Capítulo 8 Como se tornar um especialista em segurança cibernética

Prévia do material em texto

Capítulo 8 Como se tornar um especialista em segurança cibernética 
8.0 Introdução 
8.0.1 Bem-vindo 
8.0.1.1 Capítulo 8: como se tornar um especialista em segurança 
Capítulo 8: como se tornar um especialista em segurança 
O avanço da tecnologia levou ao uso de 
vários dispositivos na sociedade diariamente, 
interconectando o mundo. Essa maior 
conectividade, porém, resulta em aumento do 
risco de roubo, fraude e abuso em toda a 
infraestrutura de tecnologia. Este capítulo 
categoriza a infraestrutura de tecnologia da 
informação em sete domínios. Cada domínio 
requer os controles de segurança adequados 
para atender aos requisitos da tríade CIA. 
O capítulo discute as leis que afetam os 
requisitos de tecnologia e segurança 
cibernética. Muitas dessas leis têm como foco 
diferentes tipos de dados encontrados em várias indústrias e contêm conceitos de segurança da 
informação e de privacidade. Várias agências do governo dos EUA regulam a conformidade de 
uma empresa com esses tipos de leis. O especialista em segurança cibernética precisa 
compreender como a lei e os interesses da empresa ajudam a orientar as decisões éticas. A ética 
cibernética examina o efeito do uso de computadores e da tecnologia nos indivíduos e na 
sociedade. 
As empresas contratam especialistas em segurança cibernética em vários cargos diferentes, 
como consultores, analistas de segurança e outros profissionais de segurança de rede. Os 
especialistas em segurança cibernética ajudam a proteger os dados pessoais e a capacidade de 
usar serviços de rede. O capítulo discute o caminho para se tornar um especialista em segurança 
cibernética. Por fim, este capítulo também discute várias ferramentas disponíveis aos especialistas 
em segurança cibernética. 
8.1 Domínios de segurança cibernética 
8.1.1 Domínio de usuário 
8.1.1.1 Ameaças e vulnerabilidades do usuário comum 
Ameaças e vulnerabilidades do usuário comum 
O domínio do usuário inclui usuários que acessam o sistema de informações da empresa. 
Os usuários podem ser funcionários, clientes, prestadores de serviços e outros indivíduos que 
precisam acessar os dados. Os usuários são frequentemente o elo mais fraco nos sistemas de 
segurança de informações e representam uma ameaça significativa à confidencialidade, 
integridade e disponibilidade dos dados da empresa. 
As práticas arriscadas ou ruins do usuário normalmente prejudicam, até mesmo, o melhor 
sistema de segurança. Abaixo, alguns exemplos de ameaças comuns encontradas em muitas 
empresas: 
• Nenhuma conscientização sobre segurança – os usuários devem ter consciência dos 
dados confidenciais, políticas e procedimentos de segurança, das tecnologias e das 
contramedidas oferecidas para proteger as informações e os sistemas de informação. 
• Políticas de segurança mal aplicadas – todos os usuários devem conhecer as políticas de 
segurança e as consequências da não conformidade com as políticas da empresa. 
• Roubo de dados – o roubo de dados por usuários pode custar às empresas 
financeiramente, resultando em danos à reputação de uma empresa, ou levar a uma 
responsabilidade jurídica associada à divulgação de informações confidenciais. 
