Capítulo 02_O cubo da segurança cibernética

Prévia do material em texto

Capítulo 2: o cubo de magia da segurança cibernética 
2.0 Introdução 
2.0.1 Bem-vindo 
2.0.1.1 Capítulo 2: O cubo da segurança cibernética 
 
Os profissionais de segurança 
cibernética são mais bem descritos como 
especialistas encarregados da proteção do 
espaço cibernético. John McCumber é um 
dos primeiros especialistas em segurança 
cibernética, desenvolvendo uma estrutura 
comumente usada chamada Cubo 
McCumber ou o cubo de segurança 
cibernética. Esse cubo é usado como 
ferramenta, ao gerenciar a proteção de 
redes, domínios e da Internet. O cubo de 
segurança cibernética parece um pouco 
como um cubo de Rubik. 
A primeira dimensão do cubo de 
segurança cibernética inclui os três 
princípios de segurança da informação. Os 
profissionais de segurança cibernética referem-se aos três princípios como a Tríade CIA. A 
segunda dimensão identifica os três estados das informações ou dos dados. A terceira dimensão 
do cubo identifica o conhecimento necessário para proporcionar proteção. Essas dimensões são 
geralmente chamadas de três categorias de proteções da segurança cibernética. 
O capítulo também discute o modelo de segurança cibernética ISO. O modelo representa uma 
estrutura internacional para padronizar o gerenciamento de sistemas de informação. 
2.1 As três dimensões do cubo de segurança cibernética 
2.1.1 As três dimensões 
2.1.1.1 Os princípios de segurança 
A primeira dimensão do cubo de 
segurança cibernética identifica os 
objetivos para proteger o espaço 
cibernético. Os objetivos identificados 
na primeira dimensão são os princípios 
fundamentais. Esses três princípios são 
confidencialidade, integridade e 
disponibilidade. Os princípios 
proporcionam foco e permitem ao 
especialista de segurança cibernética 
priorizar ações ao proteger qualquer 
sistema em rede. 
A confidencialidade impede a 
divulgação de informações para 
pessoas, recursos ou processos não 
autorizados. Integridade refere-se à precisão, consistência e confiabilidade dos dados. Finalmente, 
a disponibilidade garante que as informações estejam acessíveis para usuários autorizados quando 
necessário. Use o acrônimo CIA para se lembrar desses três princípios. 
2.1.1.2 Os estados dos dados 
 
Os estados dos dados 
O espaço cibernético é um domínio 
que contém uma quantidade 
considerável de dados essencialmente 
importantes e, portanto, os especialistas 
em segurança cibernética se 
concentram na proteção dos dados. A 
segunda dimensão do cubo de 
segurança cibernética se concentra no 
problema da proteção a todos os 
estados dos dados no espaço 
cibernético. Os dados têm três possíveis 
estados: 
• Dados em trânsito 
• Dados inativos ou em armazenamento 
• Dados em processamento 
A proteção do espaço cibernético exige que os profissionais de segurança cibernética se 
responsabilizem pela proteção dos dados em todos os três estados. 
2.1.1.3 Proteções da segurança cibernética 
Proteções da segurança cibernética 
A terceira dimensão do cubo de segurança 
cibernética define as qualificações profissionais e 
a disciplina que um profissional de segurança 
cibernética pode usar para proteger o espaço 
cibernético. Os profissionais de segurança 
cibernética devem usar uma variedade de 
diferentes qualificações profissionais e disciplinas 
disponíveis a eles, ao proteger os dados no 
espaço cibernético. Eles devem fazer isso 
mantendo-se no “lado correto” da lei. 
O cubo de segurança cibernética identifica 
os três tipos de qualificações profissionais e 
disciplinas usadas para proporcionar proteção. A 
primeira qualificação profissional inclui as 
tecnologias, os dispositivos e os produtos disponíveis para proteger os sistemas de informação e 
se defender de criminosos virtuais. Os profissionais de segurança cibernética têm uma reputação 
de dominar as ferramentas tecnológicas à sua disposição. No entanto, McCumber os lembra de 
que as ferramentas tecnológicas não são o bastante para derrotar os criminosos virtuais. Os 
profissionais de segurança cibernética também devem construir uma defesa com o estabelecimento 
de políticas, procedimentos e diretrizes que permitem que os usuários do espaço cibernético fiquem 
seguros e sigam as boas práticas. Finalmente, os usuários do espaço cibernético devem se esforçar 
para ter mais conhecimento sobre as ameaças do espaço cibernético e estabelecer uma cultura de 
aprendizagem e reconhecimento. 
2.2 Tríade CIA 
2.2.1 Confidencialidade 
2.2.1.1 O princípio da confidencialidade 
O princípio da confidencialidade 
A confidencialidade impede a 
divulgação de informações para pessoas, 
recursos ou processos não autorizados. Um 
outro termo para confidencialidade é 
privacidade. As empresas restringem o 
acesso para garantir que apenas os 
operadores autorizados possam usar dados 
ou outros recursos de rede. Por exemplo, um 
programador não deve ter acesso às 
informações pessoais de todos os 
funcionários. 
As empresas precisam treinar os 
funcionários sobre as melhores práticas para 
proteção de informações confidenciais, para 
se protegerem e também à organização, 
contra-ataques. Os métodos usados para 
garantir a confidencialidade incluem 
criptografia, autenticação e controle de 
acesso aos dados. 
 2.2.1.2 Proteção da privacidade dos dados 
Proteção da privacidade dos dados 
As empresas coletam uma grande quantidade 
de dados. Muitos desses dados não são 
confidenciais, pois estão publicamente 
disponíveis, como nomes e números de 
telefones. Outros dados coletados, no entanto, 
são confidenciais. As informações confidenciais 
são dados protegidos contra acessos não 
autorizados para proteger um indivíduo ou uma 
organização. Há três tipos de informações 
confidenciais: 
• Informações pessoais são informações de 
identificação pessoal (PII) de um determinado 
um indivíduo. A Figura 2 lista essa categoria de 
dados. 
• Informações comerciais são informações que incluem qualquer coisa que possa representar 
um risco para a empresa, se descoberta pelo público ou por um concorrente. A Figura 3 lista 
essa categoria de dados. 
• Informações confidenciais são informações pertencentes a um órgão do governo, classificadas 
pelo seu nível de sensibilidade. A Figura 4 lista essa categoria de dados. 
2.2.1.3 Controle de acesso 
Controle de acesso 
O controle do acesso define vários esquemas de proteção que impedem o acesso não autorizado 
a um computador, a uma rede, a um banco de dados ou a outros recursos de dados. Os conceitos 
de AAA envolvem três serviços de segurança: autenticação, autorização e accounting. Esses 
serviços proporcionam a estrutura principal para controlar o acesso. 
O primeiro "A" no AAA representa a autenticação. Autenticação verifica a identidade de um 
usuário para evitar acesso não autorizado. Os usuários provam sua identidade com um nome de 
usuário ou um ID. Além disso, os usuários precisam verificar sua identidade proporcionando uma 
das opções a seguir, conforme mostrado na Figura 1: 
• Algo que saibam (como uma senha) 
• Algo que tenham (como um token ou cartão) 
• Algo que sejam (como uma impressão digital) 
Por exemplo, se você vai a um caixa eletrônico tirar dinheiro, precisa do cartão do banco (algo que 
você tem) e precisa saber a senha. Isso também é um exemplo de autenticação multifatorial. A 
autenticação multifatorial requer mais de um tipo de autenticação. A forma mais popular de 
autenticação é o uso de senhas. 
Serviços de autorização determinam quais recursos os usuários podem acessar, juntamente com 
as operações que os usuários podem executar, conforme mostrado na Figura 2. Alguns sistemas 
fazem isso usando uma lista de controle de acesso, ou uma ACL. Uma ACL determina se um 
usuário tem certos privilégios de acesso depois de se autenticar. Só porque você pode fazer logon 
na rede corporativa não significa que você tem permissão para usar a impressora colorida de alta 
velocidade. A autorização também pode controlar quando um usuário tem acesso a um recursoespecífico. Por exemplo, os funcionários podem ter acesso a um banco de dados de vendas durante 
o horário comercial, mas o sistema os bloqueia, depois de horas. 
Accounting mantém controle sobre o que os usuários fazem, incluindo o que acessam, a 
quantidade de tempo que acessam os recursos e as alterações feitas. Por exemplo, um banco 
mantém o controle da conta de cada cliente. Uma auditoria do sistema pode revelar o tempo e o 
valor de todas as transações e o funcionário ou o sistema que executou as transações. Serviços 
de accounting de segurança cibernética funcionam da mesma maneira. O sistema controla cada 
transação de dados e fornece os resultados da auditoria. Um administrador pode configurar 
políticas de computador, conforme mostrado na Figura 3, para permitir a auditoria do sistema. 
O conceito de AAA é semelhante ao uso de um cartão de crédito, conforme indicado pela Figura 4. 
O cartão de crédito identifica quem pode usá-lo, determina quanto o usuário pode gastar e 
contabiliza os itens ou serviços que o usuário comprou. 
O Accounting controla e monitora em tempo real. Sites, como o Norse, mostram ataques em tempo 
real com base em dados coletados como parte de um sistema de estrutura de accounting ou de 
rastreamento. Clique aqui para visitar o site de rastreamento em tempo real Norse. 
 
