Segurança e Auditoria de Sistemas de Informações

Prévia do material em texto

Sandro Lopes Bianchini 
Segurança e auditoria 
de sistemas de informação
Sandro Lopes Bianchini 
Segurança e auditoria 
de sistemas de informação
Bianchini, Sandro Lopes
Segurança e auditoria de sistemas de informação. Sorocaba/SP, 2020. 83 f. Ed. 1.
Validador: Ruy Barbosa Figueiredo Júnior.
Instituto Cultural Newton Paiva Ferreira Ltda. | ED+ Content Hub, 2020.
Assuntos:
1. Segurança - ambiente informatizado;
2. Auditoria de Sistemas;
3. Software Malicioso;
4. Segurança Web.
Formato: digital.
Recurso: PDF e HTML.
Requisitos do sistema operacional:
• Windows 8.1 ou superior;
• Mac OSX 10.6 ou superior;
• Linux - ChromeOS.
Configurações técnicas:
• 2GB de memória RAM;
• 2.5GHz de processador;
• 10GB de espaço em disco.
Navegadores:
• Google Chrome – Versão mais atualizada;
• Mozilla Firefox – Versão mais atualizada.
Dispositivos móveis:
• iOS 10 ou superior;
• Android 5 ou superior.
Modo de acesso: área restrita - Ambiente Virtual de Aprendizagem.
Todos os direitos desta edição são reservados ao Centro Universitário Facens.
Rodovia Senador José Ermírio de Moraes, 1425, km 1,5 – Sorocaba/SP
CEP: 18.085-784 | tel.: 55 15 3238 1188
Nenhuma parte desta publicação poderá ser reproduzida por qualquer meio ou forma sem autorização.
A violação dos direitos autorais é crime estabelecido pela Lei n.º 9.610/98 e punido pelo artigo 184 do Código Penal.
Todas as imagens, vetores e ilustrações são creditados ao Shutterstock Inc., salvo quando indicada a referência.
Conteúdo
Unidade 1
Introdução à segurança de sistemas de informação ..................... 6
Unidade 2
Sistemas sob ataque ........................................................................ 19
Unidade 3
Implementação de segurança em sistemas de informação ........ 38
Unidade 4
Auditoria dos sistemas de informação .......................................... 58
Unidade 5
Gerenciamento de riscos ................................................................. 77
Unidade 6
Criptografia ........................................................................................ 97
Unidade 7
Redes de computadores................................................................. 119
Unidade 8
Leis de conformidade ..................................................................... 142
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
5
PALAVRAS DO AUTOR
No escopo dos sistemas de informação, um aspecto importante, que deve ser considerado em qualquer 
desenvolvimento, é a segurança que esse sistema provê seja para o usuário que o utiliza, seja para 
demais sistemas, ou ainda para si próprio. Para um usuário é importante que credenciais de acesso, 
dados pessoais e hábitos de uso sejam devidamente manipulados e seguros, de maneira que sua utili-
zação não sirva para fins ilícitos. Do ponto de vista dos demais sistemas, a execução e a utilização de um 
sistema deve ser segura o suficiente de modo a não provocar danos a outros sistemas: a mera execução 
de um sistema não deve, por exemplo, causar estouro da pilha de memória do sistema. Em relação a 
si próprio, o sistema deve ser seguro o suficiente de modo que sua execução seja livre de erros e traga 
confiabilidade para esse sistema.
Nesta disciplina, você compreenderá porque a segurança é necessária em um sistema de informação, 
entendendo como esses sistemas podem ter a sua segurança afetada e quais brechas existentes podem 
surgir neles. Você também conhecerá como funciona a auditoria, a monitoração e os testes de segu-
rança desses sistemas, inclusive definições de leis de conformidade para sistemas de informação.
Em um mundo cada vez mais conectado, onde fronteiras são facilmente transpostas pela tecnologia, 
você pode perceber que a segurança é um requisito imprescindível. Informações a respeito de usuários, 
governos e outros sistemas podem estar ao alcance de qualquer um. Logo, a segurança que um sistema 
de informação fornece deve permitir o conforto de quem o usa, protegendo dados sensíveis do acesso 
de terceiros que queiram agir de má-fé.
Desejo a você boas-vindas nessa disciplina, bons estudos e que possa aplicar o conteúdo aqui apresen-
tado tanto em sua vida profissional quanto pessoal.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
6
Unidade 1 Introdução à segurança de sistemas de informação 
Objetivo de aprendizagem:
Introduzir ao aluno motivações, conceitos e objetivos da segurança em sistemas de informação.
Tópicos de estudo:
• Gestão da Segurança da Informação;
• Política de segurança;
• Planejamento de segurança.
Iniciando os estudos:
No mundo atual em que vivemos, neste exato momento, por meio de diversos sistemas, sejam pessoais 
ou pertencentes a empresas, uma quantidade considerável de informação está em trânsito. Possivel-
mente até dados pessoais seus podem estar nesse contexto. Diante disso, o objetivo dessa unidade é 
contextualizá-lo da importância da segurança dessas informações e apresentar as motivações necessá-
rias para praticá-la e utilizá-la.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
7
1 GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Com o advento da computação, o uso de sistemas computacionais pelo ser humano passou a ser 
massivo, inclusive com a adoção desses sistemas em diferentes organizações. Desse ponto em diante, 
as informações produzidas por essas organizações começaram a se concentrar em um único lugar e a 
quantidade volumosa delas passou então a ser um problema de segurança. Entre os fatores de risco 
associados à computação, você pode relacionar o maior uso de microcomputadores pelas pessoas, a 
utilização de redes locais e remotas, a abertura comercial da própria internet e a disseminação da infor-
mática em diversos setores da sociedade como um todo.
A Segurança da Informação, segundo Beal (2005, apud SILVA NETTO; SILVEIRA, 2007), é um processo que 
protege a informação de ameaças a sua integridade, disponibilidade e confidencialidade. Ainda pode ser 
definida como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos 
não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003, apud SILVA NETTO; 
SILVEIRA, 2007).
Conforme a norma ISO/IEC 17799:2005 (ABNT, 2005), a Segurança da Informação é a proteção da infor-
mação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco a ele, 
bem como maximizar o retorno sobre os investimentos e as oportunidades de negócio. Diante dessas 
definições, você pode considerar os seguintes conceitos apresentados no infográfico abaixo para melhor 
compreender a Segurança da Informação:
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
8
Assista
Acesse na plataforma o vídeo: O que é Segurança da Informação?
Em linhas gerais, quando o termo Segurança de Informação é evocado, pode vir a sua mente organiza-
ções financeiras, empresas de transporte aéreo e até organizações virtuais da internet. Isso pode ocorrer 
porque, na maioria dos casos, essas organizações são alvo de criminosos cibernéticos e uma brecha de 
segurança encontrada por esses pode ser um desastre, trazendo impacto financeiro, operacional, e até 
de imagem, ao negócio. Porém, problemas relacionados à segurança não são exclusivos desses negócios 
citados, e é recomendado que exista um processo que garanta a Segurança da Informação, independen-
temente do tipo de negócio.
Infográfico 1 - Conceitos de Segurança da Informação.
Fonte: adaptado de Silva Netto e Silveira (2007).
ED+ Content Hub © 2020
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
9
Reflita
Imagine que você tenha uma empresa e, porventura, dados sigilosos de um produto novo 
foram vazados, e eles ainda não tinham sido patenteados. A situação pode trazerpara sua 
empresa danos materiais (financeiros) e até danos morais – uma vez que a equipe que 
desenvolveu o produto pode se desmotivar.
Ressalta-se que a informação sempre foi um dos bens mais importantes de uma organização. Informa-
ções críticas outrora podiam ser guardadas em gavetas. Portanto, independente do estágio tecnológico 
dessas organizações, executivos e proprietários necessitam ter em mente que a proteção dessas infor-
mações é crucial. Não necessariamente precisam ser especialistas em Segurança da Informação, mas ao 
menos conhecedores de aspectos básicos que envolvam esse tema.
Diante disso, imagine que você seja um executivo. E, conforme Fontes (2008), há aspectos importantes 
que você deve considerar para proteger a informação dentro de sua organização:
• Não é um assunto somente relacionado à tecnologia. Hoje em dia, computadores processam 
e armazenam a maioria das informações de operação e de estratégia de uma organização. Por 
isso, esse ambiente precisa ser protegido e é necessário contar com a ajuda de especialistas. O 
equívoco aqui está em considerar que somente soluções técnicas, como aplicações antivírus, 
Figura 1 - O conceito de disponibilidade remete somente a 
indivíduos que, com a devida autorização, podem acessar 
determinada informação.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
10
serão suficientes para a proteção da informação. Coerente com o porte, sua empresa deve ter 
uma melhor proteção tecnológica, sendo o fundamental, mas não o suficiente.
• Proteger a informação é uma decisão empresarial, porque seu intuito é proteger o 
negócio da organização como um todo. Se acontecer algum evento em que a organização 
tenha prejuízo ou que seja impedida de continuar a realizar o seu negócio, serão os acionistas 
que perderão o investimento realizado.
• A proteção da informação exige dedicação de recursos financeiros, de tempo e de 
pessoas. Em termos financeiros, toda organização tem condições de realizar uma proteção 
adequada. Se o recurso financeiro estiver sendo usado como desculpa para a aquisição de 
proteção, algo está errado. Até um usuário doméstico tem condições de proteger adequada-
mente a sua informação.