• Downloads não autorizados – muitas infecções e ataques de redes e de estações de 
trabalho estão relacionados a usuários que fazem downloads não autorizados de e-mails, 
fotos, músicas, jogos, aplicativos, programas e vídeos para estações de trabalho, redes ou 
dispositivos de armazenamento. 
• Mídia não autorizada – o uso de mídia não autorizada, como CDs, unidades de USB e 
dispositivos de armazenamento de rede, pode resultar em infecções e ataques por malware. 
• VPNs não autorizadas – VPNs podem esconder o roubo de informações. A criptografia 
normalmente usada para proteger a confidencialidade cega o pessoal de TI para a 
transmissão de dados sem a autorização adequada. 
• Sites não autorizados – acessar sites não autorizados pode representar um risco para os 
dados, dispositivos e para a empresa do usuário. Muitos sites alertam os visitantes quanto 
a fazer download de scripts ou plugins que contêm código malicioso ou adware. Alguns 
desses sites podem infectar dispositivos como câmeras e aplicativos. 
• Destruição de sistemas, aplicativos ou dados – a destruição acidental ou deliberada ou 
sabotagem de sistemas, aplicativos e dados representa um grande risco para todas as 
empresas. Ativistas, funcionários descontentes e concorrentes do setor podem excluir 
dados, destruir dispositivos ou tornar dados e sistemas de informação indisponíveis. 
Nenhuma solução técnica, controle ou contramedida torna os sistemas de informação mais 
seguros do que os comportamentos e processos das pessoas que usam esses sistemas. 
 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.1.2 Controle de ameaças do usuário 
Controle de ameaças do usuário 
As empresas podem implementar várias medidas para gerenciar ameaças de usuários: 
• Realizar treinamento exibindo cartazes de conscientização da segurança, inserindo 
lembretes em saudações de banners e enviando lembretes de e-mail aos funcionários. 
• Treinar os usuários anualmente em atualizações de políticas, manuais de funcionários e de 
outros manuais necessários. 
• Vincular a conscientização sobre a segurança aos objetivos da análise de desempenho. 
• Ativar a filtragem de conteúdo e a varredura antivírus para anexos de e-mail. 
• Usar filtros de conteúdo para permitir ou negar nomes de domínio específicos, em 
conformidade com AUP (Acceptable Use Policies, Políticas de uso aceitáveis). 
• Desativar unidades de CD internas e portas USB 
• Ativar varreduras antivírus automáticas para unidades de mídia inseridas, arquivos e anexos 
de e-mail. 
• Restringir o acesso de usuários apenas aos sistemas, aplicativos e dados necessários para 
realizar o trabalho. 
• Minimizar as permissões de gravação/exclusão apenas para o proprietário dos dados. 
• Rastrear e monitorar comportamento anormal do funcionário, desempenho inconstante no 
trabalho e uso da infraestrutura de TI fora do horário comercial. 
• Implementar procedimentos de bloqueio de controle de acesso com base no monitoramento 
e na conformidade com AUP. 
• Ativar o monitoramento do sistema de detecção de invasão/prevenção contra invasão 
(IDS/IPS) para cargos e acesso de funcionários sensíveis. 
A tabela mostrada na figura corresponde as ameaças ao domínio do usuário às contramedidas 
usadas para controlá-las. 
 