 
 
http://map.norsecorp.com/
 
 
 
 
 
 
 
 
 
 
 
 
2.2.1.4 Leis e responsabilidade 
Leis e responsabilidade 
A confidencialidade e a privacidade parecem intercambiáveis, mas do ponto de vista legal, 
elas significam coisas diferentes. A maioria dos dados de privacidade é confidencial, mas nem 
todos dados confidenciais são privados. O acesso a informações confidenciais ocorre depois da 
confirmação da autorização adequada. Instituições financeiras, hospitais, profissionais da área 
médica, escritórios de advocacia e empresas em geral processam informações confidenciais. As 
informações confidenciais têm um status não público. A manutenção da confidencialidade é mais 
que um dever ético. 
A privacidade é o uso adequado dos dados. Quando as organizações coletam informações 
fornecidas pelos clientes ou funcionários, elas devem usar esses dados apenas para a finalidade a 
que se designam. A maioria das empresas exigirá que o cliente ou o funcionário assine um 
formulário de liberação, dando à empresa permissão para usar os dados. 
Todas as leis listadas na figura incluem uma provisão para lidar com a privacidade, 
começando com as leis dos Estados Unidos na Figura 1. A Figura 2 lista uma amostragem dos 
1 2 
3 
4 
esforços internacionais. A maioria dessas leis é uma resposta ao enorme crescimento da coleta de 
dados. 
 
O número crescente de estatutos relacionados à privacidade cria um enorme fardo para 
empresas que coletam e analisam dados. As políticas são o melhor caminho para uma empresa 
ficar em conformidade com o número crescente de leis relacionadas à privacidade. As políticas 
permitem que as empresas apliquem regras, procedimentos e processos específicos ao coletar, 
armazenar e compartilhar dados. 
2.2.2 Integridade 
2.2.2.1 Princípio da integridade de dados 
Princípio da integridade de dados 
A integridade é a precisão, a consistência e a 
confiabilidade dos dados durante todo o seu ciclo de vida. 
Um outro termo para integridade é qualidade. Os dados 
passam por várias operações, como captura, 
armazenamento, recuperação, atualização e transferência. 
Os dados devem permanecer inalterados durante todas 
essas operações por entidades não autorizadas. 
Os métodos usados para garantir a integridade de 
dados incluem hashing, verificações de validação de dados, 
verificações de consistência dos dados e controles de 
acesso. Sistemas de integridade de dados podem incluir um 
ou mais dos métodos listados acima. 
 