• O gasto com a Segurança da Informação deve fazer parte do negócio da organização. É 
mais um item que compõe o preço final para o seu produto. É necessário encarar a Segurança 
da Informação como um elemento crítico que possibilita a realização do negócio.
• A regra básica é considerar o tema de Segurança da Informação de maneira profissional. 
Devem existir regulamentos, normas e políticas que valem para todos. Se outros assuntos da 
organização não são tratados de forma profissional, isso dificulta o processo de proteção.
• Somente o usuário que precisa da informação para o desempenho profissional das suas 
atividades na organização deve ter acesso a ela. Se alguém não precisa da informação, não 
deve ter acesso, independentemente do seu nível hierárquico.
• É preciso implementar o conceito de gestor da informação, que teria o papel de dono, 
proprietário da informação. Historicamente, a área de tecnologia era responsável pela autori-
zação e liberação da informação para o usuário. É possível seguir assim, porém, tem que existir 
uma autorização da área proprietária daquela informação. A área de Tecnologia da Informação 
(TI) é apenas uma prestadora de serviço, efetuando a custódia da informação. Por exemplo, 
quem deve autorizar o acesso às informações financeiras deve ser a diretoria financeira.
• Todos os colaboradores devem ser contemplados no processo de Segurança da Infor-
mação. A organização conta com funcionários, prestadores de serviços, terceirizados, consul-
tores e trabalhadores temporários. Os parceiros da sua organização devem ter o mesmo nível 
de engajamento que os seus funcionários.
• As pessoas fazem a organização. Elas são responsáveis por fazer acontecer a Segurança da 
Informação. Pouco adianta ter uma infraestrutura de proteção técnica se os seus colabora-
dores não internalizam os conceitos de segurança.
• As ações de segurança devem estar alinhadas ao negócio da organização. As iniciativas de 
negócio devem considerar a Segurança da Informação desde o início. Não se deve estruturar e 
implementar um novo produto de negócio para depois considerar a proteção da informação.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
11
Aprofunde-se
O artigo apresenta os resultados da implantação de políticas de Segurança de Informação 
em uma instituição de ensino superior. É interessante por mostrar como os conceitos aqui 
apresentados são aplicados a partir do mapeamento de processos e levantamento de 
informações com os usuários da comunidade.
Título: Política de segurança da informação: um modelo voltado para uma instituição de 
ensino superior
Acesso em: 15/05/2020.
Disponível em: http://revistas.icesp.br/index.php/Cosmopolita/article/view/1018
2 POLÍTICA DE SEGURANÇA
A política de segurança descreve a filosofia e as regras básicas para o uso do recurso informacional. Tudo 
isso independente do ambiente, seja ele convencional ou de tecnologia. Com a existência da política, fica 
explícito o que cada pessoa da organização deve cumprir no que se refere à proteção da informação.
Como já mencionado no tópico 1, é necessário que a política esteja alinhada aos objetivos da organi-
zação. A partir dos objetivos de negócio, são traçados os objetivos da Segurança da Informação, que por 
sua vez, possibilitam a realização do negócio no que depende do uso dos recursos de informação.
A política e os demais regulamentos definem as estratégias, as regras, os padrões e os procedimentos 
que direcionarão todas as ações para se atingir os objetivos de Segurança da Informação. Quanto a 
sua estrutura, recomenda-se que deva existir uma política principal, descrita em um documento curto 
e simples, de maneira que todos os usuários entendam claramente como a organização deseja que a 
informação seja tratada e quais são as responsabilidades deles. Outros documentos, como políticas 
específicas e normas, podem complementar esses requisitos. Em linhas gerais, de acordo com Fontes 
(2008), todo esse conjunto de documentos deve:
• Declarar e clarificar as regras;
• Definir as obrigações, as responsabilidades e a autoridade; 
• Formalizar os processos e os procedimentos;
• Documentar a boa cultura empresarial;
• Evitar o crescimento de parte do folclore organizacional que impede as boas práticas de proteção;
• Possibilitar seu uso em questões legais, em contratos, no relacionamento com as pessoas que 
participam do negócio e nas relações com o mercado;
• Estabelecer padrões;
• Ajudar a educar as pessoas e ser a base para uma efetiva arquitetura de Segurança da Informação.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
12
Assista
Acesse na plataforma o vídeo: Política de segurança
Somada à criação dos documentos relacionados com a Segurança da Informação, três pontos são neces-
sários para que as políticas ali descritas possuam eficiência e eficácia ao longo do tempo (FONTES, 2008). 
São eles:
a) Apoio explícito do nível executivo da organização. Preferencialmente, a política principal deve 
ser assinada pelo presidente da organização. Assim, será visível a todos que a política de segu-
rança é uma decisão estratégica e possui visibilidade da alta direção da organização;
b) O que for escrito na política e nos demais regulamentos deve exprimir a verdade e os valores 
da cultura da organização;
c) Ser passível de implementação e de execução pelos usuários. Não se deve especificar requisitos 
que não podem ser implementados ou são impossíveis de serem cumpridos pelos usuários.
Figura 2 - O uso de crachá de identificação é um 
exemplo de padrão que poderia ser estabelecido 
via política de segurança.
Segurança e auditoria desistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
13
3 PLANEJAMENTO DE SEGURANÇA
Alinhado com a política de segurança, o processo de segurança e a proteção da informação necessitam 
ter um planejamento para serem implantados na organização. Nesse sentido, dúvidas surgem quanto 
ao que deve ser considerado nesse planejamento. Fontes (2008) sugere as seguintes diretrizes para o 
planejamento de segurança:
• Características do negócio: o processo de segurança precisa estar alinhado com as caracte-
rísticas do negócio da organização. Por exemplo, o negócio de uma universidade pública exige 
requisitos de segurança diferentes de uma instituição financeira privada.
• Estrutura do negócio: centralização ou descentralização da administração do negócio? 
Distribuição ou concentração de poder? A forma como a organização trata a sua informação 
influencia na gestão da sua segurança.
• Plano estratégico da segurança: estando definido como a organização se estrutura, deve-se 
elaborar um planejamento estratégico de segurança para a organização. É o momento de 
definir políticas, responsabilidades, escopo dos recursos a serem protegidos, cenários a serem 
considerados e outros aspectos que servirão de contexto para o processo de segurança.
• Mapear as vulnerabilidades e priorizar as ações: com vários tipos de recursos envolvidos 
e várias plataformas tecnológicas, é fundamental um mapeamento para a identificação das 
vulnerabilidades e a definição de prioridades para a implementação de controles. Depen-
dendo do grau de maturidade da organização em relação à proteção da informação, essa é 
uma atividade que a própria organização pode desenvolver. Outra opção é a contratação de 
empresa de consultoria com experiência no assunto.
• Identificar os recursos necessários: muitas vezes se pensa apenas na aquisição de softwares 
e equipamentos. Eles são importantíssimos, porém muitas vezes é preciso de um recurso que é 
difícil de se comprar: tempo dos usuários. Todas as organizações necessitam, sem exceção, de 
tempo para que seus usuários estejam conscientizados em proteger a informação. Identificar e 
reservar tempo/esforço é a mais eficaz proteção da informação contra todas as situações adversas.
• Definir níveis de segurança: em segurança, normalmente, após uma série de melhorias é 
necessário mudar de patamar. Por exemplo: pode-se ter a melhor gestão de autenticação 
de usuário por meio de senha. Para melhorar esse nível, apenas mudando de patamar de 
controle com a utilização, por exemplo, de autenticação biométrica. Cada organização tem que 
definir que patamar de segurança é compatível com o seu negócio.
Assista
Acesse na plataforma o vídeo: Planejamento de segurança
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
14
Por fim, vale ressaltar pontos relevantes para a realização do planejamento estratégico. São eles, 
conforme Fontes (2008):
1) Conformidade com a regulamentação: todas as ações em Segurança da Informação devem 
respeitar a legislação vigente do País e não devem se chocar contra as políticas da organização.
2) Iniciativas de negócio: a realização do negócio da organização é a ação mais importante, da qual 
vem o sustento da empresa. A segurança deve garantir que o uso da informação nas diversas 
iniciativas de negócio esteja acontecendo de forma adequada para a vida da organização.
3) Estrutura: aqui cabe verificar se é possível a utilização de recursos humanos próprios (do 
mesmo departamento), de outras áreas para os projetos ou ainda de terceiros. Outro ponto 
focado na estrutura é conhecer, dentro da organização, como a área de Segurança da Infor-
mação se posiciona na estrutura organizacional.
4) Atuação: juntamente com a definição da estruturação, é necessário definir a forma e o escopo 
de atuação da área de Segurança da Informação. Normalmente, está bastante claro que o 
ambiente computacional deve ser contemplado, contudo existem assuntos que ficam em uma 
área duvidosa e que variam de organização para organização. Por exemplo: a proteção física, 
o ambiente convencional e a proteção de pessoas.
a) Arquitetura: o processo de Segurança da Informação deve seguir uma arquitetura. É 
importante que seja algo possível de ser implementado. Essa arquitetura possibilita a visão 
completa da abordagem da proteção. Basicamente, uma arquitetura é uma divisão estru-
turada dos itens que são passíveis de implantação de segurança.
b) Compromisso do usuário: o comprometimento do usuário é um pilar para que a Segu-
rança da Informação seja efetiva para a organização. Portanto, o usuário deve ser educado 
e treinado em Segurança da Informação.
c) Proteção de recursos: aqui se enquadram todos os procedimentos técnicos e não técnicos 
que farão acontecer a proteção da informação.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
15
Aprofunde-se
O artigo apresenta uma abordagem simples e direta sobre dicas de como e porque se 
criar um plano de Segurança da Informação.
