveis (conhecimentos 
tecnológicos, marcas, patentes, etc).
- Físicos: Prédios fábricas, equipamentos, manutenção, 
segurança, utilização, etc.
Ativos
- Propriedade Intelectual: São ideias originais que por si não 
geram resultado financeiro, mas quando aplicadas a produtos e 
serviços agregam valor a estes. Alguns ativos de Propriedade 
Intelectual são Marcas, Patentes, Desenhos Industriais, Direitos 
Autorais, Direitos Conexos, Segredos Industriais, Know How, etc.
- Ativos da Informação e TI: Dados digitalizados, informações e 
conhecimento sobre clientes, desempenho de processos, 
finanças, sistemas de Informação, etc.
- Ativos de Relacionamento: Relacionamento dentro da 
empresa, marca e reputação junto a clientes, fornecedores, 
unidades de negócio, órgãos reguladores, concorrentes, 
revendas autorizadas, etc. 
Termos e definições relacionados
• Recursos de processamento da informação: Qualquer sistema 
de processamento da informação, serviço ou infraestrutura, 
ou as instalações físicas que os abriguem
• Risco: Combinação da probabilidade de um evento e de suas 
consequências
• Ameaça: Causa potencial de um incidente indesejado, que 
pode resultar em dano para um sistema ou organização. Vai 
existir sempre. 
• Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos 
que pode ser explorada por uma ou mais ameaças. Ponto 
Fraco
Termos e Definições Relacionados
• Segurança da Informação:
Preservação da confidencialidade, integridade e da disponibilidade 
da informação
Adicionalmente, outras propriedades, tais como autenticidade, 
responsabilidade, não repúdio e confiabilidade podem estar envolvidas
• Confidencialidade:
• - Propriedade de que a informação não esteja disponível, ou seja, 
revelada a indivíduos, entidades ou processos não autorizados
• - Acesso ao necessário somente, nada mais, nada menos
• Integridade: 
- Propriedade de proteger a exatidão e completeza de ativos
• Disponibilidade
• - Propriedade de tornar acessível e utilizável sob demanda, por fontes 
autorizadas
- No momento necessário e atualizada
Termos e definições relacionados
• Politica: Intenções e diretrizes globais formalmente expressas 
pela direção
• Diretriz: Descrição que ostenta o que deve ser feito e como, 
para se alcançarem os objetivos estabelecidos nas políticas
• Procedimento: Forma específica de executar uma atividade ou 
um processo. Deve estar no papel, documentado.
• Controle: Forma de gerenciar o risco, incluindo políticas, 
procedimentos, diretrizes. Práticas ou estruturas 
organizacionais que podem ser de natureza administrativa, 
técnica, de gestão ou legal.. Termo também utilizado como 
sinônimo para proteção ou contramedida. 
Termos e definições relacionados
• Análise de Risco: Uso sistemático de informações para 
identificar fontes e estimar o risco
• Avaliação de Risco: Processo de comparar o risco estimado 
com critério de risco pré-definidos para determinar a 
importância do risco
• Gestão de Riscos: Atividades direcionadas para direcionar e 
controlar uma organização no que se refere a riscos. 
Geralmente inclui a análise, a avaliação, o tratamento, a 
aceitação e a comunicação de riscos 
• Tratamento do Risco: Processo de seleção e implementação 
de medidas (controles) para modificar um risco
Termos e definições relacionados
• Evento de Segurança da Informação: 
- Ocorrência identificada de um sistema, serviço ou rede, que indica 
uma possível violação de política de segurança da informação ou 
falha de controles; 
- Uma situação previamente desconhecida, que possa ser relevante 
para a segurança da informação;
• Incidente de Segurança da Informação: 
- Indicado por um simples ou por uma série de eventos de segurança 
da informação indesejados ou inesperados, que tenham uma grande 
probabilidade de comprometer as operações do negócio e ameaçar 
a segurança da informação;
• Partes Externas: 
- Provedores de serviços, clientes, gerenciamento de serviços de 
segurança, operação de call center, recursos de terceirização,consultores, auditores, desenvolvedores de produtos de software e 
sistemas de TI, pessoal de limpeza, pessoal temporário, estagiário e 
contratações de curta duração
Termos e definições relacionados
• Conformidade: 
- Atendimento a um requisito;
• Não conformidade: 
- Não atendimento a um requisito;
• Ação corretiva:
- Ação para eliminar a causa de uma não conformidade 
identificada ou outra situação indesejável;
• Ação preventiva:
- Ação para eliminar a causa de uma potencial não 
conformidade ou outra situação potencialmente indesejável.
Termos e definições relacionados
• Auditoria: 
- Processo sistemático, documentado e independente para obter 
evidência da auditoria e avaliá-la objetivamente para determinar a 
extensão na qual os critérios de auditoria são atendidos;
• Auditor:
- Pessoa com atributos pessoais demonstrados e competência para 
conduzir uma auditoria;
• Análise Crítica:
- Atividade realizada para determinar a pertinência, adequação e 
eficácia do que está sendo examinado, para alcançar os objetivos 
estabelecidos;
- Manutenção da realidade, atualização;
• Parte interessada: 
- Pessoa ou grupo que tem um interesse no desempenho ou no 
sucesso de uma organização, também conhecidos como 
stakeholders (clientes, acionistas, pessoas que atuam na 
organização, fornecedores, sociedade, parceiros).
Protegendo as Informações da Organização
• Ativos (a empresa define quais);
• Informações críticas e sensíveis;
• Ameaças;
• Vulnerabilidades;
• Riscos;
• Avaliação e tratamento de risco;
• Implementação de controles.
• Monitoramento dos controles implementados;
• Avaliação da eficácia dos controles implementados.
Protegendo as Informações da Organização
• Informações que devem ser protegidas (converse com os 
gestores de cada área)
- Armazenada em computadores;
- Transmitida por meios eletrônicos;
- Impressa ou escrita em papel;
- Enviada por fax;
- Armazenadas em fitas ou discos;
- Armazenadas em notebooks;
- Faladas em conversas.
Protegendo as Informações da Organização
• Razão para a implantação de um Sistema de Gestão de 
Segurança da Informação (SGSI):
- Garantir a continuidade dos negócios de uma organização, 
através da preservação dos três componentes básicos de uma 
informação: 
- Confidencialidade;
- Integridade;
- Disponibilidade.