2.2.2.2 Necessidade de integridade de dados 
Necessidade de integridade de dados 
A integridade de dados é um componente fundamental da segurança da informação. A 
necessidade de integridade de dados varia, com base em como a organização usa os dados. Por 
exemplo, o Facebook não verifica os dados que um usuário publica em um perfil. Um banco ou 
organização financeira atribui uma importância mais alta à integridade de dados do que o 
Facebook. As transações e as contas de clientes devem ser precisas. Em uma empresa de serviços 
de saúde, a integridade de dados pode ser uma questão de vida ou morte. As informações de 
prescrição devem ser precisas. 
A proteção da integridade de dados é um desafio constante para a maioria das empresas. A 
perda da integridade de dados pode tornar recursos de dados inteiros não confiáveis ou 
inutilizáveis. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2.2.2.3 Verificações de integridade 
Verificações de integridade 
Uma verificação de integridade é uma forma de medir a consistência de uma coleta de dados 
(um arquivo, uma foto ou um registro). A verificação de integridade realiza um processo chamado 
de função hash para tirar um retrato de dados em um momento específico. A verificação de 
integridade usa o snapshot para garantir que os dados permaneçam inalterados. 
Uma soma de verificação é um exemplo 
de uma função hash. Uma soma de verificação 
verifica a integridade de arquivos, ou de strings 
de caracteres, antes e depois de serem 
transferidos de um dispositivo para outro por 
uma rede local ou pela Internet. As somas de 
verificação simplesmente convertem cada 
conjunto de informações para um valor e soma 
o total. Para testar a integridade de dados, um 
sistema de recebimento apenas repete o 
processo. Se as duas somas forem iguais, os 
dados são válidos (Figura 1). Se não forem 
1 
iguais, uma mudança ocorreu em algum lugar ao 
longo da linha (Figura 2). 
Funções hash comuns incluem MD5, SHA-1, 
SHA-256 e SHA-512. Essas funções hash usam 
algoritmos matemáticos complexos. O valor de hash 
está simplesmente ali para comparação. Por 
exemplo, depois de baixar um arquivo, o usuário 
pode verificar a integridade do arquivo, comparando 
os valores de hash da fonte com o valor gerado por 
qualquer calculadora de hash. 
As empresas usam controle de versão para 
evitar alterações acidentais por usuários autorizados. Dois usuários não podem atualizar o mesmo 
objeto. Os objetos podem ser arquivos, registros de banco de dados ou transações. Por exemplo, 
o primeiro usuário a abrir um documento tem a permissão para alterar esse documento. A segunda 
pessoa tem uma versão somente leitura. 
Backups precisos ajudam a manter a integridade de dados, se os dados forem corrompidos. 
Uma empresa precisa verificar o seu processo de backup para garantir a integridade do backup, 
antes que ocorra perda de dados. 
A autorização determina quem tem acesso aos recursos da empresa, de acordo com a 
necessidade de cada um. Por exemplo, controles de acesso de usuário e permissões de arquivo 
garantem que apenas determinados usuários possam modificar os dados. Um administrador pode 
definir as permissões de um arquivo como somente leitura. Como resultado, um usuário que acessa 
esse arquivo não pode fazer nenhuma alteração. 
2.2.3 Disponibilidade 
2.2.3.O princípio da disponibilidade 
O princípio da disponibilidade 
A disponibilidade dos dados é o 
princípio usado para descrever a 
necessidade de manter a disponibilidade dos 
sistemas e serviços de informação o tempo 
todo. Ataques cibernéticos e falhas do 
sistema podem impedir o acesso a sistemas 
e serviços de informação. Por exemplo, a 
interrupção da disponibilidade do site de um 
concorrente por causa de um ataque pode 
proporcionar uma vantagem para seu rival. 
Ataques DoS (Denial-of-service, Negação de 
serviço) ameaçam a disponibilidade do 
sistema e impedem que usuários legítimos 
acessem e usem os sistemas de 
informações, quando necessário. 
Os métodos usados para garantir a 
disponibilidade incluem a redundância do sistema, backups do sistema, maior resiliência do 
sistema, manutenção de equipamentos, sistemas operacionais e softwareatualizados e planos 
para recuperação rápida de desastres não previstos. 
 
2 
2.2.3.2 Os cinco noves 
Os cinco noves 
As pessoas usam vários sistemas de informação em suas vidas diariamente. Computadores e 
sistemas de informação controlam a comunicação, o transporte e a fabricação de produtos. A 
disponibilidade contínua dos sistemas de informação é fundamental para a vida moderna. O termo 
alta disponibilidade descreve sistemas concebidos para evitar períodos de inatividade. A alta 
disponibilidade garante um nível de desempenho por um período maior que o período normal. 
Sistemas de alta disponibilidade normalmente são projetados para incluírem três princípios (Figura 
1): 
• Eliminar pontos únicos de falha 
• Proporcionar transição confiável 
• Detectar falhas à medida que ocorrem 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
O objetivo é a capacidade de 
continuar a operar em condições 
extremas, como durante um ataque. 
Dentre as práticas mais populares de 
alta disponibilidade estão os cinco 
noves. Os cinco noves referem-se a 
99,999%. Isso significa que o período 
de inatividade é menos de 5,26 minutos 
por ano. A Figura 2 proporciona três 
abordagens para os cinco noves. 
 
 
 
2.2.3.3 Assegurando a disponibilidade 
Assegurando a disponibilidade 
As empresas podem garantir a disponibilidade implementando o seguinte: 
• Manutenção de equipamentos 
• Atualizações do sistema e do SO 
• Teste de backup 
• Planejamento contra desastres 
• Implementações de novas tecnologias 
• Monitoramento de atividades incomuns 
• Teste de disponibilidade 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2.2.3.4 Atividade - Identificar os princípios da segurança da informação 
Atividade - Identificar os princípios da segurança da informação 
 
 
 
 
 
 
 
 
 