Título: Como planejar a Segurança da Informação?
Acesso em: 03/05/2020.
Disponível em: https://www.itforum365.com.br/colunas/como-planejar-seguranca-da-informacao/
Figura 3 - Este é um modelo de planejamento estratégico, 
sendo passível de adaptações ao considerar a realidade de 
uma organização.
Fonte: adaptado de Fontes (2008).
https://www.itforum365.com.br/colunas/como-planejar-seguranca-da-informacao/
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
16
CONSIDERAÇÕES FINAIS
Como você pôde ver, a Segurança da Informação é imprescindível, seja no âmbito pessoal ou doméstico, 
bem como para qualquer organização que pretende que seu negócio seja perene no mercado.
A implantação da Segurança da Informação requer a criação de políticas e, principalmente, de um plane-
jamento alinhado com a cultura e os objetivos de uma organização. 
Conhecendo o essencial a respeito da Segurança da Informação, é importante, a partir daqui, que você 
conheça com mais detalhes quais processos e recursos estarão disponíveis e como utilizá-los para a 
implantação de segurança.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
17
GLOSSÁRIO
Custodiante: que ou quem detém sob custódia; que ou quem custodia. Em relação às equipes de TI, 
elas possuem a custódia da informação, porém não são donas dela.
Internet: rede de computadores dispersos por todo o planeta que trocam dados e mensagens utilizando 
um protocolo comum, unindo usuários particulares, entidades de pesquisa, órgãos culturais, institutos 
militares, bibliotecas e empresas de toda envergadura.
Segurança e auditoria de sistemas de informação | Unidade 1 - Introdução à segurança de sistemas de informação
18
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da Infor-
mação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de 
Janeiro: 2005.
FONTES, Edison L. G. Praticando a segurança da informação. Rio de Janeiro: Brasport, 2008.
SILVA NETTO, Abner da; SILVEIRA, Marco Antonio Pinheiro da. Gestão da segurança da informação: 
fatores que influenciam sua adoção em pequenas e médias empresas. Journal of Information Systems 
and Technology Management, v. 4, n. 3, p. 375-397, 2007. Disponível em: https://www.researchgate.
net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_
Pequenas_E_Medias_Empresas Acesso em: 27 abr. 2020.
https://www.researchgate.net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_Pequenas_E_Medias_Empresas
https://www.researchgate.net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_Pequenas_E_Medias_Empresas
https://www.researchgate.net/publication/26543807_Gestao_Da_Seguranca_Da_Informacao_Fatores_Que_Influenciam_Sua_Adocao_Em_Pequenas_E_Medias_EmpresasSegurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
19
Unidade 2 Sistemas sob ataque 
Objetivo de aprendizagem:
Introduzir ao aluno como a Segurança da Informação é atacada sob a ótica dos sistemas de informação.
Tópicos de estudo:
• Ferramentas de ataque;
• Brecha de segurança;
• Ataques maliciosos.
Iniciando os estudos:
Nesta unidade, se você entendeu a importância que a Segurança da Informação tem para as organiza-
ções, compreenderá como essa segurança pode ser afetada a partir de uma porta de entrada, hoje em 
dia, muito comum: os sistemas de informação.
Você saberá como indivíduos mal-intencionados utilizam ferramentas específicas para invadir os 
sistemas corporativos. Também conhecerá sobre as possíveis brechas de segurança exploradas por eles 
e quais tipos de ataques podem ser utilizados.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
20
1 FERRAMENTAS DE ATAQUE
Para que você compreenda melhor as ferramentas de ataque, é importante que você entenda o que é 
atacado. Se aqui se fala sobre a segurança da informação, apesar de parecer óbvio, não somente é a 
informação em si que sofre ataques, mas também os meios pelos quais ela trafega.
De maneira geral, o foco de ataques em uma organização são os ativos dela. Tanto para você quanto 
para uma organização, os ativos serão qualquer item que possua algum valor. Ressalta-se, é claro, que 
em uma organização, mesmo que cada item possua valor, seja um lápis ou um caderno, os ativos aqui 
considerados são aqueles que possuem valor monetário substancial. Os ativos de uma companhia que 
se enquadram nessa definição podem ser (KIM; SOLOMON, 2014):
• TI e infraestrutura de rede: constitui-se de hardware, software e serviços;
• Propriedade Intelectual (conhecida como IP, do inglês Intellectual Property): dados confi-
denciais como patentes, código-fonte, fórmulas ou projetos de engenharia, ou seja, o conteúdo 
intelectual produzido pela organização;
• Finanças e dados financeiros: contas bancárias, dados de cartão de crédito e de transações 
financeiras;
• Disponibilidade e produtividade de serviços: a capacidade de serviços computacionais e de 
software em dar suporte à produtividade para humanos e máquinas;
• Reputação: conformidade corporativa e a própria imagem da marca.
Por fim, mas não menos importante, é você saber quem em geral comete ataques contra ativos de uma 
organização. Pelo conhecimento popular e mídia não especializada, os hackers são reconhecidos como 
tais pessoas, porém não são esses que cometem ataques. Os responsáveis por tais ataques são conhe-
cidos como crackers.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
21
Portanto, quero esclarecer para você esta possível confusão. Os hackers são pessoas que usam seus 
conhecimentos para benefício próprio, para trabalhar, para ajudar outras pessoas. Já os crackers 
(do inglês cracking, que significa quebra) por vezes são conhecidos como Piratas Virtuais, pois usam 
seus conhecimentos para violar sistemas ou redes. Resumindo: podemos dizer que hackers atuam de 
maneira positiva, descobrindo problemas de segurança e criando soluções, enquanto os crackers são 
criminosos que se utilizam dos sistemas para ataques e atividades maliciosas contra organização ou 
pessoas (COURI, 2011).
Uma vez conhecido o alvo dos ataques e quem os pratica, ter o conhecimento da maneira como esses 
ataques são realizados pode facilitar a criação de métodos para a prevenção e a defesa desses ataques. 
Na prática, várias organizações utilizam as mesmas ferramentas dos atacantes para ajudar a descobrir 
pontos fracos que precisam de melhorias. Ressalta-se que a prevenção, principalmente em laboratório, 
é melhor que se deparar diretamente com ataques desse tipo em ambientes de produções reais. As 
técnicas utilizadas por crackers e indivíduos maliciosos são variadas, utilizando tanto hardware quanto 
software. Elas podem incluir (KIM; SOLOMON, 2014):
• Programas para varredura (scanners) de vulnerabilidade: coletam dados e informações 
sobre pontos fracos que possam existir em um computador ou uma rede. O programa funciona 
enviando mensagens preparadas para selecionar computadores em específico. Ao responder 
Figura 1 - Há pessoas com capacidades técnicas de 
violar e explorar falhas de segurança em sistemas. 
Comumente, atendem pelo nome de hackers ou 
crackers, porém há uma diferença entre eles.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
22
à mensagem, o computador sinaliza que existe um ponto vulnerável. Em geral, os dados aqui 
coletados são utilizados para decisão de quais ataques podem surtir melhores efeitos.
• Programas para varredura de porta: também são utilizados para identificar quais portas 
estão vulneráveis a ataques e a invasões não autorizadas dessas máquinas. Por meio desse 
tipo de ataque, é possível conhecer quais portas estão ativas e ainda saber quais programas 
estão em execução. Por exemplo: o banco de dados MySQL responde ao usuário na porta 3306.
• Farejadores (sniffers): um farejador é um programa de software que monitora e pode até 
registrar todo o tráfego de uma rede. As principais informações procuradas pelos crackers são 
credenciais de acesso como nomes de usuários, senhas e dados pessoais. Há versões disponíveis 
em hardware, em software ou com os formatos combinados. É geralmente invisível ao usuário.
Aprofunde-se
Este artigo explora o tema sniffers, apresentando como acontece sua “infecção”, seu 
rastreamento e como é possível excluir essa ameaça.
Título: O que é sniffer? Como se proteger!
Acesso em: 27/05/2020
Disponível em: https://blog.starti.com.br/sniffer/
• Programa para captura de teclado (keyloggers): é um programa que registra cada toque 
executado no teclado em um arquivo de histórico (log). Após o registro, o programa pode 
enviar a alguém de má índole que fará uso das informações registradas. São instalados em 
computadores por meio de spywares (software espião). Um keylogger pode ser uma peça de 
hardware, espécie de adaptador, colocado antes da conexão com o teclado propriamente dito. 
Tem uma desvantagem em relação à sua versão software, pois exige a remoção do dispositivo 
fisicamente para se ter acesso às informações.