Protegendo as Informações da Organização
• Principais tipos de ameaças:
- Acesso não autorizado;
- Usuários desleais (2 a 3% tendem a ser desleais);
- Espionagem industrial;
- Hackers de computador;
- Fraude;
- Fogo ou desastres naturais; 
- Perseguição e observação de funcionários chave;
- Furtos de Notebooks.
Segurança não é só hackers
• Segurança significa muito mais do que proteção contra 
hackers, maus funcionários ou vírus.
• A segurança significa permitir que as organizações busquem 
seus lucros, os quais são conseguidos por meio de novas 
oportunidades de negócios, que são resultado da 
flexibilidade, facilidade e disponibilidade dos recursos de 
informática.
• Portanto, segurança não é apenas proteção, mas o elemento 
habilitador dos negócios da organização.
• Pesquisas indicam que os consumidores deixam de realizar 
negócios via internet quando não confiam na segurança de 
um site.
Vulnerabilidades só aumentam
• A competitividade e a pressa no lançamento de novos 
produtos
• O alto nível de conectividade
• O aumento do número de potenciais atacantes
• O avanço tecnológico, que resulta em novas vulnerabilidades 
intrínsecas
• O aumento da interação entre organizações, resultando nos 
ambientes cooperativos
• A integração entre diferentes tecnologias, que multiplica as 
vulnerabilidades
• A Era da Informação, na qual o conhecimento é o maior valor
• A segurança representando a habilitação de negócios
Sigilo – breve histórico
• Décadas de 70 e 80 sigilo dos dados
• Época dos mainframes proteção era voltada para os dados
• Décadas de 80 e 90 com as redes, preocupação com a 
integridade, e com as informações, não mais os dados. A 
informática fazia parte da administração e da estratégia da 
organização
• A partir da década de 90 crescimento do IP, enfoque muda 
para a disponibilidade. Informática essencial nos negócios, e o 
que deve ser protegido agora é o conhecimento.
Portanto !
• Portanto, proteger o conhecimento significa proteger o 
próprio negócio da empresa !
• Assim, a segurança passa a fazer parte do processo de 
negócios das organizações.
Por que isso é um problema?
• Hoje só há ‘remendos’ para os problemas de segurança, sem 
uma estratégia e uma arquitetura de segurança que protejam 
de fato a organização (há um falso senso de segurança) 
→aumento na vulnerabilidade da organização.
• A segurança passa a ser, em um primeiro momento, o 
principal responsável pelo negócio, o elemento que permite 
que a venda realmente aconteça.
• O profissional de segurança passa, assim, de uma posição 
técnica obscura para a linha de frente dos negócios da 
organização.
• O sucesso, muitas vezes, depende da comunicação segura 
entre matrizes, filiais, fornecedores, parceiros comerciais, 
distribuidores e clientes.
Sendo assim...
• O profissional deve se orientar a essa nova realidade, 
• na qual ele tem de ouvir as pessoas, de modo a entender e 
saber como aplicar as tecnologias de acordo com a 
organização, sua estratégia de negócios, suas necessidades e 
sua estratégia de segurança.
Como é vista a segurança hoje
• Esse é o maior desafio da segurança: uma solução de 
segurança é imensurável e não resulta em melhorias nas quais 
todos podem notar que alguma coisa foi feita.
• Pelo contrário, a segurança tem justamente o papel de evitar 
que alguém perceba que alguma coisa está errada.
• O fato é que ninguém percebe a existência da segurança, 
apenas a inexistência dela, quando um incidente acontece e 
resulta em prejuízos gigantescos.
• Sobre a segurança, ainda hoje se tem esse conceito de que ela 
é um artigo caro e dispensável, necessário somente quando 
algum ataque acontece e traz prejuízos à organização.
Como é vista a segurança hoje
• Apesar dessa visão reativa, algumas organizações já veem a 
segurança com outros olhos, passando a considerá-la como 
parte essencial do negócio.
• A formação de equipes dedicadas de segurança da informação 
é um indicativo desse fato. Nos EUA, 98% das empresas 
pesquisadas já possuem, pelo menos, uma pessoa dedicada 
ao assunto. No Brasil, 60% das empresas possuem, pelo 
menos, uma pessoa dedicada.
• Hoje a questão não deve ser se existe ou não segurança, mas 
sim em que nível se encontra. Assim como a qualidade, ela 
deve ser considerada um pré-requisito do processo de 
negócios, pois se não existe a segurança, não existem os 
negócios.
A segurança é
• Inversamente proporcional às funcionalidades, ou seja: 
• quanto maiores as funcionalidades, como serviços, 
aplicativos e demais facilidades, menor é a segurança 
desse ambiente.
Segurança pode ser compreendida pelos 
seguintes fatores
• Exploração da vulnerabilidade em sistemas 
operacionais, aplicativos, protocolos e serviços 
(bugs)
• Exploração dos aspectos humanos das pessoas 
envolvidas (Engenharia Social)
• Falha no desenvolvimento e implementação da 
política de segurança
• Falha na configuração de serviços e de sistemas 
de segurança
• Desenvolvimento de ataques mais sofisticados
Como fazer, então?
• O objetivo é, portanto, equilibrar a segurança 
com os riscos, minimizando os impactos que 
uma falha de segurança pode causar à 
organização.
• As obrigações dos administradores quanto à 
manutenção da segurança devem estar 
claramente definidas na política de segurança 
da organização
Tem solução? O que fazer?
• Política e procedimentos abrangentes, 
• O controle dos usuários
• Autenticação de todos os meios de acesso ao sistema, 
transações e comunicações
• Proteção dos dados
• Constante monitoramento
• Evolução do nível de segurança geral
• Novas técnicas e tecnologias devem ser utilizadas antes que os 
hackers as utilizem contraa organização
• Segurança de perímetro e a abordagem em camadas, onde 
vários mecanismos de segurança são adotados de forma 
encadeada, também são importantes.
e....
• Portanto, segurança total é impossível, e segurança parcial 
deve assumir os riscos.
• As organizações, portanto, devem definir o nível de segurança, 
de acordo com suas necessidades, já assumindo esses riscos.
• Isso faz com que o plano de contingência seja um dos pontos 
essenciais dentro do esquema de segurança de uma 
organização, criando não uma rede totalmente segura, mas 
sim um sistema altamente confiável, que seja capaz de anular 
os ataques mais casuais de hackers e também de tolerar 
acidentes, como a possibilidade de um tubarão romper os 
cabos de transmissão localizados no mar.