 
2.3 Estado dos dados 
2.3.1 Dados em repouso 
2.3.1.1 Tipos de armazenamento de dados 
Tipos de armazenamento de dados 
Dados armazenados são dados em repouso. Dados em repouso significa que um tipo de 
dispositivo de armazenamento retém os dados quando nenhum usuário ou processo os está 
usando. Um dispositivo de armazenamento pode ser local (em um dispositivo de computação) ou 
centralizado (na rede). Existem várias opções para armazenamento de dados. 
Armazenamento local (DAS) é um 
armazenamento conectado a um computador. Um 
disco rígido ou flash drive USB é um exemplo de 
armazenamento local. Por padrão, os sistemas não 
são configurados para compartilhar o 
armazenamento com conexão direta. 
A Matriz redundante de riscos independentes 
(RAID) usa vários discos rígidos em uma matriz, o 
que é um método de combinação de vários discos 
para que o sistema operacional os veja como um 
único disco. A RAID fornece desempenho melhorado 
e tolerância a falhas. 
Um dispositivo de armazenamento em rede (NAS) é um dispositivo de armazenamento 
conectado a uma rede que permite o armazenamento e a recuperação de dados de um local 
centralizado por usuários de rede autorizados. Os dispositivos NAS são flexíveis e escaláveis, o 
que significa que os administradores podem aumentar a capacidade, conforme precisarem. 
Uma arquitetura SAN (storage area network, rede de área de armazenamento) é um sistema 
de armazenamento em rede. Os sistemas SAN conectam-se à rede usando interfaces de alta 
velocidade que permitem desempenho melhorado e a habilidade de conectar vários servidores em 
um repositório de armazenamento de disco centralizado. 
Armazenamento em nuvem é uma opção de armazenamento remoto que usa o espaço em 
um provedor de data center e é acessível de qualquer computador com acesso à Internet. Google 
Drive, iCloud e Dropbox são exemplos de provedores de armazenamento em nuvem. 
2.3.1.2 Desafios da proteção dos dados armazenados 
Desafios da proteção dos dados armazenados 
As empresas têm uma tarefa desafiadora, ao tentar proteger os dados armazenados. Para 
melhorar o armazenamento de dados, as empresas podem automatizar e centralizar os backups 
de dados. 
O local pode ser um dos tipos mais difíceis 
de armazenamento de dados para gerenciar e 
controlar. O local é vulnerável a ataques mal-
intencionados no host local. Os dados 
armazenados também podem incluir dados de 
backup. Os backups podem ser manuais ou 
automáticos. As empresas devem limitar os tipos 
de dados armazenados no armazenamento 
local. Especialmente os dados essenciais de 
uma empresa não deveriam ser armazenados 
em dispositivos de armazenamento local. 
Os sistemas de armazenamento em rede 
proporcionam uma opção mais segura. Os 
sistemas de armazenamento em rede, incluindo RAID, SAN e NAS, proporcionam maior 
desempenho e redundância. No entanto, os sistemas de armazenamento em rede são mais 
complicados de configurar e gerenciar. Eles também suportam mais dados, o que pode representar 
um risco maior para a empresa, se o dispositivo falhar. Os desafios dos sistemas de 
armazenamento em rede incluem configuração, testes e monitoramento do sistema. 
2.3.2.1 Métodos de transmissão de dados 
Métodos de transmissão de dados 
A transmissão de dados envolve o envio de informações de um dispositivo para outro. Há vários 
métodos para transmitir informações entre dispositivos, incluindo: 
• Rede sigilosa – usa mídia removível para transferir fisicamente os dados de um computador 
para outro 
• Redes cabeadas – usam cabos para transmitir dados 
• Redes sem fio – usam ondas de rádio para transmitir dados 
As empresas nunca conseguirão eliminar o uso de uma rede sigilosa. 
As redes cabeadas incluem redes com fio de cobre e mídia de fibra óptica. As redes cabeadas 
podem atender a uma área geográfica local (Rede de área local) ou podem englobar grandes 
distâncias (rede de longa distância). 
As redes sem fio estão substituindo as redes 
cabeadas. As redes sem fio estão se tornando 
mais rápidas e podem suportar mais largura de 
banda. As redes sem fio expandem o número de 
usuários convidados com dispositivos móveis nas 
redes do escritório pequeno, do escritório 
residencial (SOHO) e nas redes empresariais. 
As redes com e sem fio usam pacotes ou 
unidades de dados. O termo pacote refere-se a 
uma unidade de dados que percorre o caminho 
entre uma origem e um destino na rede. 
Protocolos padrão como o protocolo de Internet 
(IP) e o protocolo de transferência de hipertexto (HTTP) definem a estrutura e a formação de 
pacotes de dados. Esses padrões têm código aberto e estão disponíveis ao público. Proteger a 
confidencialidade, a integridade e a disponibilidade dos dados transmitidos é uma das 
responsabilidades mais importantes de um profissional de segurança cibernética. 
2.3.2.2 Desafios da proteção dos dados em trânsito 
Desafios da proteção dos dados em trânsito 
A proteção de dados transmitidos é um dos trabalhos mais desafiadores de um profissional de 
segurança cibernética. Com o crescimento em dispositivos móveis e sem fios, os profissionais de 
segurança cibernética são responsáveis por proteger enormes quantidades de dados que passam 
pela sua rede diariamente. O profissional de segurança cibernética deve lidar com vários desafios 
na proteção desses dados: 
• Proteção da confidencialidade dos 
dados – os criminosos virtuais podem 
capturar, salvar e roubar dados em trânsito. 
Os profissionais da segurança cibernética 
devem tomar medidas para combater essas 
ações. 
• Proteção da integridade de dados – 
os criminosos virtuais podem interceptar e 
modificar dados em trânsito. Os 
profissionais de segurança cibernética 
implantam sistemas de integridade de 
dados que testam a integridade e a 
autenticidade dos dados transmitidos para 
combater essas ações. 
• Proteção da disponibilidade dos 
dados - os criminosos virtuais podem usar 
dispositivos falsos ou não autorizados para 
interromper a disponibilidade dos dados. 
Um simples dispositivo móvel pode servir 
como um access point sem fio local e 
enganar usuários desavisados para se 
associarem a um dispositivo falso. Os criminososvirtuais podem sequestrar uma conexão 
autorizada a um serviço ou dispositivo protegido. Os profissionais de segurança de rede podem 
implementar sistemas de autenticação mútua para combater essas ações. Os sistemas de 
autenticação mútua exigem que o usuário se autentique no servidor e solicitam que o servidor 
se autentique no usuário. 
2.3.3.1 Formas de processamento de dados e computação 
Formas de processamento de dados e computação 
O terceiro estado dos dados são os dados em processamento. Esse estado se refere aos 
dados durante a entrada inicial, a modificação, o cálculo ou a saída. 
A proteção da integridade de dados começa com a entrada inicial dos dados. As 
organizações usam vários métodos para coletar dados, como entrada manual de dados, 
digitalização de formulários, carregamentos de arquivos e dados coletados dos sensores. Cada um 
desses métodos impõe possíveis ameaças à integridade de dados. Um exemplo de corrupção de 
dados durante o processo de entrada inclui erros de entrada de dados ou sensores de sistema 
inoperantes, desconectados ou com mau funcionamento. Outros exemplos podem incluir formatos 
de dados incorretos ou não correspondentes e rotulagem errada. 
A modificação dos dados refere-se a 
qualquer mudança nos dados originais, como 
modificação manual dos dados pelos usuários, 
processamento de programas e alteração dos 
dados, além de falhas em equipamentos que 
podem resultar em modificação dos dados. 
Processos como codificação/decodificação, 
compactação/descompactação e 
criptografia/descriptografia são todos exemplos de 
modificações de dados. Código malicioso também 
resulta em corrupção dos dados. 
A corrupção de dados também ocorre 
durante o processo de saída de dados. Saída de 
dados refere-se à saída de dados para 
impressoras, displays eletrônicos ou diretamente 
para outros dispositivos. A precisão dos dados de 
saída é fundamental, pois fornece informações e 
influencia a tomada de decisões. Exemplos de corrupção dos dados de saída incluem o uso 
incorreto de delimitadores de dados, configurações de comunicação incorretas e configuração 
inadequada de impressoras. 
 