 
 
 
 
 
 
 
 
 
 
8.1.2.1 Ameaças comuns aos dispositivos 
Ameaças comuns aos dispositivos 
Um dispositivo é qualquer computador, notebook, tablet ou smartphone que se conecta à 
rede. 
A seguir temos exemplos de ameaças aos dispositivos: 
• Estações de trabalho sem supervisão – estações de trabalho deixadas ligadas e sem 
supervisão representam um risco de acesso não autorizado aos recursos da rede 
• Downloads do usuário – arquivos, fotos, músicas ou vídeos baixados podem ser um 
veículo de código malicioso 
• Software sem instalação de patches – vulnerabilidades de segurança do software 
fornecem fraquezas que os cyber criminosos podem explorar 
• Malware – novos vírus, worms e outros códigos maliciosos aparecem diariamente 
• Mídia não autorizada – os usuários que inserem unidades de USB, CDs ou DVDs podem 
introduzir malware ou correr o risco de comprometer os dados armazenados na estação de 
trabalho 
• Violação da política de uso aceitável – as políticas existem para proteger a infraestrutura 
de TI da empresa 
 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.2.2 Controle de ameaças do dispositivo 
Controle de ameaças do dispositivo 
As empresas podem implementar várias medidas para gerenciar ameaças a dispositivos: 
• Estabelecer políticas para proteção por senha e limites de bloqueio em todos os dispositivos. 
• Ativar o bloqueio de tela durante períodos de inatividade. 
• Desativar os direitos de administrador dos usuários. 
• Definir políticas,padrões, procedimentos e diretrizes de controle de acesso. 
• Atualizar e aplicar patches em todos os sistemas operacionais e softwares. 
• Implementar soluções de antivírus automatizadas que varram o sistema e atualizar o 
software antivírus para proporcionar a proteção adequada. 
• Desativar todas as portas USB, de DVD e de CD. 
• Ativar varreduras antivírus automáticas para todas as unidades de CD, DVD ou USB 
inseridas. 
• Usar filtros de conteúdo. 
• Autorizar treinamento anual ou implementar campanhas e programas de conscientização da 
segurança que são executados durante todo o ano. 
A tabela mostrada na figura corresponde as ameaças de domínio de dispositivo às contramedidas 
usadas para controlá-las. 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.3 Domínio de rede de área local 
8.1.3.1 Ameaças comuns à LAN 
Ameaças comuns à LAN 
A rede de área local (LAN) é um conjunto de dispositivos interconectados usando cabos ou 
ondas eletromagnéticas. O domínio da LAN requer fortes controles de acesso e segurança, pois os 
usuários podem acessar os sistemas, aplicativos e dados da empresa no domínio da LAN. 
A seguir temos exemplos de ameaças à LAN: 
• Acesso LAN não autorizado – armários de fiação, data centers e salas de computadores 
devem permanecer seguros 
• Acesso não autorizado a sistemas, aplicações e dados 
• Vulnerabilidades de software do sistema operacional de rede 
• Atualizações do sistema operacional de rede 
• Acesso não autorizado por usuários falsos em redes sem fio 
• Explorações de dados em trânsito 
• Servidores de LAN com hardware ou sistemas operacionais diferentes – O gerenciamento e 
a solução de problemas de servidores fica mais difícil com configurações variadas 
• Detecção de rede não autorizada e varredura de porta 
• Firewall configurado incorretamente 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.3.2 Gerenciamento de ameaças à LAN 
Gerenciamento de ameaças à LAN 
As empresas podem implementar várias medidas para controlar ameaças à rede local: 
• Proteger armários de fiação, data centers e salas de computadores. Negar acesso a 
qualquer pessoa sem as credenciais apropriadas. 
• Definir políticas, padrões, procedimentos e diretrizes rígidos de controle de acesso. 
• Restringir os privilégios de acesso a pastas e arquivos de acordo com a necessidade. 
• Exigir senhas ou autenticação para redes sem fio. 
• Implementar a criptografia entre dispositivos e redes sem fio para manter a 
confidencialidade. 
• Implementar padrões de configuração do servidor de LAN. 
• Realizar testes de penetração de pós-configuração. 
• Desativar o ping e a varredura de porta. 
A tabela mostrada na figura corresponde as ameaças ao domínio da LAN às contramedidas usadas 
para controlá-las. 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.4 Domínio de nuvem privada (WAN) 
8.1.4.1 Ameaças comuns à nuvem privada 
Ameaças comuns à nuvem privada 
O domínio de nuvem privada inclui os servidores privados, os recursos e a infraestrutura 
disponíveis para os membros de uma empresa via Internet. 
A seguir temos exemplos de ameaças à nuvem privada: 
• Detecção de rede não 
autorizada e varredura de porta 
• Acesso não autorizado a 
recursos 
• Vulnerabilidade de software de 
sistema operacional de dispositivo de 
rede, de firewall ou de roteador 
• Erro de configuração do 
roteador, firewall ou dispositivo de 
rede 
• Usuários remotos que acessam 
a infraestrutura da empresa e fazem 
download de dados confidenciais 
 
8.1.4.2 Controle de ameaças à nuvem privada 
Controle de ameaças à nuvem privada 
As empresas podem implementar várias medidas para controlar ameaças à nuvem privada: 
• Desativar ping, detecção e varredura de porta. 
• Implementar sistemas de detecção e de prevenção contra invasão. 
• Monitorar anomalias de tráfego IP de entrada. 
• Atualizar dispositivos com correções e patches de segurança. 
• Conduzir testes de penetração pós-configuração. 
• Testar tráfego de entrada e de saída. 
• Implementar um padrão de classificação de dados. 
• Implementar o monitoramento e a varredura da transferência de arquivos para tipo de 
arquivo desconhecido. 
A tabela mostrada na figura corresponde as ameaças ao domínio da nuvem privada às 
contramedidas usadas para controlá-las. 
 
 
 
 
 
 
 
 
 
 
 