Visão Geral
Análise de Riscos
Plano de 
Contingencia
Política de 
Segurança
Reflexão
Uma corrente de proteção tem a força medida pelo elo mais 
fraco da mesma.
Análise de Riscos em 
Segurança da 
Informação
Auditoria e Segurança de Sistemas
Análise de Riscos
CONCEITO:
Cada vez mais as organizações, seus sistemas de
informação e redes de computadores são colocados à prova por
diversos tipos de ameaças, incluindo vazamento de informações,
fraudes, roubos e invasões (físicas e lógicas). Problemas
causados por diversas causas são frequentes e aumentam a
cada dia.
OBJETIVO:
A Análise de Riscos tem por objetivo mapear as ameaças
e vulnerabilidades do ambiente de negócios.
Introdução
• Por que fazer?
• Quando fazer?
• Quem deve fazer?
• Identificar pontos vulneráveis e o impacto da vulnerabilidade 
sobre o negócio
• Custo
• Ponto chave da política de segurança
Diferenças Importantes
• Ameaça
• Vulnerabilidade
• Ataque
• Impacto
• Riscos
Risco x Impacto
Problema x Risco
Exemplos de Riscos
Riscos Tecnológicos:
• Ex: O banco de dados utilizado não pode processar tantas transações como se espera
• Ex: A ferramenta CASE que apoia o projeto não apresentam o desempenho esperado
Riscos com Pessoal:
• Ex: O treinamento necessário para o pessoal ainda não está disponível
• Ex: O pessoal experiente deixará o projeto antes do final
Riscos Organizacionais:
• Ex: Problemas financeiros organizacionais forçam reduções no orçamento do projeto
• Ex: Haverá mudanças na alta direção da empresa, redefinindo prioridades para o 
projeto
Riscos de Requisitos:
• Ex: São Propostas mudanças nos requisitos que geram considerável retrabalho
Risco de Estimativas:
• Ex: O tempo requerido para software é subestimado
• Ex: A produtividade estimada por Ponto de Função, não está sendo atingida
Risco de Fornecimento:
• Ex: O Hardware essencial ao projeto não será entregue dentro do prazo.
Alguns gerenciam riscos assim
Porque gerenciar riscos?
• Minimiza a gerência por crises
• Minimiza a ocorrência de surpresas e problemas
• Possibilita melhor alavancagem de resultados
• Auxilia o processo decisório
• Aumenta a probabilidade de sucesso do projeto
Relação Custo x Benefício
• Outro ponto importante a ser considerado na realização da 
análise de riscos é a relação custo-benefício. Esse cálculo 
permite que sejam avaliadas as medidas de segurança em 
relação à sua aplicabilidade e o benefício que poderá ser 
agregado ao negócio. Assim, essa visão orienta a 
implementação das medidas de segurança somente em 
situações em que a relação custo-benefício se justifique.
• No entanto, é fundamental que na organização esteja clara a 
relação custo-benefício, isto é, que todos os envolvidos na 
implementação da segurança (a equipe de execução do 
projeto, a alta administração e todos os usuários) devem estar 
conscientes dos benefícios trazidos pelas medidas de 
segurança para os indivíduos e para a organização como um 
todo.
Características dos riscos
• É parte de qualquer atividade e nunca pode ser eliminado
• Não é possível conhecer todos os riscos
• Risco em si não é mau
• Risco é essencial para o progresso, e a falha importante para o 
aprendizado
• Precisamos aprender a balancear as possíveis consequências 
negativas, com os benefícios potenciais associados às 
oportunidades
Gerência dos Riscos
Categorias dos Riscos
• Projeto: aqueles que ameaçam o planejamento do projeto, 
tais como o orçamento, o cronograma, complexidade do 
projeto, etc
• Técnicos: aqueles que ameaçam a qualidade do produto ou 
serviço, tais como a especificação dos requisitos, projetos 
técnicos, mão-de-obra não especializada, etc
• Negócio: aqueles que ameaçam a viabilidade do produto ou 
serviço, tais como perda de apoio de gerência de alto nível, 
produto não alinhado com a estratégia da companhia, etc
• Mercado: aqueles que não dependem da organização, tais 
como inflação, taxa cambial, recessão, etc
Riscos x Sistemas
RISCOS
Descrevendo riscos
Processo de identificação dos 
riscos
Componentes dos Riscos
• Evento
• Probabilidade de ocorrência
• Gravidade do impacto ou efeitos ou consequência
• Criticidade ou nível de controle (Probabilidade x Impacto)
Riscos Técnicos
• Especificação de requerimentos
• Tecnologia
• Complexidade e interfaces
• Performance
• Confiabilidade
• Qualidade
• Segurança
• Garantias
Identificação dos Riscos
Priorizando riscos
Revisão dos riscos
• O evento ainda é possível?
• A probabilidade ainda é a mesma?
• O impacto ainda é o mesmo?
• A tolerância da empresa ao risco ainda é a mesma?
Riscos x Planos de contingência
• Riscos residuais: Riscos residuais são aqueles que ainda 
permanecem depois que as repostas de prevenção, transferência ou 
mitigação tiverem sido aplicadas. Esses incluem também riscos 
menos sérios que tenham sido aceitos e com os quais se tenha 
lidado, através, por exemplo, da adição de quantias de contingência 
ao custo e ao tempo permitido. 
Que deve ser refletido no plano de contingência.
• Riscos secundários: Os riscos que surgem como resultado direto da 
implementação de uma resposta a um risco são denominados riscos 
secundários. Eles devem ser identificados e as repostas a eles 
planejadas, e apresentados no plano de contingência. 
Ex.: Instalação da nova versão de BD, melhora performance 
significativamente, mas existe o risco da incompatibilidade com 
alguns programas, após instalação da nova versão.
Monitoramento e controle
• Reavaliação dos Riscos: realizada periodicamente, em alguns 
marcos ou pontos de controle
• Auditoria de Riscos: exame e documentação do que foi 
planejado em relação à eficiência (todo o processo).
• Análise de Variação e Tendências: realizada periodicamente 
por meio de técnicas de acompanhamento de 
performance/estratégia de tratamento do risco
• Análise de Reservas: reavaliar as reservas de acordo com o 
que foi planejado, o que está ocorrendo e as modificações 
ocorridas.
Monitoramento e controle
“A única coisa que nunca muda é que tudo está sempre 
mudando”
Heraclito de Efeso
Portanto ....