2.3.3.2 Desafios da proteção dos dados em processamento 
Desafios da proteção dos dados em processamento 
A proteção contra a modificação inválida de dados durante o processamento pode ter um 
efeito adverso. Erros de software são o motivo de muitos acidentes e desastres. Por exemplo, 
apenas duas semanas antes do Natal, alguns varejistas parceiros da Amazon perceberam uma 
mudança no preço anunciado em seus artigos para apenas um centavo de dólar. A falha durou 
uma hora. O erro resultou em milhares de compradores fazendo o melhor negócio de suas vidas e 
na empresa perdendo receitas. Em 2016, o termostato Nest apresentou defeito e deixou os 
usuários sem aquecimento. O 
termostato Nest é uma tecnologia 
inteligente, da Google. Uma falha de 
software deixou os usuários, 
literalmente, no frio. Uma atualização 
deu errado, drenando as baterias do 
dispositivo e deixando-o incapaz de 
controlar a temperatura. Como 
resultado, os clientes não conseguiram 
aquecer suas casas ou obter água 
quente em um dos fins de semana mais 
frios do ano. 
A proteção de dados durante o 
processamento requer sistemas bem 
projetados. Os profissionais de 
segurança cibernética criam políticas e procedimentos que exigem teste, manutenção e atualização 
de sistemas para mantê-los funcionando com o mínimo de erros. 
2.3.3.3 Atividade – Identificar o estado dos dados para determinada tecnologia 
Atividade – Identificar o estado dos dados 
 
 
 
 
 
 
 
 
 
2.4 Contramedidas de segurança cibernéticas 
2.4.1 Tecnologias 
2.4.1.1 Proteções de tecnologias baseadas em software 
2.4.1.1 Proteções de tecnologia baseadas em software 
As proteções de tecnologia incluem programas e serviços que protegem sistemas operacionais, 
bancos de dados e outros serviços sendo executados em estações de trabalho, dispositivos 
portáteis e servidores. Os administradores instalam contramedidas ou proteções baseadas em 
software em hosts ou servidores individuais. Existem várias tecnologias baseadas em software 
usadas para proteger os ativos de uma empresa: 
• Os firewalls de software controlam o acesso 
remoto a um software. Os sistemas 
operacionais normalmente incluem um firewall 
ou um usuário pode comprar ou fazer 
download de software de terceiros. 
• Scanners de rede e de porta detectam e 
monitoram portas abertas em um host ou 
servidor. 
• Analisadores de protocolo, ou analisadores 
de assinatura, são dispositivos que coletam e 
examinam o tráfego de rede. Eles identificam 
problemas de desempenho, detectam 
problemas de configuração, identificam 
aplicativos com comportamento inadequado, estabelecem o parâmetro e os padrões de tráfego 
normal e depuram problemas de comunicação. 
• Scanners de vulnerabilidades são programas de computador projetados para avaliar os 
pontos fracos em computadores ou redes. 
• Sistemas de detecção de invasão baseados em host (IDS) examinam as atividades apenas 
em sistemas de host. Um IDS gera arquivos de log e mensagens de alarme quando detecta 
atividade incomum. Um sistema que armazena dados confidenciais ou que presta serviços 
essenciais é um candidato para IDS baseado em host. 
 
2.4.1.2 Proteções de tecnologia baseadas em hardware 
Existem várias tecnologias baseadas em 
hardware usadas para proteger os ativos 
de uma empresa: 
• Dispositivos de firewall bloqueiam o 
tráfego indesejado. Os firewalls contêm 
regras que definem o tráfego permitido 
dentro e fora de uma rede. 
• Sistemas de detecção de invasão 
(IDS) detectam sinais de ataques ou 
tráfego incomum em uma rede e enviam 
um alerta. 
• Sistemas de prevenção de intrusões 
(IPS) detectam sinais de ataques ou 
tráfego incomum em uma rede, geram um 
alerta e tomam medidas corretivas. 
• Os serviços de filtros de conteúdo controlam o acesso e a transmissão de conteúdo ofensivo 
ou censurável. 
 
2.4.1.3 Proteções de tecnologia baseadas em rede 
Existem várias tecnologias baseadas em rede usadas para proteger os ativos da empresa: 
• Rede privada virtual (VPN) é uma rede virtual 
segura que usa a rede pública (ou seja, a Internet). A 
segurança de uma VPN está na criptografia do 
conteúdo do pacote entre os endpoints que definem a 
VPN. 
• Network Access Control (NAC) requer um 
conjunto de verificações antes de permitir que um 
dispositivo se conecte a uma rede. Algumas 
verificações comuns incluem software antivírus 
atualizados ou atualizações do sistema operacional 
instaladas. 
• Segurança de access point sem fio inclui a 
implementação de autenticação e criptografia. 
 