8.1.5 Domínio da nuvem pública 
8.1.5.1 Ameaças comuns à nuvem pública 
Ameaças comuns à nuvem pública 
O domínio da nuvem pública inclui serviços hospedados por um provedor de nuvem, provedor 
de serviço ou provedor de Internet. Provedores de nuvem implementam controles de segurança 
para proteger o ambiente de nuvem, mas as empresas são responsáveis por proteger seus 
recursos na nuvem. Há três modelos de serviço diferentes dentre os quais uma empresa pode 
escolher: 
• SaaS (Software as a Service, Software como serviço) – um modelo de assinatura que 
proporciona acesso ao software que é centralmente hospedado e acessado por usuários por 
um navegador da Web. 
• PaaS (Platform as a service, Plataforma como serviço) – proporciona uma plataforma 
que permite a uma empresa desenvolver, executar e gerenciar seus aplicativos em hardware 
de serviço usando ferramentas que o serviço fornece. 
• IaaS (Infrastructure as a service Infraestrutura como serviço) – fornece recursos de 
computação virtualizados, como hardware, software, servidores, armazenamento e outros 
componentes de infraestrutura pela Internet. 
A seguir temos exemplos de ameaças à nuvem pública: 
• Violação de dados 
• Perda ou roubo de propriedade intelectual 
• Credenciais comprometidas 
• Os repositórios de identidade federada são um alvo de alto valor 
• Sequestro de conta 
• Falta de compreensão da parte da empresa 
• Ataques de engenharia social que enganam a vítima 
• Violação de conformidade 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.5.2 Controle de ameaças à nuvem pública 
Controle de ameaças à nuvem pública 
As empresas podem implementar várias medidas para controlar ameaças a instalações físicas: 
• Autenticação multifatorial 
• Uso de criptografia 
• Implementar senhas únicas, autenticações baseadas em telefone e cartões inteligentes 
• Distribuir dados e aplicativos em várias zonas 
• Procedimentos de backup de dados 
• Diligência prévia 
• Programas de conscientização da segurança 
• Políticas 
A tabela mostrada na figura corresponde as ameaças ao domínio da nuvem pública às 
contramedidas usadas para controlá-las. 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.6 Domínio de instalações físicas 
8.1.6.1 Ameaças comuns a instalações físicas 
Ameaças comuns a instalações físicas 
O domínio de instalações físicas inclui todos os serviços usados por uma empresa, incluindo 
HVAC, água e detecção de incêndio. Esse domínio inclui também medidas de segurança física, 
usadas para proteger as instalações. 
A seguir temos exemplos de ameaças às 
instalações de uma empresa: 
• Ameaças naturais, incluindo problemas 
climáticos e riscos geológicos 
• Acesso não autorizado às instalações 
• Interrupções de energia 
• Engenharia social para aprender sobre 
procedimentos e políticas de segurança do 
escritório 
• Violação de defesas do perímetro eletrônico 
• Roubo 
• Um lobby aberto que permite que um visitante entre direto nas instalações 
• Um data center destrancado 
• Ausência de vigilância 
8.1.6.2 Controle de ameaças a instalações físicas 
Controle de ameaças a instalações físicas 
As empresas podem implementar várias medidas para controlar ameaças a instalações 
físicas: 
• Implementar controle de acesso e cobertura de circuito fechado de TV (CCTV) em todas as 
entradas. 
• Estabelecer políticas e procedimentos para os convidados que visitam as instalações. 
• Testar a segurança do edifício usando meios virtuais e físicos para obter acesso de forma 
secreta. 
• Implementar a criptografia de crachá para acesso de entrada. 
• Desenvolver um plano de recuperação de desastres. 
•Desenvolver um plano de continuidade de negócios. 
• Realizar treinamento regularmente. 
• Implementar um sistema de identificação de ativo. 
A tabela mostrada na figura corresponde as ameaças ao domínio das instalações físicas às 
contramedidas usadas para controlá-las. 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.7 Domínio de aplicação 
8.1.7.1 Ameaças comuns aos aplicativos 
Ameaças comuns aos aplicativos 
O domínio de aplicação inclui todos os sistemas, aplicativos e dados essenciais. Além disso, 
inclui o hardware e qualquer design lógico necessário. As empresas estão transferindo aplicativos 
como e-mail, monitoramento de segurança e gerenciamento de banco de dados para a nuvem 
pública. 
A seguir temos exemplos de ameaças a aplicativos: 
• Acesso não autorizado a data centers, salas de computador e armário de fiação 
• Período de inatividade do servidor para manutenção 
• Vulnerabilidade de software do sistema operacional de rede 
• Acesso não autorizado a sistemas 
• Perda de dados 
• Período de inatividade de sistemas de TI por um tempo prolongado 
• Vulnerabilidades de desenvolvimento de aplicativos cliente/servidor ou Web 
 
 
 
 
 
 
 
 
 
 
 
 
8.1.7.2 Controle de ameaças a aplicativos 
Controle de ameaças a aplicativos 
As empresas podem implementar várias medidas para controlar ameaças ao domínio do 
aplicativo: 
• Implementar políticas, padrões e procedimentos para os funcionários e para os visitantes, 
para garantir que as instalações sejam seguras. 
• Realizar testes antes do lançamento do software. 
• Implementar padrões de classificação de dados. 
• Desenvolver uma política para lidar com atualizações de software de aplicativo e do sistema 
operacional. 
• Implementar procedimentos de backup. 
• Desenvolver um plano de continuidade de negócios para aplicativos essenciais para manter 
a disponibilidade das operações. 
• Desenvolver um plano de recuperação de desastres para aplicativos e dados essenciais. 
• Implementar o registro. 
A tabela mostrada na figura corresponde as ameaças ao domínio de aplicação às 
contramedidas usadas para controlá-las. 
 