• Fique atento a novos riscos (WORKAROUNDS) 
• Acompanhe os riscos identificados 
• Reavalie os cenários
• Monitore os gatilhos (eventos precursores)
• Realoque recursos, se for o caso
• Fortaleça os compromissos e responsabilidades
• Atualize os planos de projetos, plano de gerenciamento de 
riscos e de registro de riscos
Analisando e calculando riscos
Classificação de Impactos
Probabilidade da ocorrência
Escala Ordinal – muito baixa, baixa, moderada, alta, muito alta
Escala Cardinal – assinala valores numéricos. Pode ser valores lineares (.1/ .3/ 
.5/ .7/ .9) ou não lineares (.05/ .1/ .2/ .4/ .8/)
Auditoria de Sistemas 
de Informação
Prof. Glauco RuizAuditoria e Segurança de Sistemas
Conceito de Auditoria
Auditoria de sistemas é uma atividade voltada à avaliação dos 
procedimentos de controle e segurança vinculados ao 
processamento das informações. 
Tem como funções: 
documentar, avaliar e monitorar sistemas de controle legais, 
gerencias de aplicação e operacionais. Os instrumentos para 
desempenhar tais funções podem variar do uso da auditoria desoftware ao uso habilidoso de técnicas de entrevistas.
Contexto da Auditoria de SI
Auditoria de SI é um instrumento da direção, dos acionistas, do 
ambiente externo, do usuário para:
• Opinar, avaliar, validar a qualidade dos dados e da informação 
e dos sistemas que a geram e mantém, em termos de 
segurança, confiabilidade e eficiência
Interna ou Externa
Exige conhecimentos de TI
Problemas da Auditoria de SI
• Auditores tendem a ficar defasados tecnologicamente em 
relação ao ambiente computacional da organização.
• Falta de bons profissionais em auditoria, combinando 
experiência e conhecimento em TI e auditoria
• Executivos precisam ser educados para obter proveito de 
auditoria
• Complexidade crescente no ambiente computacional
• Sistemas centrais (mainframes, sistemas multiusuários)
• Microcomputadores independentes
• Redes de computadores
• Ambiente client/server Ambiente Atual
• Internet e intranet
• Web services e organizações interconectadas
Complexidade Crescente da TI
• Novos modelos de desenvolvimento de software 
(CMM/CMMI)
• Gerência de Projetos – PMI/PMBOK
• Novos aspectos da segurança e avaliação de riscos (Internet, 
celular, tablets, cloud computing, etc)
O futuro da Auditoria de SI
Novas funções no ambiente:
• Analista de segurança (security officer)
• Analista de qualidade
• Analista de conformidade (compliance officer)
• Auditoria de segurança e qualidade
• Maior automação do processo de auditoria, através de 
suporte intrínseco (essencial) dos sistemas
• Análise de custo/benefício da auditoria
• Gestão e Qualidade da Auditoria
Objetivos da Auditoria de SI
Certificar-se que:
• as informações são corretas e oportunas;
• existe um processamento adequado das operações;
• as informações estão protegidas contra fraudes;
• existe proteção das instalações e equipamentos;
• existe a proteção contra situações de emergência (paralisação 
de processamento, perda de arquivos, inundações, incêndios, 
etc.);
• As informações estão de acordo com as leis vigentes.
Funções de um Auditor de SI
Conhecimentos profundos e necessários em:
• Auditoria
• Sistemas da Informação
• Processamento de Dados
Dentro desses itens, deve conhecer:
• Linguagens de Programação (Java, C#, PHP, Python, etc)
• Documentação de sistemas
• Fluxogramas/BPMN
• Metodologias de desenvolvimento
• Técnicas de Prototipação
• Elaboração de Plano Diretor de TI (PDTI)
Funções de um Auditor de SI
.... continuação
• Apuração de custos em centro de computação
• Normas administrativo-técnico-operacionais; funções de 
mecânica operacional da área de computação
• Contratos de software e hardware
• A Auditoria pode (e deve) ser feita em equipes de auditores
• Deve-se otimizar a utilização dos recursos de TI
• O auditor assessora o alto escalão da empresa, inclusive o 
conselho administrativo
• Deve ter o talento de auditar
Auditoria nas Organizações
Presidência 
Executiva
Diretoria 
Administrativa
Diretoria 
Financeira
Diretoria de 
Vendas
Diretoria de TI
Auditoria 
de Sistemas
Algumas técnicas de ASI
• Utilização de programas de computador (coleta dados, 
informações, controle, spyware)
• Questionários
• Entrevistas
• Simulação de dados 
• Visitas in-loco
• Mapeamento estatístico (mapping)
• Rastreamento-programa (tracing)
• Análise de relatórios e telas
• Simulação paralela (ambiente paralelo)
• Análise de logs (accounting)
• Análise de programa-fonte
• Exibição parcial da memória snapshot
Relatórios e Avaliações da ASI
• é a peça mais importante da auditoria
• devem ser completos e chegam aos mínimos detalhes possíveis de 
serem relatados
• confidenciais, com acesso somente a quem solicitou auditoria (alto 
escalão)
• não deve permitir contestação por parte dos envolvidos (provas, 
fatos concretos). Isso pode desmoralizar o auditor
• deve ser planejado e estruturado, com conclusões lógicas e 
eficientes (sem enrolações)
• os relatório ou avaliações finais, quando bem feitos e fáceis de 
interpretar, fazem o sucesso de toda auditoria (pode levar anos), 
caso contrário, o fracasso depreciará tudo o que foi duramente 
realizado, mesmo que bem feito
• IMPORTANTE: deve sugerir correções e não somente apresentar os 
erros
Conceitos de um Relatório ASI
FINALIDADE
· Meio de informar o resultado de nossos trabalhos.
· “Produto” fornecido pelo auditor.
DEVE SER
· Cuidadosamente imaginado;
· Adequadamente planejado;
· Bem escrito.
DEVE CONTER
· Fatos constatados e de relevância;
· Sugestões e recomendações para melhoras efetivas;
· Procedimentos não observados;
· Comentários do auditado.
PARA O AUDITOR SERÁ
· O atestado de que notou a anormalidade e a comunicou.
· Uma imposição à gerência para que corrija a situação ou explique por que não a corrige.
· O relatório bem escrito reduz o tempo de estudo, entendimento e discussão pela gerência.