2.4.1.4 Proteções de tecnologia baseadas na nuvem 
As tecnologias baseadas na nuvem mudam o 
componente de tecnologia da organização para o provedor 
de nuvem. Os três principais serviços de computação em 
nuvem são: 
• Software as a Service (SaaS) permite aos usuários 
ter acesso a bancos de dados e software de aplicativo. 
Os provedores de nuvem gerenciam a infraestrutura. 
Os usuários armazenam dados nos servidores do 
provedor de nuvem. 
• Infrastructure as a Service (IaaS) fornece recursos 
de computação virtualizados pela Internet. O provedor 
hospeda o hardware, o software, os servidores e os 
componentes de armazenamento. 
• Platform as a Service (PaaS) proporciona acesso 
a ferramentas e serviços de desenvolvimento usados 
para entregar os aplicativos. 
Os provedores de serviços de nuvem ampliaram essas opções para incluir IT as a Service 
(ITaaS), que proporciona suporte para os modelos de serviço IaaS, PaaS e SaaS. No modelo 
ITaaS, a empresa contrata serviços individuais ou em pacote com o provedor de serviços em 
nuvem. 
Provedores de serviços de nuvem usam dispositivos de segurança virtual que são executados 
dentro de um ambiente virtual com um sistema operacional pré-preparado em pacotes, codificado, 
sendo executado em hardware virtualizado. 
2.4.2.1 Implementação de educaçãoe treinamento em segurança cibernética 
Investir muito dinheiro em tecnologia não fará diferença se as pessoas dentro da empresa forem o 
elo mais fraco da segurança cibernética. Um programa de conscientização sobre segurança é 
extremamente importante para uma organização. Um funcionário pode não ser intencionalmente 
malicioso, mas simplesmente desconhecer quais são os procedimentos adequados. Há várias 
formas de implementar um programa de treinamento formal: 
• Torne o treinamento de 
conscientização de segurança uma parte do 
processo de integração do funcionário 
• Vincule a conscientização de 
segurança aos requisitos do trabalho ou às 
avaliações de desempenho 
• Realize sessões de treinamento 
presenciais 
• Complete cursos on-line 
A conscientização de segurança deve ser 
um processo contínuo, já que novas 
ameaças e técnicas estão sempre surgindo. 
 
2.4.2.2 Estabelecimento de uma cultura de conscientização de segurança 
cibernética 
Os membros de uma empresa devem ter consciência das políticas de segurança e ter o 
conhecimento para fazer parte da segurança de suas atividades diárias. 
Um programa de conscientização de segurança ativo depende: 
• Do ambiente da empresa 
• Do nível de ameaça 
A criação de uma cultura de conscientização 
de segurança cibernética é um esforço 
contínuo que requer a liderança da alta 
gerência e o compromisso de todos os 
usuários e funcionários. Afetar a cultura de 
segurança cibernética de uma empresa 
começa com o estabelecimento de políticas e 
procedimentos pela gerência. Por exemplo, 
muitas empresas têm dias de 
conscientização de segurança cibernética. 
As empresas também podem publicar 
banners e sinalização para aumentar a 
conscientização geral de segurança 
cibernética. A criação de seminários e workshops de orientação de segurança cibernética ajudam 
a aumentar a conscientização. 
2.4.3.1 Políticas 
Uma política de segurança é um conjunto de objetivos de segurança para uma empresa que 
inclui regras de comportamento para os usuários e administradores e especifica os requisitos do 
sistema. Esses objetivos, regras e requisitos garantem, juntos, a segurança da rede, dos dados e 
dos sistemas de computador de uma organização. 
Uma política de segurança abrangente realiza várias tarefas: 
• Demonstra um comprometimento da empresa com a segurança. 
• Define as regras para o comportamento esperado. 
• Isso garante a consistência nas operações do sistema, nas aquisições, no uso e na 
manutenção de hardware e de software. 
• Define as consequências jurídicas das violações. 
• Dá o apoio da gerência à equipe de segurança. 
Políticas de segurança informam os usuários, funcionários e gerentes dos requisitos de uma 
empresa para a proteção de ativos de tecnologia e de informação. Uma política de segurança 
também especifica os mecanismos necessários para atender aos requisitos de segurança. 
Como mostrado na figura, uma política de segurança normalmente inclui: 
• Políticas de identificação e autenticação -Especifica pessoas 
autorizadas para acesso aos recursos de rede e define 
procedimentos de verificação. 
• Políticas de senhas - Garante que as senhas atendam aos 
requisitos mínimos e sejam alteradas regularmente. 
• Políticas de uso aceitável -Identifica os recursos e o uso da rede 
que são aceitáveis para a empresa. Também pode identificar 
ramificações para violações de política. 
• Políticas de acesso remoto - Identifica como os usuários 
remotos podem acessar uma rede e o que é remotamente acessível. 
• Políticas de manutenção de rede - Especifica procedimentos de 
atualização de sistemas operacionais e de aplicativos de usuários 
finais dos dispositivos de rede. 
• Políticas de tratamento de incidentes - Descreve como os 
incidentes de segurança são tratados. 
 
 Um dos componentes de política de segurança mais comuns é uma política de uso aceitável 
(AUP). Esse componente define o que os usuários podem ou não fazer nos vários componentes 
do sistema. A AUP deve ser o mais explícita possível, para evitar mal-entendidos. Por exemplo, 
uma AUP lista sites, grupos de notícias ou aplicativos específicos de uso intensivo de largura de 
banda que os usuários não podem acessar usando computadores ou a rede da empresa. 
 
2.4.3.2 Padrões 
Os padrões ajudam uma equipe de TI a manter a consistência 
no funcionamento da rede. Documentos de padrões proporcionam as 
tecnologias que usuários ou programas específicos precisam, além de 
qualquer requisito ou critério de programa que uma empresa deve 
seguir. Isso ajuda a equipe de TI melhorar a eficiência e simplicidade 
no design, manutenção e solução de problemas. 
Um dos princípios de segurança mais importantes é a 
consistência. Por esse motivo, é necessário que as empresas 
estabeleçam padrões. Cada empresa desenvolve padrões para suporte 
de seu único ambiente operacional. Por exemplo, uma empresa 
estabelece uma política de senhas. O padrão é que as senhas requerem um mínimo de oito 
caracteres alfanuméricos maiúsculos e minúsculos, incluindo pelo menos um caractere especial. 
Um usuário deve alterar a senha a cada 30 dias e um histórico das 12 senhas anteriores garante 
que o usuário crie senhas exclusivas durante um ano. 
 