Assista
Acesse na plataforma o vídeo: Ferramentas e métodos de ataque
https://blog.starti.com.br/sniffer/
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
23
2 BRECHA DE SEGURANÇA
Mesmo utilizando-se de medidas de prevenção a ataques, uma organização pode ainda ter seus sistemas 
atacados ou invadidos. Qualquer incidente que por ventura tenha resultado na quebra de aspectos de 
segurança, como disponibilidade, integridade e confidencialidade, é uma brecha de segurança. Podem 
ocorrer também falhas acidentais em sistemas de hardware ou software. De qualquer maneira, seja de 
propósito ou de maneira acidental, qualquer uma dessas brechas pode afetar a capacidade de operação 
de uma organização, inclusive até arranhar a sua imagem. Considerando os tipos de incidentes que são 
causadores de brechas de segurança, podemos citar (KIM; SOLOMON, 2014): 
• Ataques de negação de serviço (DoS);
• Ataques de negação de serviço distribuída (DDoS);
• Comportamento inaceitável de navegador web;
• Espionagem telefônica (wiretapping);
• Uso de uma porta dos fundos para acessar recursos;
• Modificações acidentais em dados.
2.1 ATAQUES DE NEGAÇÃO DE SERVIÇO
Do inglês Denial of Service, esse tipo de incidente leva ao impedimento de acesso aos usuários que 
possuem permissão para acessar um determinado sistema ou serviço provido por um sistema. É um tipo 
de atividade que faz com que um computador, mais especificamente um servidor, execute uma tarefa 
simples, excessiva, por vezes. Essa quantidade de execuções faz com que o sistema fique indisponível, 
tornando consequentemente o serviço que ele provê também indisponível aos usuários. Em geral,essas 
execuções enchem o disco rígido, causam estouro de memória ou ainda reduzem a velocidade da CPU do 
computador atacado. Dois tipos comuns de ataques de negação de serviço são (KIM; SOLOMON, 2014):
• Ataques lógicos: utilizam falhas em software para comprometer a execução de servidores 
remotos. É possível neutralizar esse tipo de ataque atualizando correções disponibilizadas 
pelo fabricante do sistema e o mantendo sempre atualizado.
• Ataques de inundação: seu alvo é a CPU, a memória e os demais recursos presentes no compu-
tador, para os quais são enviados muitos comandos simples, exaustivamente, sem função 
alguma ao sistema, porém que exigem processamento, sobrecarregando o recurso atingido.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
24
Maneiras de se defender de um ataque de negação de serviço envolvem a utilização de um software 
conhecido como Sistema de Prevenção de Intrusos (IPS - Intrusion Prevention System) ou dispositivos 
para detectar e impedir o ataque. Software e dispositivos de Sistema de Detecção de Intrusos (IDS - Intru-
sion Detection System) também podem detectar ataques de DoS e alertá-lo quando eles estiverem em 
progresso. Ataques de negação de serviço procuram em geral pontos fracos de uma arquitetura de um 
servidor ou sistema e não necessariamente uma falha de segurança nele. Vale ainda mencionar que há 
outro tipo de ataque popular, conhecido por smurfing, que utiliza difusão direcionando tráfego de rede 
para o computador-alvo.
Ataques DoS podem ser originados tanto de fontes internas quanto de fontes externas, mas a maioria 
origina-se de fontes externas e anônimas. Analistas de segurança usam métodos agressivos para que 
sistemas de uma organização sejam utilizados para propósitos maliciosos. Além disso, alguns prove-
dores de conteúdo web e fabricantes de dispositivos de rede agora incluem novas regras projetadas 
para impedir ataques de DoS em seus produtos e em configurações de fábrica.
Figura 2 - Ataques de negação de serviço (DoS).
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
25
2.2 ATAQUES DE 
NEGAÇÃO DE SERVIÇO DISTRIBUÍDA
Esse ataque, conhecido como DDoS, é uma variação do DoS, porém seu escopo é maior. Aqui, são 
atacados centenas ou até mesmo milhares de computadores internet afora. A extensão dos danos aqui 
é maior do que no DoS, pois diversos computadores podem ser atingidos.
Os alvos preferidos neste caso são grandes organizações e universidades. A gravidade dessa ameaça é 
grande, o que faz com que sua prevenção seja o foco de organizações e empresas que vendem produtos 
de segurança. Por fim, esses ataques possuem uma característica que os torna mais difíceis de se evitar: 
se originam de diferentes fontes.
Aprofunde-se
Neste vídeo, é possível, por meio de animações, compreender melhor como funciona um 
ataque de negação de serviço.
Título: DoS ou DDoS - Ataque de negação de serviço
Acesso em: 14/05/2020.
Disponível em: https://youtu.be/d465HIMEDKM
Figura 3 - Ataques de negação de 
serviço distribuída (DDoS).
https://youtu.be/d465HIMEDKM
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
26
2.3 NAVEGAÇÃO WEB INACEITÁVEL
Esta brecha refere-se à utilização de um navegador web de maneira incorreta ou não aceitável. As orga-
nizações possuem políticas de segurança que estabelecem o uso dos recursos de maneira aceitável 
(AUP, do inglês Acceptable Use Policy). Exemplos de uso que possam ferir políticas são usuários não 
autorizados que procuram por arquivos ou navegação em sites de redes sociais proibidos, de acordo 
com a política. A AUP estabelece quais ações tomadas pelos usuários são brechas de segurança (KIM; 
SOLOMON, 2014).
2.4 ESPIONAGEM TELEFÔNICA
As linhas telefônicas e de dados podem ser alvo também, por meio de grampos, de atacantes. Esse tipo 
de espionagem pode ser ativo, no qual um atacante faz alterações na linha, ou ainda passivo, no qual um 
usuário não autorizado pode escutar a transmissão, sem, no entanto, alterar seu conteúdo. Uma invasão 
passiva pode incluir a gravação dos dados para um ataque posterior.
2.5 PORTA DOS FUNDOS
Para facilitar o suporte de computadores, algumas vezes, remotamente, desenvolvedores implementam 
em programas funções ocultas que possibilitam o acesso remoto a recursos dos computadores que 
instalam tais programas. A essas funções damos o nome de porta dos fundos. O problema que envolve 
essas funções é que nem sempre estão completamente ocultas e indivíduos mal-intencionados podem 
fazer uso delas sem que tenham que quebrar sistemas de segurança, travas e senhas. Aqueles que 
praticam ataques por meio de porta dos fundos comprometem também um computador ao instalar 
seus próprios programas, tornando mais fácil o controle e a invasão aos computadores atacados.
2.6 MODIFICAÇÕES DE DADOS
Brechas de segurança podem ocorrer por meio de alterações parciais que tenham acontecido por 
acidente, comprometendo a integridade de dados, ou por meio da simples manutenção de valores 
incorretos armazenados em um sistema. Dados podem ser corrompidos quando, por exemplo, vários 
processos de um sistema podem tentar atualizar tais dados ao mesmo tempo. Nesse exemplo, uma 
senha pode ser gravada de forma diferente de como foi digitada, facilitando uma invasão ou quebra.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
27
Reflita
De acordo com a matéria “Brasil é país mais afetado por novo golpe de sequestro de 
arquivos; entenda”, em 2018, o País foi um dos mais afetados por um novo golpe malicioso 
contra sistemas de informação. Computadores eram invadidos, os dados deles eram 
então codificados em palavras ilegíveis, o que tornava, assim, o computador praticamente 
inoperante. Além disso, o criminoso fornecia um e-mail para que pudesse exigir o 
pagamento de uma espécie de resgate para a decodificação dos dados.
2.7 DESAFIOS DE SEGURANÇA ADICIONAIS
Outras brechas de segurança podem trazer novos desafios para que as pessoas e as organizações 
tenham seus ambientes seguros. Essas brechas atendem pelos seguintes nomes: spam, hoaxes, spyware 
e até mesmo informações locais gravadas por navegadores web (cookies). Esses itens podem ocorrer 
sozinhos ou até mesmo combinados.
2.7.1 SPAM
O spam nada mais é do que uma mensagem de correio eletrônico (e-mail) ou mensagens de aplicativos 
indesejadas. A maior parte dessas mensagens são de conteúdo comercial e de teor duvidoso, com os 
mais diversos temas. O envio geralmente possui custo baixo, porém traz inconvenientes para os prove-
dores de serviços de internet, pois as mensagens de spam ocorrem em um volume alto, implicando em 
custos para o seu processamento.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
28
Uma técnica comum utilizada pelos spammers (pessoas que enviam spam) é o uso de software, que gera 
uma lista de possíveis endereços de e-mail. Ele então dispara essas mensagens e, por meio de um link 
web “Clique aqui para cancelar este e-mail”, registra então o endereço como válido, criando uma lista de 
alvos reais. Além de inconveniente, o spam reduz a produtividade de organizações e desperdiça recursos, 
representando um desafio para a área de segurança de TI. Entretanto, com relação a essa brecha de 
segurança atualmente, você poderá encontrar softwares e dispositivos capazes de lidar com spams.
2.7.2 HOAXES
O hoax (boato) ou ainda fake news (notícias falsas) são mensagens, enviadas por e-mail ou publicadas 
em redes sociais, que têm por objetivo enganar o seu receptor. Hoaxes não necessariamente infectam 
sistemas, como vírus e afins, porém é possível perder um tempo valioso no tratamento deles, respon-
dendo e até acreditando nessas mensagens. Um ponto importante é que podem ser espalhadas pelos 
próprios receptores a outros usuários. A melhor maneira de evitar hoaxes é solicitar que não espalhem 
essas informações, checando os seus conteúdos e a origem,evitando caixas postais cheias e dissabores 
a outras pessoas.