· O contato do auditor com a alta administração deve causar boa impressão.
Para reflexão...
• E quando auditamos a pessoa errada ? 
• Quais as consequências ?
• O que pode ser feito ? O que deve ser feito ?
“A auditoria busca a honestidade na sua forma, procura
descobrir o errado, ensinar o correto, portanto, haja sempre
fazendo o que é certo, não deixe de agir com os bons princípios
do ser humano, com a religiosidade, como uma pessoa idônea.
Tente se colocar sempre do outro lado da situação, essa
reflexão o fará enxergar o que é certo e o errado, e qual lado
você irá seguir. Isso deve ser decisivo na sua vida, na sua
carreira, na sua formação como pessoa.“
Prof. Glauco Ruiz
Prof. Glauco Ruiz
Dez Falhas
Auditoria e Segurança de Sistemas
Dez Falhas
• 1. Não existência de uma estrutura de políticas, normas e 
procedimentos
Os regulamentos (políticas, normas e procedimentos) existem 
para explicitar como a organização deseja que o recurso 
informação deva ser tratado. Além do mais, como não temos 
legislação no Brasil em certos assuntos, por exemplo 
monitoramento de mensagem de correio eletrônico, a 
organização precisa dizer aos seus usuários com será tratada 
esta questão.
• 2. A gestão do controle de acesso permite uma identificação 
para uso comum.
É de se admirar, mas ainda encontramos em muitas 
organizações identificações que não são individuais e são 
utilizadas por um grupo de usuários. Não referindo aqui às 
situações de exceção. São casos normais de acesso à 
informação. Com esse acesso comum é muito difícil identificar 
qual usuário fez determinado acesso.
• 3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de 
gestor da informação. Mas, mesmo nos anos iniciais da 
tecnologia da informação a área de informática deveria ser 
apenas um prestador de serviço, deveria ser o custo diante da 
informação. É fator crítico de sucesso para o processo de 
segurança da informação a existência do gestor da informação 
que deve ser a pessoa da área de negócio ou da área 
administrativa que á a responsável por aquela informação. É o 
gestor da informação que vai autorizar (ou negar) o acesso dos 
demais usuários da empresa àquela informação.
• 4. Planos de continuidade que são apenas belos 
documentos.
Planos de continuidade de negócio ou planos para situações 
de contingência devem ser um processo vivo. Mas, muitas 
empresas desenvolvem seus planos e os mesmos ficam 
parados nas estantes. Um plano de continuidade tem que ser 
vivo: atualizado constantemente, testado e crescente em 
termos de escopo e cenário.
• 5. Registros de ações realizadas: não existem ou pouco 
tempo de guarda.
Registros para investigação (auditoria ou computação forense) 
precisam ter definidos sua existência e seu tempo de vida. Um 
registro de acesso (log) a um sistema que seja guardado 
apenas um dia é muito pouco caso haja uma investigação 
sobre uma ação indevida nesta aplicação. Também é 
importante a existência do registro de tentativas de acesso e 
erros de identificação/senha.
• 6. Cópias de segurança: definição da informática.
As cópiasde segurança devem existir por razões de 
recuperação do ambiente de tecnologia, requisitos legais, 
aspectos históricos e exigências de auditoria. Apenas o 
primeiro caso é de responsabilidade da área de tecnologia. 
Requisitos legais e necessidade de guarda por questões 
históricas devem ser definidos pela área de negócio. 
Exigências de auditoria devem ser definidas pelas auditorias 
internas ou externas.
• 7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. 
Porém, um profissional deve ser responsável pela existência 
do processo de segurança da informação. Empresas de médio 
e grande porte podem ter um funcionário dedicado a esta 
função, evidentemente desde que ele tenha os pré-requisitos 
para a mesma.
• 8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e 
de ameaças são feitas aleatoriamente e normalmente apenas 
quando se tem um risco eminente. Toda organização deve ter 
uma gestão de risco contínua.
• 9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da 
organização. Mas lembramos que as áreas de negócio e a 
direção da organização devem considerar a participação da 
segurança da informação em definições estratégicas. 
Evidentemente não falamos aqui de situações de extremo 
segredo, como por exemplo, a junção de duas instituições 
financeiras.
• 10. Usuário: pouco treinamento e conscientização. 
A pessoa humana é o fator determinante para o sucesso ou 
fracasso do processo de segurança da informação em uma 
organização. Cada usuário precisa ser treinado e conscientizado. 
Precisa saber suas responsabilidades, o que pode e o que não 
pode fazer.
Garantindo que a organização não falhe nestes dez itens citados 
conseguiremos isto com certeza e a organização terá um 
excelente nível de proteção da informação. 
Prof. Glauco Ruiz
Plano de Contingência
Auditoria e Segurança de Sistemas
O que é?
• Documento cujo objetivo é descrever as medidas a serem 
tomadas pela empresa para os processos vitais voltarem a 
funcionar em um estado minimamente aceitável, o mais 
rápido possível. 
• Obs.: plano de contenção : feito antes de ocorrer o dano. 
Contingência →após o problema ter ocorrido
O que é?
• Deve-se ter em conta as situações em que regras normais de 
segurança podem falhar;
• Deve ser testado antes da eventualidade para a qual foi 
planejado.
O que é?
• Deve concentrar-se nos acidentes de maior probabilidade e 
menos catastróficos e não nos acidentes mais catastróficos 
que geralmente são menos prováveis;
• Deve ser construído a partir de cenários prováveis, 
previamente definidos
Por que é necessário?