2.4.3.3 Diretrizes 
As diretrizes são uma lista de sugestões sobre como fazer as coisas de forma mais eficiente 
e com segurança. Eles são semelhantes aos padrões, mas mais flexíveis e, geralmente, não são 
obrigatórios. As diretrizes definem como os padrões são desenvolvidos e garantem adesão às 
políticas de segurança gerais. 
Algumas das orientações mais úteis compõem as melhores práticas de uma empresa. Além das 
melhores práticas definidas de uma empresa, as orientações também estão disponíveis das 
seguintes instituições: 
• Centro de recursos de segurança de 
computador do Instituto Nacional de Padrões e 
Tecnologia (NIST) (Figura 1) 
 
 
 
 
• Orientações de configuração de segurança 
nacional (NSA) (Figura 2) 
 
 
 
 
• O padrão de critérios comuns (Figura 3) 
 
 
 
 
 
 
Usando o exemplo de políticas de senha, uma diretriz é uma sugestão de que o usuário use 
uma frase como "I have a dream" e converta-a para uma senha forte, Ihv@dr3@m. O usuário pode 
criar outras senhas com essa frase, alterando o número, movendo o símbolo ou alterando o sinal 
de pontuação. 
 
2.4.3.4 Procedimentos 
Documentos de procedimentos são mais longos e mais detalhados que os padrões e 
diretrizes. Documentos de procedimentos incluem detalhes de implementação que normalmente 
contêm instruções e gráficos passo a passo. 
A figura mostra um exemplo do 
procedimento usado para alterar uma senha. 
Grandes empresas devem usar documentos de 
procedimentos para manter a consistência de 
implantação que é necessária para um ambiente 
seguro. 
 
 
 
2.4.3.5 Atividade - Identificar a categoria da contramedida 
 
 
 
 
 
 
 
 
2.5.1.1 Visão geral do modelo 
Os profissionais de segurança precisam 
proteger as informações de ponta a ponta na 
organização. Essa é uma tarefa muito importante e 
não devemos esperar que um único indivíduo tenha 
todo o conhecimento necessário. A Organização 
internacional de normalização (ISO) / Comissão 
eletrotécnica internacional (IEC) desenvolveram 
uma estrutura abrangente para orientar o 
gerenciamento de segurança da informação. O 
modelo de segurança cibernética da ISO/IEC é para 
profissionais de segurança cibernética o que o 
modelo de rede OSI é para engenheiros de rede. Ambos proporcionam uma estrutura para 
entendimento e abordagem de tarefas complexas. 
 
2.5.1.2 Domínios de segurança cibernética 
 
ISO/IEC 27000 é um padrão de segurança da informação publicada em 2005 e revisada em 2013. 
A ISO publica os padrões ISO 27000. Embora os padrões não sejam obrigatórios, a maioria dos 
países os usa como uma estrutura de fato para implementação da segurança da informação. 
Os padrões ISO 27000 descrevem a implementação de um sistema de gerenciamento de 
segurançada informação abrangente (ISMS). Um ISMS consiste em todos os controles 
administrativos, técnicos e operacionais para manter a informação segura dentro de uma empresa. 
Doze domínios independentes representam os componentes do padrão ISO 27000. Esses doze 
domínios servem para organizar, em alto nível, as vastas áreas de informações cobertas pela 
segurança da informação. 
A estrutura do modelo de segurança cibernética ISO é diferente do modelo OSI, pois usa domínios, 
e não camadas, para descrever as categorias de segurança. O motivo para isso é que o modelo de 
segurança cibernética ISO não é uma relação hierárquica. É um modelo não hierárquico, em que 
cada domínio tem uma relação direta 
com os outros domínios. O modelo de 
segurança cibernética ISO 27000 é 
muito semelhante ao modelo OSI e é 
vital para os especialistas em segurança 
cibernética entender esses dois modelos 
para ter sucesso. 
Clique em cada domínio da figura para 
obter uma breve descrição. 
Os doze domínios servem como uma 
base comum para o desenvolvimento de 
padrões de segurança organizacional e 
de práticas eficazes de gerenciamento 
de segurança. Também ajudam a 
facilitar a comunicação entre as 
empresas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
2.5 Estrutura de gerenciamento de segurança de TI 
2.5.1 O modelo de segurança cibernética ISO 
2.5.1.3 Objetivos de controle 
Os doze domínios consistem em objetivos de controle definidos na parte 27001 do padrão. 
Os objetivos de controle definem os requisitos de alto nível para implementar um ISM abrangente. 
A equipe de gerência de uma empresa usa os 
objetivos de controle do padrão ISO 27001 para 
definir e publicar as políticas de segurança da 
empresa. Os objetivos de controle proporcionam uma 
checklist que deve ser usada durante as auditorias de 
gerenciamento de segurança. Muitas empresas 
precisam passar uma auditoria de ISMS para ganhar 
uma designação de conformidade com ISO 27001. 
Certificação e conformidade proporcionam confiança 
para duas empresas que precisam confiar nos dados 
confidenciais uma da outra. Auditorias de 
conformidade e de segurança provam que as empresas estão melhorando continuamente seu 
sistema de gerenciamento de segurança da informação. 
A seguir temos um exemplo de um objetivo de controle: 
Controlar o acesso a redes usando os mecanismos de autenticação adequados para os usuários e 
equipamentos. 
2.5.1.4 Controles 
O padrão ISO/IEC 27002 define controles de sistema de gerenciamento de segurança da 
informação. Os controles são mais detalhados que objetivos. Os objetivos de controle informam à 
empresa o que fazer. Controles definem como atingir o objetivo. 
Com base no objetivo de controle, para controle de acesso a redes usando os mecanismos 
de autenticação adequados para usuários e equipamentos, o controle seria: 
Use senhas fortes. Uma senha forte é composta de pelo 
menos oito caracteres que são uma combinação de letras, 
números e símbolos (@, #, $, %, etc.) se permitido. As senhas 
diferenciam maiúsculas de minúsculas, portanto, uma senha 
forte contém letras em maiúsculas e minúsculas. 
Profissionais de segurança cibernética reconhecem o seguinte: 
• Controles não são obrigatórios, mas são amplamente 
aceitos e adotados. 
• Os controles devem manter neutralidade de fornecedor 
para evitar a aparência de endossar um produto ou empresa 
específico. 
• Controles são como diretrizes. Isso significa que pode 
haver mais de uma maneira de atingir o objetivo. 
https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/index.html#2.5.1
2.5.1.5Atividade - Identificar os domínios e controles do ISO/IEC 27000 
 