Figura 4 - Spams espalham-se por diversas caixas 
postais de correio eletrônico e em alta quantidade.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
29
2.7.3 COOKIES
Cookies são arquivos de texto utilizados para navegadores web para armazenar informações sobre 
endereços de sites web e portais visitados no computador do usuário. Essas informações podem ser 
resultados de uma pesquisa, links clicados e demais dados digitados, como o número de cartão de 
crédito, por exemplo. O problema de segurança dos cookies reside no armazenamento de dados sensí-
veis e pessoais do usuário em arquivos texto, que podem ser facilmente recuperados por alguém que 
tenha acesso a esse computador. Para mitigar essa questão, você pode limitar o seu acesso a sites web 
nos quais confia, apagar o seu histórico de navegação e a cache do navegador esporadicamente, ou de 
modo mais rígido, até impedir a gravação de cookies em seu computador.
Assista
Acesse na plataforma o vídeo: Desafios de segurança: brechas da internet
3 ATAQUES MALICIOSOS
Um ataque é bem-sucedido quando explora alguma brecha ou ponto vulnerável de um sistema ou rede 
de uma organização. De maneira geral, ataques podem contemplar quatro tipos e podem se apresentar 
como um tipo em específico ou em mais de um tipo simultaneamente. Os tipos de ataque são (KIM; 
SOLOMON, 2014):
• Fabricações: envolvem a criação de algum esquema de fraude de modo a ludibriar usuários;
• Interceptações: envolvem a escuta de transmissões e o redirecionamento delas para fins 
não autorizados;
• Interrupções: causam a quebra de um canal de comunicação, impedindo a transmissão de dados;
• Modificações: são alterações de dados existentes nas transmissões ou ainda em arquivos de 
um sistema de armazenamento.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
30
As tentativas de ataque ainda podem ser classificadas como ativas ou passivas. Ambas as classificações 
trazem inconvenientes para uma infraestrutura de TI (computadores, servidores e dispositivos de rede). 
Ao classificar um ataque como ativo, indica-se que há em curso uma tentativa de modificação de dados 
ou tentativas de obtenção de acesso não autorizado a algum item da infraestrutura de TI. Na classifi-
cação passiva, em geral, indica-se que há em curso uma interceptação ou monitoramento de dados por 
meio da rede, todavia não há indicação de alterações em algum sistema. Desse modo, ataques classi-
ficados como ativos podem provocar maiores danos. Entre os ataques ativos mais comuns existentes, 
você pode encontrar:
• Ataques de força bruta: aqui, o atacante, por meio de um software, testa todas as combina-
ções que possam conter letras e números para descobrir logins e senhas de acesso ou decifrar 
uma chave de um sistema.
• Ataques de dicionário: atacantes utilizam palavras conhecidas de um dicionário para tentar 
descobrir senhas, já que a maioria dos usuários utilizam palavras comuns, o que favorece esse 
tipo de ataque.
• Falsificação de endereço: também conhecida como spoofing, acontece quando um atacante 
tenta enganar uma rede, configurando um computador externo a ela como se fosse interno, 
com a intenção de acessar recursos dessa rede.
• Sequestro: em uma comunicação entre dois computadores, o atacante assume o controle 
de uma sessão de troca de mensagens e faz com que o seu computador se passe por um dos 
computadores originais.
• Ataques de retransmissão: envolve a captura de pacote em uma transmissão e o seu poste-
rior reenvio para causar algum dano ou indisponibilidade de um sistema.
• Ataques de homem no meio: similar ao sequestro, porém aqui o atacante, ao interceptar 
mensagens, se passa por um receptor confiável e encaminha mensagens do computador 
atacado (que acredita estar em comunicação com um endereço autêntico) para o destino que 
quiser, armazenando dados como senhas e cartões. Para enganar o computador atacado, o 
atacante também se conecta com o destino real e transmite os dados para esse destino.
• Interceptação: também conhecida como sniffing, acontece com uma interface de rede (uma 
placa) que é colocada em modo promíscuo. Isso significa que essa placa fica observando todos 
os pacotes que passam por ela e os grava para posterior análise.
• Engenharia social: a engenharia social não é exclusivamente uma técnica computacional, mas 
sim algo humano. Consiste em enganar alguém, de modo que o enganado execute algo que 
favoreça um atacante. Um e-mail pode conter uma mensagem indicando que, ao clicar, você 
receberá desconto em alguma loja de e-commerce. Ao clicar, você instala um software mali-
cioso. Esse tipo de golpe pode inclusive fazer uso de credenciais falsas de um vendedor e se 
passar por ele.
• Phishing: a palavra phishing é uma alusão à palavra fishing (em inglês, pescar). Aqui, o atacante 
envia uma mensagem (uma isca) que leva a vítima a um endereço de um site supostamente 
verdadeiro, como o site de um banco, que tem a aparência idêntica ao verdadeiro. Nesse local 
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
31
falsificado, a vítima geralmente digita números de contas e senhas, entregando ao atacante 
dados preciosos.
• Phreaking: é uma técnica que explora falhas em redes e sistemas de telefonia.
• Pharming: similar ao phishing, porém a técnica é mais refinada. Ao invés de apenas copiar um 
site real, o atacante aqui também sabota um servidor DNS, de modo que, mesmo que alguém 
digite o endereço correto de um determinado site diretamente na barra do navegador, ele é 
redirecionado ao site falso do atacante. É inclusive uma técnica difícil de se detectar.
Parte de vários tipos de ataques, é possível se deparar com softwares maliciosos ou malwares. Esse tipo 
de software tem por finalidade causar algum dano ou corromper um sistema. A extensão dos danos 
causados pelos malwares vão desde lentidão em um computador até o roubo de dados privativos, como 
senhas e números de cartão de crédito. Você pode introduzir um malware em seu computador por 
meio do simples fato de navegar na internet, baixar músicas e demais arquivos, inclusive sem o seu 
conhecimento ou consentimento. Entre os tipos de malware existentes, temos aqueles conhecidos como 
softwares de infecção, que tentam realizar cópias de si mesmo para outros computadores. Se enqua-
dram nesse tipo:
• Vírus: esse software assim é conhecido por ter comportamento similar a um vírus biológico. 
Por meio de um software infectado (é o hospedeiro do vírus, um programa com código-fonte 
adulterado, com instruções maliciosas), é copiado para um computador (seja por pen drive, 
internet) e executado. Ao ser executado, o trecho malicioso desse software age, copiando-se 
para outro executável e para outro computador, se estiver em rede. Esse trecho malicioso 
Figura 5 - Phishing.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
32
pode ter diversos fins, causar estouro de memória, formatar o disco do computador e copiar 
dados do usuário.
• Vermes: similares aos vírus, contudo não requerem um software infectado como hospedeiro. 
Aqui, o software malicioso é o próprio verme e possui as mesmas características de cópia e 
finalidade mencionadas nos vírus.
Aprofunde-se
Este vídeo traz uma lista dos vírus mais famosos desde a década de 80 até os dias atuais. 
Um ponto interessante é que o vídeo apresenta também quais eram os problemas que 
esses programas maliciosos causavam aos computadores.
Título: 6 dos vírus de computador mais icônicos da história - TecMundo
Acesso em: 15/05/2020.
Disponível em: https://youtu.be/P-m_DM3WnLA
Outro tipo conhecido de malware são os softwares de ocultação, que por sua vez permanecem ocultos 
no computador vítima, executando instruções acionadas por um atacante remoto. São exemplos desse 
software de ocultação:
• Cavalos de troia: possuem esse nome por fazerem referênciaa um elemento contido na 
Guerra de Troia, presente na Mitologia Grega. É um programa que se disfarça como um utili-
tário, porém, ao ser executado, roda códigos maliciosos. Em geral, coleta informações do 
usuário, abre portas ou transmite arquivos sem o conhecimento do usuário.
Figura 6 - Os cavalos de troia são assim chamados em referência ao 
famoso elemento da Mitologia Grega. Um presente que guardava 
uma surpresa nada agradável em seu interior.
https://youtu.be/P-m_DM3WnLA
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
33
• Rootkits: são tipos novos de malware e surgiram no início dos anos 90. Esse malware altera 
ou troca um ou mais softwares existentes em vários níveis do sistema para ocultar indícios 
de ataques. Rootkits fornecem a atacantes acesso para computadores infectados realizarem 
ataques adicionais. Dado que existem diversos tipos, a sua detecção e remoção são tarefas 
difíceis de serem realizadas.
• Programas espiões ou spyware: é um malware que atinge especificamente o aspecto de confi-
dencialidade de informações. Normalmente, vem embarcado em outros softwares, como o 
shareware ou o freeware, quando os obtemos pela internet. Age de maneira similar ao cavalo 
de troia. Basicamente, captura informações do usuário, como senhas, números de cartões de 
crédito e endereços de e-mail. Outros malefícios trazidos pelos programas espiões são: moni-
torar toques de teclas, varrer arquivos no disco rígido, bisbilhotar outros aplicativos, instalar 
outros programas espiões, ler cookies e ainda substituir a home page padrão do navegador web.
Diante de tudo o que foi apresentado, você, como um usuário ou um analista de segurança, não pode 
ficar inerte. É necessário dispor de recursos que permitam detectar vulnerabilidades, impedir ataques 
e estabelecer soluções de contorno para a comunidade de usuários. Para os malwares, em específico, 
você pode tomar as seguintes medidas, listadas no infográfico abaixo:
Assista
Acesse na plataforma o vídeo: Medidas de contra-ataque
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
34
Infográfico 1 - Malware.