• Para manter a integridade de dados da organização;
• Manter os serviços operacionais e prover, se necessário, 
serviços temporários ou com certas restrições até que os 
serviços normais sejam restaurados;
Acidentes Comuns
• Vírus;
• Perda de HD;
• Perda de Conectividade;
• Falha de ar condicionado;
• Falha de energia;
• Ataques de Hackers;
• …
Boas práticas
• Desenvolvido por equipes pluridisciplinares, envolvendo todas 
as áreas do negócio;
• Testado periodicamente;
• Atualizado sempre que necessário;
• Arquivado de um jeito seguro e de fácil acesso à equipe de 
recuperação;
• Formalmente aprovado pela gestão da empresa
ETAPAS DO 
DESENVOLVIMENTO
Fases do Plano de Contingência
• Planejamento
• Desenvolvimento
• Treinamento
• Teste
• Atualização
Planejamento
• Fases:
• Atividades Preliminares;
• Análise de Impacto;
• Análise de alternativas de recuperação;
Planejamento –Atividades 
Preliminares
• Comprometimento da alta gerência
• Estudo preliminar (funções críticas)
Planejamento –Análise de 
impacto
• Classificação das funções, sistemas e recursos de acordo com 
a importância para a organização;
• Fornece base para tomada de decisão para a gerência ( como 
e onde investir em medidas de segurança );
• Avalia a importância de cada atividade e identifica 
vulnerabilidades e possíveis ameaças;
Planejamento –Alternativas de 
recuperação
• Prevenção de acidentes
• Equipamentos de detecção e extinção de incêndio;
• Manutenção preventiva de equipamentos;
• Politicas de backup, armazenamento e recuperação de sistemas;
• Proteção a documentos não magnéticos (papéis e etc…);
• Política de pessoal adequada ( contratação e demissão);
• Backups
• Recuperação de dados
• Procedimentos manuais
• Seguros
• Acordos comerciais
• Soluções internas (espelhamento; processamento em locais 
diferentes, cold site interno (sala vazia))
• Relatório das alternativas para recuperação dos serviços 
computacionais
DESENVOLVIMENTO
Desenvolvimento
• Um plano de contingência efetivo deve cobrir, 
essencialmente, duas fases:
• resposta imediata a um desastre e
• processo de restauração;
Desenvolvimento
• Resposta imediata a um desastre: envolve decisões gerenciais, 
como decidir entre levar o plano até as últimas 
consequências, e tomar medidas corretivas para restaurar o 
sistemas no próprio prédio;
• Processo de restauração: define os passos a serem seguidos 
no local escolhido como instalação reserva;
Resposta imediata a um 
desastre
• Identificar e compreender o problema.
• Conter os danos, limitando ou parando o problema;
• Determinar os danos causados;
• Restaurar o sistema;
• Eliminar as causas;
• Comunicar o problema e as soluções aos interessados, 
contactar seguradoras, e etc…
Processo de restauração
• Escolha da Instalação Reserva
• Identificação de aplicativos críticos
• Inventário de programas e arquivos críticos
• Identificação de requerimentos de sistema (necessários para 
processar aplicativos críticos)
• Identificação de Requerimentos de Rede de Telecomunicações
• Identificação de Documentação e Suprimentos Necessários
• Contatos com fornecedores
• Retirada do pessoal
• Documentos em papel
• Documentos em meios magnéticos
TREINAMENTO
Treinamento
• Cada funcionário deve estar conscientizado de suas 
responsabilidades em caso de contingências;
• Devem ser feitas palestras educativas sobre acidentes e 
planos de recuperação, e também simulações;
TESTE
Teste
• Os testes podem ser feitos em um conjunto de procedimentos 
de uma parte do plano ou utilizando elementos surpresa de 
simulação de acidentes;
• Representa uma garantia para a organização;
• É a única maneira de garantir a efetividade do
• plano de contingência;
Teste - Metodologias
• Teste integral
• Teste parcial
• Teste simulado
ATUALIZAÇÃO
Atualização
• A maioria dos sistemas e funções de negócio muda com 
frequência, assim como seus procedimentos;
• Se o plano não estiver preparado, seu uso será bastante 
limitado;
• Um auditor pode auxiliar no desenvolvimento e revisão de um 
plano;
• As fragilidades e as deficiências devem ser reportadas no 
relatório de auditoria;
Módulos, Riscos de TI e 
Considerações Finais
Módulos de um P.C.
Os planos de contingência estão subdivididos em três 
módulos distintos e complementares que tratam 
especificamente de cada momento:
• Plano de Administração de Crise – Tem o propósito de definir 
passo-a-passo o funcionamento das equipes envolvidas com o 
acionamento da contingência antes, durante e depois da 
ocorrência do incidente. Além disso, tem que definir os 
procedimentos a serem executados pela mesma equipe no 
período de retorno à normalidade. 
Módulos de um P.C.
• Plano de Continuidade Operacional – Tem o propósito de 
definir os procedimentos, reduzir o tempo de 
indisponibilidade dos sistemas produtivos e, 
consequentemente, os impactos potenciais à produção.
• Plano de Recuperação de Desastres – Tem o propósito de 
definir um plano de recuperação e restauração das 
funcionalidades dos sistemas afetados que suportam os 
processos de trabalho e produção, a fim de restabelecer o 
ambiente e as condições originais de operação.
Riscos de T.I.
Cada área de TI tem inerenteseus riscos operacionais e 
técnicos. Alguns exemplos :
- Desenvolvimento de Sistemas: risco de que os sistemas da 
empresa sejam desenvolvidos de forma não padronizada 
gerando custos pela "independência na criação" e dificuldades
ou mesmo impossibilidade de manutenção em função da falta 
de uma Metodologia de Desenvolvimento de Sistemas (Controle 
Interno)
- Operação/Produção: risco de indisponibilidade dos serviços de 
TI pela inexistência de sites alternativos (Controle Interno) para 
continuidade do processamento em casos de perda de uma ou 
mais máquinas principais.
- Suporte Técnico: risco de indisponibilidade dos serviços pela 
adoção/implantação de um software básico não compatível com 
a infraestrutura de TI homologada (Controle Interno).
Contingência em T.I.
Os Planos de Contingência de TI são normalmente 
construídos para situações até extremas de ocorrência de riscos, 
porém situações de ocorrência de riscos do dia-a-dia devem 
também ser contempladas por eles.
Um Plano de Contingência de TI está baseado em três vértices :
- Vértice PESSOAS - que trata dos recursos humanos envolvidos 
nas atividades em Contingência.
- Vértice ORGANIZAÇÃO - que trata especificamente sobre a 
disponibilidade e segurança de recursos estruturais e 
organizacionais para suportar as atividades necessárias em 
Contingência.
- Vértice TECNOLOGIA - que contempla os recursos de 
hardware, software e ambientais apoiados em tecnologias de TI 
e complementares para atender em contingência.
Considerações P.C. em T.I.
Existem várias metodologias para a elaboração de Planos de 
Contingência, assim como há também softwares para sua gestão, 
documentação e atualização. O importante porém é que a filosofia de 
contingenciamento de riscos esteja viva e ativa entre os funcionários 
de TI.
Situações imprevistas em TI ocorrem praticamente todos os 
dias. As ações para sua correção são normalmente feitas ainda de 
forma corretiva. Históricos das ocorrências com causas e ações 
tomadas são procedimentos raros, assim como uma base de dados 
das lições aprendidas.