2.5.2.1 O modelo de segurança cibernética ISO e a Tríade CIA 
O padrão ISO 27000 é uma estrutura universal para cada tipo de empresa. Para usar a 
estrutura de forma eficaz, uma organização deve limitar quais domínios, objetivos de controle e 
controles aplicar a seu ambiente e a suas operações. 
Os objetivos de controle da ISO 27001 servem como uma lista de verificação. A primeira 
etapa realizada por uma organização é determinar se esses objetivos de controle são aplicáveis à 
organização. A maioria das empresas geram um 
documento chamado Declaração de aplicabilidade 
(SOA). A SOA define quais objetivos de controle a 
empresa precisa usar. 
Diferentes empresas colocam maior prioridade 
sobre a confidencialidade, integridade e 
disponibilidade, dependendo do tipo de setor. Por 
exemplo, a Google coloca o valor mais alto na 
disponibilidade e confidencialidade de dados do 
usuário e menos na integridade. A Google não 
verifica os dados do usuário. A Amazon coloca alta 
ênfase na disponibilidade. Se o site não estiver 
disponível, a Amazon não faz a venda. Isso não 
significa que a Amazon ignora a confidencialidade em 
favor da disponibilidade. A Amazon só coloca uma 
prioridade mais alta na disponibilidade. Portanto, a 
Amazon pode gastar mais recursos para garantir que 
existam mais servidores disponíveis para processar 
as compras dos clientes. 
Uma empresa adapta seu uso dos objetivos de controle e dos controles disponíveis para 
melhor atender as suas prioridades em matéria de confidencialidade, integridade e disponibilidade. 
https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/index.html#2.5.1.5
2.5.2.2 O modelo de segurança cibernética ISO e os estados dos dados 
Diferentes grupos na organização podem ser responsáveis pelos dados em cada um dos 
vários estados. Por exemplo, o grupo de segurança da rede é responsável pelos dados durante a 
transmissão. Os programadores e o pessoal de entrada de dados são responsáveis pelos dados 
durante o processamento. Os especialistas de suporte a hardware e servidor são responsáveis 
pelos dados armazenados. Os controles ISO abordam, especificamente, os objetivos de segurança 
dos dados em cada um dos três estados. 
Nesse exemplo, os 
representantes de cada um dos três 
grupos ajudam a identificar os 
controles que são aplicáveis e a 
prioridade de cada controle em sua 
área. O representante do grupo de 
segurança de rede identifica os 
controles, garantindo a 
confidencialidade, a integridade e a 
disponibilidade de todos os dados 
transmitidos. 
2.5.2.3 O modelo de segurança cibernética ISO e proteções 
Os objetivos do controle ISO 27001 estão 
diretamente relacionados às políticas, aos 
procedimentos e às diretrizes de segurança 
cibernética da organização, determinados pela 
alta gerência. Os controles ISO 27002 
proporcionam orientação técnica. Por exemplo, a 
alta gerência estabelece uma política, 
especificando a proteção de todos os dados que 
entram ou saem da organização. A 
implementação da tecnologia para atingir os 
objetivos da política não envolveria a alta 
gerência. É responsabilidade dos profissionais 
de TI implementar e configurar adequadamente 
os equipamentos usados para atender às 
diretivas da política definidas pela alta gerência. 
 
2.5.2.4 Laboratório – Instalação de uma máquina virtual em um computador 
pessoal 
Um arquivo de imagem de máquina virtual foi 
criado para você instalar em seu computador. Neste 
laboratório, você baixará e importará esse arquivo de 
imagem usando um aplicativo de virtualização de 
desktop, como VirtualBox. 
 
2.5.2.5 Laboratório - Exploração da autenticação, autorização e accounting 
Nessa atividade, você irá examinar, identificar e 
configurar os controles de autenticação, autorização ou 
os access controls adequados. Você também irá instalar 
e configurar controles de segurança. 
 
 
2.5.2.6 Packet Tracer – Como explorar a criptografia de dados e de arquivos 
Neste Packet Tracer, você atingirá os seguintes objetivos: 
• Localize as credenciais da conta FTP do 
notebook da Mary 
• Carregue os dados confidenciais usando 
FTP 
• Localize as credenciais da conta FTP do 
computador do Bob 
• Baixe os dados confidenciaisusando FTP 
• Decriptografe o conteúdo do arquivo 
clientinfo.txt 
2.5.2.7 Packet Tracer – Como usar as verificações de integridade de arquivos e de 
dados 
Neste Packet Tracer, você atingirá os seguintes objetivos: 
• Baixe os arquivos do cliente para o 
computador do Mike 
• Baixe os arquivos do cliente do 
servidor de arquivos de backup para o 
computador do Mike 
• Verifique a integridade de arquivos do 
cliente usando hash 
• Verifique a integridade de arquivos 
essenciais usando HMAC 
 
 
Capítulo 2.6: Resumo 
Capítulo 2.6.1: Conclusão 
Capítulo 2.6.1.1 O cubo da segurança cibernética 
Este capítulo discutiu as 
três dimensões do cubo 
segurança cibernética. A 
responsabilidade central de um 
profissional segurança cibernética 
é proteger os dados e os sistemas 
de uma empresa. O capítulo 
explicou como cada uma das três 
dimensões contribui para com 
essa iniciativa. 
O capítulo também 
apresentou o modelo de 
segurança cibernética ISO. O 
modelo representa uma estrutura 
internacional para padronizar o 
gerenciamento de sistemas de 
informação. Este capítulo 
explorou os doze domínios. O 
modelo proporciona objetivos de controle que guiam o design e a implementação de alto nível de 
um sistema de gerenciamento da segurança da informação abrangente (ISMS). O capítulo também 
discutiu como os profissionais de segurança usam os controles para identificar as tecnologias, os 
dispositivos e os produtos para proteger a organização.