Fonte: adaptado de Kim e Solomon (2014).
ED+ Content Hub © 2020
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
35
CONSIDERAÇÕES FINAIS
Como você viu, os desafios em questões de segurança atualmente são vastos. Há os mais diversos 
tipos de ameaça, desde programas fraudulentos, golpes e acessos indevidos até roubo de dados. Todo 
cuidado é pouco quando o assunto é Segurança da Informação, de modo que a prevenção, em muitos 
casos, pode ser a melhor solução.
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
36
GLOSSÁRIO
Modem: é um dispositivo de hardware que converte dados em um formato adequado para um meio de 
transmissão, de forma que possam ser transmitidos de um computador para o outro (historicamente, 
por meio de cabos telefônicos).
Segurança e auditoria de sistemas de informação | Unidade 2 - Sistemas sob ataque
37
REFERÊNCIAS
COURI, G. F. Crimes pela internet. Disponível em: https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclu-
sao/2semestre2009/trabalhos_22009/GustavoFuscaldoCouri.pdf Acesso em 12 mai. 2020.
KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de sistemas de informação. Tradução: Daniel 
Vieira. São Paulo: LTC, 2014.
UOL. Brasil é país mais afetado por novo golpe de sequestro de arquivos; entenda. Disponível em: 
https://www.uol.com.br/tilt/noticias/redacao/2018/07/18/novo-golpe-de-sequestro-de-arquivos-afeta-princi-
palmente-o-brasil.htm Acesso em: 21 mai. 2020.
https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclusao/2semestre2009/trabalhos_22009/GustavoFuscaldoCouri.pdf
https://www.emerj.tjrj.jus.br/paginas/trabalhos_conclusao/2semestre2009/trabalhos_22009/GustavoFuscaldoCouri.pdf
https://www.uol.com.br/tilt/noticias/redacao/2018/07/18/novo-golpe-de-sequestro-de-arquivos-afeta-principalmente-o-brasil.htm
https://www.uol.com.br/tilt/noticias/redacao/2018/07/18/novo-golpe-de-sequestro-de-arquivos-afeta-principalmente-o-brasil.htm
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
38
Unidade 3 Implementação de segurança em sistemas de informação 
Objetivo de aprendizagem:
Apresentar ao aluno meios possíveis de operacionalizar e internalizar a segurança em sistemas de informação.
Tópicos de estudo:
• Controle de acesso;
• Administração de segurança;
• Ética profissional.
Iniciando os estudos:
Uma vez que você tenha compreendido a importância de possuir segurança para a sua informação, seja 
em um negócio ou até mesmo dentro do âmbito pessoal, agora é necessário entender como essa segu-
rança pode ser implementada nos sistemas que trabalham e processam informações.
Nesta unidade, você aprenderá conceitos importantes que são utilizados em implantação de segurança 
nos sistemas de informação, bem como quem são os responsáveis por implementar as políticas.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
39
1 CONTROLES DE ACESSO
Dentro do contexto de Segurança da Informação, os controles de acesso são mecanismos utilizados por 
um analista de segurança (ou um administrador responsável por fazer a gestão da segurança) para que 
ele conceda ou restrinja o acesso a recursos que exijam proteção. De modo geral, os controles de acesso 
permitem que recursos sejam utilizados por quem possua permissão para isso. Dessa forma, protege-se 
o recurso contra um possível uso não autorizado.
Uma organização requer controles de acesso para estabelecer quem são os usuários dos sistemas 
(sejam pessoas ou ainda outros sistemas), o que eles podem fazer e quais operações podem ser execu-
tadas nesses sistemas. Fazem parte do rol de sistemas de controle de acesso uma gama de tecnologias 
que vão desde o uso de senhas, tokens, biometria e certificados. Vale ressaltar que um acesso pode 
ser concedido a ativos físicos, como edificações ou escritórios, computadores, sistemas de informação 
e dados. Segundo Kim e Solomon (2014), para a criação de controles de acesso, são necessários os 
seguintes processos:
• Autorização: definição de quem possui acesso e o que é possível utilizar;
• Identificação: definição de como os detentores de acesso são identificados;
• Autenticação: definição de como quem possui acesso pode ter sua identidade confirmada;
• Responsabilização: associação de ações a usuários para elaboração de relatórios de segu-
rança e pesquisas.
Esses processos ocorrem em duas etapas:
1) Definição de política: é determinado quem obterá acesso aos sistemas e aos recursos requi-
sitados para a utilização. O processo de autorização acontece nessa etapa.
2) Imposição de política: são concedidas ou rejeitadas as solicitações de acesso, com base 
naquilo que foi definido na etapa anterior. Os processos de identificação, autenticação e 
responsabilização acontecem nesta fase.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
40
1.1 TIPOS DE CONTROLE DE ACESSO
Você pode encontrar dois tipos de controle de acesso: o controle de acesso físico e o controle de acesso 
lógico. O controle de acesso físico se refere a controles para acesso em instalações, edifícios, estaciona-
mentos, salas e demais dependências que são de uso restrito. Um exemplo é a utilização de chave até o 
uso de smart cards para a abertura de portas (KIM; SOLOMON, 2014).
Já o controle de acesso lógico se refere a controles que concedem acesso a um sistema computacional 
ou de rede. Você provavelmente encontrará em empresas a exigência de utilizar um nome de usuário e 
fornecer uma senha para conseguir utilizar um computador ou notebook. Outros exemplos de acesso 
lógico podem incluir funcionalidades específicas nos sistemas, como a inclusão de novos registros ou 
apenas a edição, ou ainda a repetiçãode uma senha errada por bloquear o acesso ao sistema.
Um mecanismo conhecido de implementação de controles de acesso, tanto físico quanto lógico, é o 
monitor de referência (ANDERSON, 1972). Ele atua como um mediador para toda e qualquer tentativa 
de acesso a objetos do sistema, por meio da consulta a políticas de segurança para conceder ou negar 
acesso. No infográfico a seguir, você pode ver como é o mecanismo do monitor de referência:
Figura 1 - Fazem parte do rol de sistemas de controle de 
acesso uma gama de tecnologias que vão desde o uso 
de senhas, tokens, biometria e certificados.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
41
Ressalta-se que, por desempenhar o papel de mediador entre a requisição do usuário e os objetos 
demandados para o acesso, o monitor de referência define um elemento de sistemas de segurança 
conhecido como núcleo de segurança, o qual pode envolver o hardware, o software e o firmware e é 
crucial que tenha as seguintes características (KIM; SOLOMON, 2014):
• Inviolável;
• Não contornável (toda requisição deve passar por ele);
• Pequeno e leve o suficiente para facilitar a sua manutenção.
Infográfico 1 - Mecanismo de controle de acesso.
Fonte: adaptado de Kim e Solomon (2014) e Macêdo (2012).
ED+ Content Hub © 2020
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
42
1.2 POLÍTICAS DE CONTROLE DE ACESSO
As políticas de controle de acesso são conjuntos de regras que concedem permissão a um determinado 
grupo de usuários para realizar um conjunto de ações sobre determinados recursos. Se os usuários não 
obtiverem permissão, não terão acesso ao recurso de sistema demandado.
Você pode utilizar as políticas de controle de acesso para minimizar e gerenciar os riscos de segurança, 
as quais podem ser utilizadas tanto por outros sistemas quanto por usuários humanos. Para um melhor 
gerenciamento das políticas de controle de acesso, você precisa entender quatro elementos (KIM; 
SOLOMON, 2014):
• Usuários: utilizadores do sistema;
• Recursos: objetos do sistema que são protegidos e só podem ser acessados por sujeitos com 
permissão de acesso;
• Ações: atividades que usuários, com a devida permissão, podem realizar sobre os recursos;
• Relacionamentos: condições opcionais que existem entre os usuários e os recursos. Por 
exemplo, um usuário autorizado pode realizar a leitura, a escrita ou a execução de um recurso.
1.2.1 AUTORIZAÇÃO
A primeira etapa para controlar o acesso de usuários é a criação de uma política que define as regras de 
autorização. Essas políticas são decididas principalmente por políticas de inclusão em grupo ou políticas 
em nível de autoridade.
Na política de inclusão em grupo, a autorização é definida em relação aos grupos dos quais você faz parte. 
Por exemplo, somente os crachás do pessoal de TI conseguem abrir a sala de estoque de monitores. 
Já na política em nível de autoridade, a autorização é definida por graus de autoridade. Por exemplo, 
somente o crachá do analista de TI sênior pode acessar a sala de servidores, que requer um cuidado 
maior do que o estoque dos monitores (KIM; SOLOMON, 2014).
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
43
1.2.2 IDENTIFICAÇÃO
Assim que a política de autorização é definida, é necessário colocá-la em prática. Para isso, o primeiro 
passo é impor ao usuário um método que o identifique perante o sistema. Esse método pode ser um 
nome de usuário (que deve ser exclusivo), um PIN (Número de Identificação Pessoal) ou um cartão inte-
ligente (disponibilizado como um crachá ou um cartão similar ao cartão de crédito).
A biometria, que se baseia em características físicas ou comportamentais, também pode ser empregada 
para a identificação de usuários. Esse método pode utilizar as impressões digitais, o reconhecimento 
facial ou de voz, o DNA, a caligrafia, as varreduras de retina e até mesmo o odor/fragrância corporal.