Em TI, Riscos e Contingências caminham juntos. Metodologias, 
políticas, ações operacionais e gerenciais (preventivas e corretivas) e 
dinheiro são as bases para a boa gestão deste processo.
Política de Segurança
Prof. Glauco Ruiz
Auditoria e Segurança de Sistemas
O que é
• A Política de Segurança pode ser entendida como sendo um 
conjunto de normas e diretrizes destinadas a proteção dos 
ativos da organização.
• Neste documento deve estar descrito a forma que a empresa 
deseja que seus ativos sejam:
• Protegidos;
• Manuseados;
• Tratados.
Objetivo
• O objetivo de qualquer política de segurança é o de definir as 
expectativas da organização quanto ao uso dos seus recursos 
(computadores e rede), estabelecendo procedimentos com o 
intuito de prevenir e responder a incidentes relativos a 
segurança.
Importância
• Com o passar do tempo, aumenta-se a dependência das 
empresas no uso de computadores e sistemas. Esta 
dependência é necessária para que ela se torne eficiente e a 
partir daí, gere mais negócios. 
• Dessa forma, a informação passa a ter um valor estratégico e 
tático para as organizações. Hoje em dia, a informação é o 
ATIVO mais valioso para muitas empresas.
Importância
• Diante deste cenário a política de segurança passa a ter uma 
importante função, pois visa a proteção dos ativos da 
Organização para que os negócios não parem e ocorram 
dentro de um ambiente harmônico e seguro.
Abrangência
• A Política de Segurança é uma atividade que deve envolver 
toda a Organização, é importante que todas as áreas 
participem ativamente neste processo, portanto, esta política 
deve ser abrangente e incluir as regras de como as 
informações e os recursos da Organização devem ser 
manipulados. Assim, definirá o que é e o que não é permitido 
em termos de comportamento.
Abrangência
• A Política de Segurança é quem dá o direcionamento para os 
esforços e os investimentos de ordem técnica.
• Pode variar em termos de abrangência de acordo coma 
complexidade da Organização.
Como deve ser
• Dicas para elaborar uma Política de Segurança:
• Ser flexível com relação às mudanças necessárias;
• Ser simples na comunicação;
• Ser objetiva e curta;
• Conter regras simples;
Como deve ser
• Ser consistente, de acordo com as outras políticas da 
corporação;
• Ser aplicável utilizando os equipamentos e tecnologias de rede 
existentes;
• Estar de acordo com as leis locais, estaduais e federais;
• Ser facilmente acessível a todos os membros da Organização;
Como deve ser
• Definir um conjunto claro de metas de segurança;
• Definir com precisão cada um dos assuntos discutidos na 
política;
• Mostrar claramente a posição da instituição sobre cada ponto;
• Descrever a justificativa da política independente dos 
assuntos secundários;
Como deve ser
• Definir sobre que circunstâncias determinado Item é aplicável;
• Definir as regras e as responsabilidades dos membros da 
Organização com respeito a cada uma das diretivas definidas;
• Descrever ou associar as consequências do não cumprimento 
da Política descrita;
Como deve ser
• Indicar informações para contato, mais detalhes e 
esclarecimentos de qualquer uma das diretivas;
• Definir as expectativas de privacidade dos usuários.
O que precisa conter
• Um planejamento, levantando o perfil da empresa;
• Aprovação da política de segurança pela diretoria;
• Análise interna e externa dos recursos a serem protegidos;
• Elaboração das normas e proibições, tanto física, lógica e 
humana;
O que precisa conter
• Aprovação pelo Recursos Humanos;
• Aplicação e treinamento da equipe;
• Avaliação periódica;
• Feedback.
Divulgação
• Deve ser escrita de forma clara para que todos os envolvidos 
possam entendê-la e melhor praticá-la.
Divulgação
• Para que a cultura da empresa seja mudada em relação à 
segurança de informações, é fundamental que os funcionários 
estejam preparados sobre o assunto através de:
• Avisos (Comunicação Interna, Intranet);
• Reuniões de conscientização;
• Treinamento direcionado;
• Peça teatral (com exemplos sobre o assunto).
Divulgação
• Com isso a empresa terá mais chance de obter êxito no seu 
processo de implantação do Programa de Segurança da 
Informação Corporativa.
O que não deve ter
• Detalhes técnicos.
• Detalhes e/ou imitações de políticas de segurança de outra 
empresa.
Engenharia Social
Controlando o Fator Humano
na Segurança da Informação
Auditoria e Segurança de Sistemas
Uma empresa pode ter:
• adquirido as melhores tecnologias de segurança que o 
dinheiro pode comprar;
• treinado tão bem seu pessoal que eles trancam todos os 
segredos antes de ir embora;
• contratado guardas para o prédio na melhor empresa de 
segurança que existe.
Mesmo assim a empresa ainda estará 
vulnerável.
Na Empresa, os indivíduos 
podem:
• seguir cada uma das melhores práticas de segurança 
recomendadas pelos especialistas;
• instalar cada produto de segurança recomendado;
• vigiar muito bem a configuração adequada do sistema e a 
aplicação das correções de segurança
Esses indivíduos ainda estarão 
completamente inseguros
Por quê ?
•Porque o FATOR HUMANO é o elo 
mais fraco da segurança.
Ilusão de Segurança...
• Um cadeado no seu portão
• Firewalls
• Sistema de detecção de intrusos
• Dispositivos avançados de autenticação
• Tokens baseados no tempo
• Cartões biométricos inteligentes.
“a segurança não é um produto, é um 
processo” (Bruce Schneier - Consultor de 
segurança)
Além disso:
A segurança não é um problema para a 
tecnologia, é um problema para as pessoas 
e a direção.
Sendo assim...
Este material concentra-se principalmente 
nos métodos não técnicos que os invasores 
hostis usam para roubar informações e com 
isso comprometer a integridade das 
informações que se acredita estarem 
seguras (mas que na realidade não estão).
Alguns exemplos...
1- Ataque Direto :
simplesmente pedindoOutro exemplo...
2- Criando a Confiança
Departamento de Compras...
3- Contas a pagar...
E a lista da Engenharia Social
continua...
1- Intruso na empresa: “você pode me ajudar?”
2 - Ataques aos empregados iniciantes 
informações sobre softwares ou projetos novos;
3 - Entrando nas instalações
- crachás...