Por fim, uma vez que os usuários podem ser identificados exclusivamente, suas ações na utilização 
de recursos podem ser registradas. E assim que registradas, essas ações são objeto de análise de um 
processo conhecido por auditoria (KIM; SOLOMON, 2014).
Aprofunde-se
Este artigo explica os motivos de utilizar a gestão de identidade nas organizações.
Título: O que é gestão de identidade e por que adotá-la em sua empresa?
Acesso em: 24/05/2020.
Disponível em: https://bit.ly/37Y5FPO
Figura 2 - Na política de inclusão em grupo, a autorização é 
definida em relação aos grupos dos quais você faz parte.
https://bit.ly/37Y5FPO
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
44
1.2.3 AUTENTICAÇÃO
A próxima etapa, após a identificação, é autenticar o usuário. Um usuário deve provar sua identidade, o 
que remete à pergunta seguinte: os usuários são realmente quem dizem ser? A autenticação prova que 
aquele que solicita o acesso é o mesmo que recebeu o direito de acesso. Sem a autenticação, você jamais 
saberá se um usuário é realmente quem diz ser. Existem três tipos de autenticação (KIM; SOLOMON, 2014):
• Conhecimento: algo que você saiba, como uma senha, uma frase secreta ou um PIN;
• Propriedade: algo que você tenha, como um cartão inteligente, uma chave, um crachá ou um token;
• Características: algo exclusivo a você, como suas impressões digitais, sua retina ou sua assi-
natura. Como as características envolvidas normalmente são físicas, esse tipo de autenticação 
às vezes é definida como algo que você é.
Aprofunde-se
Esta matéria apresenta vantagens e desvantagens no uso de biometria para a implantação 
de Segurança da Informação.
Título: Uso de dados biométricos aumenta a segurança, e também os riscos
Acesso em: 24/05/2020.
Disponível em: https://bit.ly/3fWH9RN
Figura 3 - A utilização de leitura de digitais é um 
tipo de autenticação que utiliza as características 
exclusivas do ser humano.
https://bit.ly/3fWH9RN
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
45
1.2.4 RESPONSABILIZAÇÃO
Na última etapa do processo de controle de acesso (responsabilização), há o registro de uma ação, seja 
de um usuário ou sistema, em determinado recurso ou dado protegido. A realização dessa etapa é impor-
tante, pois fornece insumos para eventuais investigações, análises e auditorias, além de servir para a iden-
tificação de erros. Nos arquivos de histórico (log files), é importante detalhar informações, como quem 
acessou um sistema, quando e quais recursos ou informações foram utilizados (KIM; SOLOMON, 2014).
1.3 AMEAÇAS A CONTROLES DE ACESSO
Por fim, todo e qualquer dispositivo de segurança, incluindo controles de acesso, estão sujeitos a ameaças 
que tenham por objetivo superá-los ou eliminá-los para a obtenção de recursos protegidos. Você poderá 
encontrar as seguintes ameaças aos controles de acesso:
• Acesso físico: se alguém obtiver acesso físico a um dispositivo, um controle de acesso lógico 
não terá utilidade. Dados poderão ser copiados ou roubados diretamente;
• Interceptação ao observar: dados escritos em papel sobre uma mesa ou na tela de um 
usuário autorizado estão abertos a um espião;
• Contorno da segurança: analistas de Segurança da Informação precisarão considerar vários 
caminhos de acesso. Por exemplo, atacantes podem mapear uma unidade (via rede) ou efetuar 
o acesso no teclado de um servidor (diretamente no local);
• Exploração de hardware e software: atacantes normalmente tentam instalar programas 
maliciosos em sistemas de modo a obterem controle sobre o hardware e o software desses 
sistemas, para ampliar seu leque de ações ilícitas;
• Reutilização ou descarte de mídia: é mais seguro e barato triturar documentos e destruir 
mídias (CD e DVD) fisicamente do que jogá-las fora;
• Interceptação eletrônica: atacantespodem interceptar acessos por meio de grampos em 
cabos da rede ou utilizar a técnica de sniffing;
• Acesso a redes: redes normalmente incluem conexões desprotegidas, inclusive físicas (como 
plugs em placas de rede). Intrusos podem usar essas conexões conectando dispositivos direta-
mente nelas para obter acesso indevido a uma rede;
• Exploração de falhas em aplicativos: vários programas e módulos possuem uma falha de 
programação comum, conhecida como estouro de memória temporária (buffer). Existem ainda 
outras falhas e erros em aplicativos passíveis de fornecer uma brecha de segurança a atacantes.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
46
Assista
Acesse na plataforma o vídeo: Controles de acesso em perigo
2 ADMINISTRAÇÃO
A administração de segurança em uma organização é composta por um grupo de indivíduos respon-
sáveis por planejar, projetar, implementar e monitorar um plano de segurança. Para estabelecer esta 
equipe, é necessário identificar os ativos da organização. Após documentá-los, você deve atribuir um 
responsável ou uma responsabilidade para cada, seja uma pessoa, um cargo ou uma função. Definidos 
os ativos e seus responsáveis, a equipe administrativa então poderá ser reunida e determinará o grau 
de proteção que cada ativo deverá possuir.
A tarefa primordial da equipe de administração de segurança de uma organização é controlar o acesso 
aos sistemas e aos recursos protegidos. Para implementar esse controle, a equipe utilizará os aspectos 
que você viu no tópico anterior, como identificação, autenticação, autorização e responsabilização, esta-
belecendo os melhores dispositivos de segurança disponíveis (KIM; SOLOMON, 2014).
Figura 4 - A tarefa primordial da equipe de administração 
de segurança de uma organização é controlar o acesso aos 
sistemas e aos recursos protegidos.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
47
Aprofunde-se
Esta matéria mostra um panorama da profissão do analista em Segurança da Informação, 
seus requisitos e a descrição da carreira.
Título: O que faz um analista de Segurança da Informação e quanto ganha em média?
Acesso em: 24/05/2020.
Disponível em: https://bit.ly/2NsLjER
2.1 DOCUMENTAÇÃO, 
PROCEDIMENTOS E DIRETRIZES
Para efetivamente tomar as melhores opções disponíveis e atuar na administração de segurança, a 
equipe de administração requer que vários tipos de documentos estejam disponíveis. De maneira geral, 
os documentos necessários são (KIM; SOLOMON, 2014):
• Processo de segurança da organização: explica como funcionará o processo estabelecido;
• Lista do pessoal responsável pela segurança: relação de quais administradores são respon-
sáveis ou autorizados a proteger ativos na organização;
• Políticas, procedimentos e diretrizes adotados pela organização: definição das informa-
ções que precisam ser comunicadas, de qual maneira e quando.
Outro ponto importante que uma equipe de administração deve considerar em sua atuação é garantir 
que a organização a qual pertence siga regras e políticas já estabelecidas. Ela necessita estar de acordo 
com regras em dois níveis:
• Conformidade regulamentar: a organização precisa cumprir leis e regulamentações gover-
namentais;
• Conformidade organizacional: a organização precisa cumprir com suas próprias políticas, 
auditorias, cultura e padrões.
https://bit.ly/2NsLjER
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
48
2.2 AVALIAÇÃO E RECUPERAÇÃO DE DESASTRE
O tratamento de incidentes, desastres e demais interrupções no acesso a recursos e funções também 
são responsabilidades da equipe de administração. Logo, a equipe de segurança requer pessoal capa-
citado a tratar de incidentes e quaisquer eventos que impliquem em falhas e brechas de segurança. 
Apesar dos esforços em fornecer uma resposta adequada aos incidentes, todo e qualquer sistema está 
sujeito a falhas ou ataques.
Assista
Acesse na plataforma o vídeo: Tratamento de incidentes
Figura 5 - A equipe de segurança deve também ter a 
capacidade de tratar incidentes e agir na recuperação de 
desastres, impedindo que serviços e recursos tenham sua 
disponibilidade interrompida.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
49
2.2.1 TERCEIRIZAÇÃO
Uma estratégia adotada em muitas organizações é utilizar equipes terceirizadas para a gestão da segu-
rança. Porém, sua utilização apresenta vantagens e desvantagens (KIM; SOLOMON, 2014):
• Vantagens: uma empresa de gerenciamento de segurança é especializada nesse ramo e, portanto, 
pode ter expertise maior que a organização que a contrata, em se tratando de segurança.
• Desvantagens: a empresa terceirizada pode não conhecer todos os procedimentos e processos 
internos. Além disso, a contratação de uma empresa terceirizada vai impedir o treinamento e o 
desenvolvimento de colaboradores no quesito de segurança.
Ressalta-se que a contratação de uma empresa terceirizada requer que seja firmado um contrato formal 
que estabeleça acordos de nível de serviço, os chamados SLA (Service Level Agreement), que detalham como 
devem ser os serviços prestados pela empresa terceirizada. Itens de SLA contidos em contratos incluem 
questões envolvendo tempo para a resolução de incidentes; percentual mínimo aceitável de disponibili-
dade dos serviços e recursos protegidos; como devem ser relatados os históricos; e brechas de segurança.
2.3 CONFORMIDADE
Estar em conformidade dentro do escopo de Segurança da Informação significa que suas ações e ativi-
dades estão alinhadas com aquilo que foi definido na política de segurança. A política de segurança 
(assim como as leis de trânsito) só terá valor se for imposta para a comunidade de usuários da organi-
zação. Por meio da imposição da política, a organização provavelmente estará em conformidade com 
ela. Existem três meios principais de garantir a conformidade (KIM; SOLOMON, 2014):
• Históricos de evento de segurança: históricos de evento de segurança registram dados 
criados pelo sistema operacional ou pelo software. Em geral, registra qual usuário ou sistema 
acessou dados (ou um recurso) e quando esse evento ocorreu. O histórico de segurança 
ajudará na detecção de brechas de segurança, no rastreamento de responsáveis por elas e na 
resolução de problemas.
• Coordenador de conformidade: este profissional é responsável por garantir que toda a 
comunidade de usuários de uma organização esteja ciente das políticas de uma organização e, 
consequentemente, em conformidade com ela. Pode atuar como consultor de segurança, favo-
recendo e conciliando diferentes necessidades de segurança entre departamentos distintos de 
uma organização.
• Remediação: esta atividade envolve promover o conserto de algo quebrado ou defeituoso. 
Especificamente em sistemas computacionais, a remediação se refere a reparar vulnerabili-
dades de segurança. As atividades de remediação podem ser: reparo de problemas de alto 
risco antes dos demais e, quando possível, remoção de vulnerabilidades. E se não for possível 
removê-las efetivamente, é removida a capacidade de um atacante explorá-la.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
50
3 ÉTICA PROFISSIONAL
Toda profissão, de maneira geral, deve possuir o seu próprio código de ética e de conduta. A adesão 
a esse código estimula o respeito entre profissionais de qualquer área. É importante que os profissio-
nais de segurança tenham um código de ética definido, com diretrizes claras que devam ser adotadas. 
A seguir, você pode encontrar pontos importantes para praticar as diretrizes e demonstrar uma ética 
sólida (KIM; SOLOMON, 2014):
• Defina o exemplo: haja com ética em suas atividades diárias. Isso demonstrará liderança e 
seriedade, e os demais seguirão seu exemplo;• Encoraje a adoção de diretrizes e padrões éticos: enquanto profissional de segurança, você 
deverá incentivar a organização na qual colabora para que defina o seu próprio código de 
ética, o que ajudará o pessoal a operar de modo ético e responsável;
• Informe a usuários por meio de treinamento sobre a conscientização de segurança: 
garanta que os usuários estejam cientes e entendam as responsabilidades que envolvem o 
trabalho com ética.
Além de garantir que os demais profissionais exerçam suas funções com ética, também é importante 
saber quais são as suposições consideradas pelos usuários que os levam a agir de maneira antiética. A 
seguir uma lista das mais comuns, em que os usuários:
• Consideram que os computadores devem impedir seu uso indevido. Se um usuário conseguir 
utilizar um computador indevidamente, pode considerar isso uma falha da administração de 
segurança, e não deles.
• Pensam que suas ações causam danos insignificantes, que não incomodarão ninguém.
• Pensam que, se for fácil invadir um sistema, não haverá maiores consequências.
• Pensam que invadir um sistema será permitido se os motivos não forem prejudiciais. Acre-
ditam que, se não estiverem ganhando dinheiro ou se vangloriando com a invasão de um 
sistema, não estarão cometendo um crime.
• Consideram que a informação deve ser livre e que não há problema em examinar um sistema 
de terceiros para obtê-la.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
51
3.1 PRINCÍPIOS DE SEGURANÇA DE PESSOAL
Por mais elaboradas que sejam as soluções técnicas que você pode utilizar para a Segurança da Infor-
mação, o fator humano será o desafio mais instigante. Estabelecer um código de ética e de conduta é um 
ponto-chave para delinear as ações que um usuário deve ou não realizar.
Nesse quesito, criar descrições, funções e responsabilidades de cargo bem definidas são pontos essen-
ciais. Quando são conhecidas as atividades dos usuários, por exclusão, facilita-se a identificação de quais 
atividades não se devem realizar. Se funções ou responsabilidades forem descritas de maneira vaga, será 
difícil evidenciar um comportamento errado. A seguir, você conhecerá alguns princípios que devem ser 
considerados para a definição de um comportamento ético por parte do usuário (KIM; SOLOMON, 2014):
• Limitar o acesso: a intenção de conceder acesso aos usuários tem por finalidade limitá-los. 
O menor privilégio é o princípio que diz que os usuários apenas devem ter permissões que 
necessitem para cumprir suas atividades, nada além disso. Caso não se considere esse prin-
cípio, haverá o risco de permitir que os usuários não autorizados acessem informações que 
não deveriam.
• Separação de tarefas: é importante dividir tarefas em outras menores e designá-las para mais 
de um usuário. Um usuário não poderá executar uma tarefa crítica sem que outro usuário o 
ajude ou aprove sua execução. Isso dificultará a organização e a ocultação de possíveis conspi-
rações ou um planejamento de ataques.
Figura 6 - É importante que os profissionais de segurança 
tenham um código de ética definido, com diretrizes claras 
que devam ser adotadas.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
52
• Rodízio de funções: outro método para a proteção das organizações contra as violações na 
segurança é o rodízio de funções. Essa prática diminui o risco pela alternância de funcionários 
entre vários sistemas, recursos ou tarefas, o que previne uma conspiração, situação em que 
vários funcionários se unem para cometer uma fraude ou atividade ilícita.
• Férias compulsórias: assim como o rodízio de funções, as férias compulsórias fornecem a 
chance de detecção de fraude. Nas férias de um usuário, você deve suspender temporariamente 
suas permissões e acessos, impedindo os usuários de trabalharem remotamente. Em caso de 
roubo e uso das credenciais de usuário de férias, é possível detectar um acesso indevido.
• Treinamento e conscientização de segurança: a melhor maneira de trabalhar os conceitos 
de segurança em um grupo de usuários é por meio de um programa de treinamento e cons-
cientização constante de usuários.
Assista
Acesse na plataforma o vídeo: Princípios para a definição de ética do usuário
Figura 7 - O treinamento constante de usuário pode cola-
borar com a utilização mais correta e segura dos recursos 
de uma organização.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
53
3.1.1 ENGENHARIA SOCIAL
A engenharia social é um recurso muito utilizado por pessoas de má índole e atacantes em geral que 
ludibriam usuários a realizarem ações que violem a segurança de sistemas para a obtenção e o uso inde-
vido de recursos. A melhor prevenção, como já mencionado, será o treinamento e a conscientização de 
usuários. Tipos comuns de ataques de engenharia social são:
• Intimidação: utilizar ameaças ou assédio para intimidar pessoas em busca de informações;
• Menção de nomes: utilizar nomes de gerentes ou superiores para convencer usuários que 
uma autoridade mais alta hierarquicamente concedeu acesso à informação;
• Pedido de ajuda: o atacante se utiliza do emocional de um usuário sobre uma suposta situação 
difícil ou absurda. Quando combinado com algum incentivo, como uma recompensa, esse tipo 
de engenharia é muito efetivo.
• Phishing: golpistas simulam endereços de e-mail ou páginas web semelhantes às de uma orga-
nização com boa reputação para que você, inadvertidamente, forneça dados confidenciais.
Figura 8 - A engenharia social faz uso de artimanhas contra 
os usuários, de modo a atraí-los para que realizem atividades 
que não fariam normalmente, como clicar em páginas falsas 
ou fornecer dados a desconhecidos.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
54
Aprofunde-se
Esta matéria complementa os conceitos de engenharia social vistos e acrescenta algumas 
curiosidades.
Título: 5 coisas que você deve saber sobre a engenharia social
Acesso em: 24/05/2020.
Disponível em: https://bit.ly/31i1EVc
https://bit.ly/31i1EVc
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
55
CONSIDERAÇÕES FINAIS
Nesta unidade, você viu que a implantação e a operacionalização de segurança para os sistemas de 
informações é uma tarefa árdua e requer, além de conhecimento técnico de sistema e informática, 
conhecimento de como o ser humano pode se comportar quando insiste em agir de maneira incorreta 
a prejudicar o seu próximo. Somente a conscientização e o comprometimento de uma equipe treinada 
poderão reduzir os riscos que falhas na segurança podem causar a seus usuários, mas nem assim elimi-
ná-las completamente.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
56
GLOSSÁRIO
Smart card: conhecido também como cartão inteligente. Assemelha-se em forma e tamanho a um cartão 
de crédito convencional feito de plástico com a tarja magnética. Sua diferença é que ele contém um 
microprocessador e uma memória (que armazena vários tipos de informação em formato eletrônico), 
ambos com sofisticados mecanismos de segurança.
Token: no contexto de Segurança da Informação, é um dispositivo capaz de gerar senhas, no geral, sem 
se conectar fisicamente em um computador.
Segurança e auditoria de sistemas de informação | Unidade 3 - Implementação de segurança em sistemas de informação
57
REFERÊNCIAS
ANDERSON, James P. Computer security technology planning study report, 1972. Disponível em: 
http://seclab.cs.ucdavis.edu/projects/history/CD/ande72b.pdf Acesso em: 23 maio 2020.
KIM, David; SOLOMON, Michael G. Fundamentos de segurança de sistemas de informação. LTC, 2014.
MACÊDO, Diego. Mecanismos de controle de acesso, 2012. Disponível em https://www.diegomacedo.