- Funcionário recém demitido
4 - Virando latas (tratamento do lixo da empresa)
5 - Equipe de limpeza (terceirizada ou não)
6 - Quando o intruso é vendedor de software.
Por quê as pessoas conseguem ser 
enganadas pelo Engenheiro Social ?
Maior vulnerabilidade: a 
própria natureza Humana
Seis tendências básicas da natureza humana 
(Cialdini,2001)
1.Autoridade
2.Afabilidade
3.Reciprocidade
4.Consistência
5.Validação Social
6.Escassez
Por quê essas características humanas 
são vistas como vulnerabilidades ?
Personalidade do Engenheiro 
Social
• inflexível e prejudicial a si próprio e/ou às pessoas com as 
quais convive
• Padrão social de comportamento irresponsável,
• Explorador
• Insensível, constatado pela ausência de culpa
• Atitude aberta de desrespeito por normas, regras e obrigações 
sociais de forma persistente
• Estabelece relacionamentos com facilidade, principalmente 
quando é do seu interesse, mas dificilmente é capaz de 
mantê-los
• Baixa tolerância à frustração e facilmente explode em atitudes 
agressivas e violentas
• Incapaz de aprender com as punições.
Tudo está perdido ?
Conscientização e Treinamento em 
Segurança da Informação
1. A segurança por meio da
Tecnologia, do Treinamento e dos
Procedimentos
• As empresas que realizam testes de invasão de
segurança relatam que suas tentativas de invadir
os sistemas de computadores de uma empresa
cliente com métodos da engenharia social têm
um índice de sucesso de quase 100%.
• 58% dos ataques com sucesso são de pessoas de
dentro da corporação.
Conscientização
• Só existe uma maneira de manter seguros os seus planos
de produto:
• ter uma força de trabalho treinada e consciente
• um programa constante de conscientização.
• Algumas autoridades recomendam que 40% do
orçamento geral para segurança da empresa seja
aplicado no treinamento da conscientização.
Assim sendo...
• É importante conhecer os métodos usados pelo
engenheiro social
• E incluir técnicas de treinamento de pessoal para
evitar a ocorrência de tais ataques...
Métodos comuns da engenharia
social
• Finge ser um colega de trabalho
• Finge ser um empregado de um fornecedor, empresa 
parceira ou autoridade legal
• Finge ser alguém com autoridade
• Finge ser um empregado novo que solicita ajuda
• Finge ser um fornecedor de sistemas que liga para 
oferecer um patch ou uma atualização do sistema
• Oferece ajuda quando ocorrer um problema e, em 
seguida, faz o problema ocorrer para manipular a vítima 
e fazer com que ela ligue pedindo ajuda
• Envia software ou patch grátis para que a vítima o 
instale.
Métodos comuns da engenharia social
• Envia software ou cavalo de tróia como um anexo de correio 
eletrônico
• Usa uma janela pop-up falsa que pede para o usuário fazer o login
novamente ou digitar uma senha
• Em seguida, captura as teclas digitadas pela vítima com um sistema 
ou programa de computador
• Deixa um disquete ou CD com software malicioso em algum lugar do 
local de trabalho
• Usa jargão e terminologia interna para ganhar a confiança
• Oferece um prêmio pelo registro em um site Web com um nome de 
usuário e a senha
• Deixa um documento ou arquivo na sala de correspondência para 
entrega interna
• Configura uma caixa de correio para que as ligações de retorno 
percebam o atacante como alguém de dentro da empresa
• Finge ser do escritório remoto e pede acesso local ao correio 
eletrônico.
Sinais de um ataque
• Recusa em dar um número de retorno
• Solicitação fora do comum
• Alegação de autoridade
• Ênfase na urgência
• Ameaça de consequências negativas em caso de não 
atendimento
• Mostra desconforto quando questionado
• Nome falso
• Cumprimentos ou lisonja
• Flerte
Fatores que tornam as empresas
mais vulneráveis aos ataques
• Um número grande de funcionários
• Diversas instalações
• Informações sobre o paradeiro dos empregados deixadas nas 
mensagens de voice mail
• Informações de ramal de telefone disponíveis
• Falta de treinamento em segurança
• Falta de sistema de classificação de dados
• Nenhum plano ou grupo de resposta aos incidentes de 
segurança.
Algumas ações de proteção
• ID de chamadas
• Retorno de ligação
• Endosso (empregado de confiança deverá endossar a 
identidade do solicitante)
• Segredo comum compartilhado
• Supervisor ou gerente
• Correio eletrônico seguro (com assinatura digital)
• Reconhecimento pessoal de voz
• Pessoalmente (pedir para o solicitante comparecer 
pessoalmente).
Critérios para a verificação de 
não-empregados
• Verificar relacionamento da empresa solicitante :
• fornecedor, parceiro estratégico ou outro
• Verificar a identidade do solicitante e o status do emprego na
empresa do fornecedor / parceiro
• Verificar se o solicitante assinou um contrato de
confidencialidade que esteja arquivado
• Encaminhar a solicitação para o gerenciamento quando as
informações tiverem classificação de Internas.
Saber classificar os dados da
empresa
• Público
• Interno
• Particular
• Confidencial
Saber classificar os dados da
empresa
• Público: não há necessidade de verificação
• Interno: verificar a identidade do
solicitante como um empregado ativo e
pedir aprovação do gerenciamento para
não-empregados.
Saber classificar os dados da
empresa
• Particular: informações de natureza pessoal 
destinadas ao uso apenas dentro da empresa. 
• Verificar a identidade do solicitante como um 
empregado ativo ou não empregado com 
autorização.
• Consultar o departamento de recursos 
humanos antes de divulgar informações 
particulares para empregados autorizados ou 
solicitantes externos.
Saber classificar os dados da
empresa
• Confidencial: apenas para o pessoal que tem 
necessidade absoluta de conhecer as informações dentro 
da organização. 
• Verificar a identidade do solicitante e a 
• Necessidade de conhecê-las do proprietário designado 
das informações.
• Liberar apenas com consentimento prévio, por escrito, 
do gerente ou do proprietário das informações ou seu 
representante. 
• Apenas o pessoal do gerenciamento pode divulgar 
para as pessoas não empregadas pela empresa.
Resumindo para finalizar...
• Conscientização CONSTANTE !
• Treinamento envolvendo TODOS os 
funcionários da empresa