 
 
 
 
 
 
 
 
 
8.1.7.3 Atividade - Correspondência de domínios de segurança cibernética 
 
 
 
 
 
 
 
 
 
 
 
 
 
8.2 Noções básicas sobre a ética do trabalho na segurança cibernética 
8.2.1 Ética e princípios orientadores 
8.2.1.1 Ética de um especialista em segurança cibernética 
Ética de um especialista em segurança cibernética 
A ética é um sussuro que orienta um especialista em segurança cibernética sobre o que ele 
deve ou não fazer, independentemente de ser lícito. A empresa confia ao especialista em 
segurança os dados e recursos mais confidenciais. O especialista em segurança cibernética 
precisa compreender como a lei e os interesses da empresa ajudam a orientar as decisões éticas. 
Os criminosos virtuais que invadem um sistema, roubam números de cartão de crédito e 
liberam um worm estão realizando ações antiéticas. Como uma empresa visualiza as ações de um 
especialista em segurança cibernética se eles são semelhantes? Por exemplo, um especialista em 
segurança cibernética pode ter a oportunidade de parar a propagação de um worm 
preventivamente, instalando um patch. Na realidade, o especialista em segurança cibernética está 
liberando um worm. Esse worm não é mal-intencionado, no entanto, então, nesse pode passar? 
Os seguintes sistemas éticos examinam a ética de várias perspectivas. 
Ética utilitarista 
Durante o século XIX, Jeremy Benthan e John Stuart Mill criaram a ética utilitarista. O 
princípio orientador é que todas as ações que proporcionam a maior quantidade de bem sobre o 
mal são escolhas éticas. 
A abordagem dos direitos 
O princípio orientador para a abordagem de direitos é que 
os indivíduos têm o direito de fazer suas próprias escolhas. Essa 
perspectiva analisa como uma ação afeta os direitos dos outros 
para julgar se uma ação é certa ou errada. Esses direitos incluem 
o direito à verdade, privacidade, segurança, e que a sociedade 
aplica leis de forma justa a todos os seus membros. 
 
A abordagem do bem comum 
A abordagem do bem comum propõe que o bem comum é tudo o que beneficia a 
comunidade. Nesse caso, um especialista em segurança cibernética analisa como uma ação afeta 
o bem comum da sociedade ou da comunidade. 
Nenhuma resposta rápida proporciona soluções óbvias para as questões éticas que os 
especialistas em segurança cibernética enfrentam. A resposta sobre o que é certo ou errado pode 
mudar, dependendo da situação e da perspectiva ética. 
8.2 Noções básicas sobre a ética do trabalho na segurança cibernética 
8.2.1 Ética e princípios orientadores 
8.2.1.2 Computer Ethics Institute 
Computer Ethics Institute 
O Computer Ethics Institute é um recurso para identificar, avaliar e responder aos problemas 
éticos em todo o setor de tecnologia da informação. O CEI foi uma das primeiras empresas a 
reconhecer os problemas de políticas éticas e públicas provenientes do crescimento rápido da área 
de tecnologia da informação. A figura lista os dez mandamentos de ética em informática criados 
pelo Computer Ethics Institute. 
 
 
 
 
 
 
 
 
 
 
 
8.2.1.3 Atividade - Exploração da ética cibernética 
 
8.2.2 Responsabilidade e leis cibernéticas 
8.2.2.1 Crime digital 
Crime digital 
As leis proíbem comportamentos indesejados. Infelizmente, os avanços nas tecnologias de 
sistemas de informação são muito maiores do que o sistema jurídico e legislação. Várias leis e 
regulamentações afetam o espaço cibernético. Várias leis específicas orientam as políticas e 
procedimentos desenvolvidos por uma organização para garantir que estejam em conformidade. 
Crime digital 
Um computador pode estar envolvido em um crime digital de várias formas diferentes. Há 
crime assistido por computador, crime direcionado ao computador e crime incidental de 
computador. Pornografia infantil é um exemplo de crime incidental de computador — o computador 
é um dispositivo de armazenamento e não é a ferramenta real usada para cometer o crime. 
O crescimento do crime digital é devido a uma série de motivos diferentes. Existem muitas 
ferramentas amplamente disponíveis na Internet agora e os possíveis usuários não precisam de 
uma grande quantidade de conhecimentos necessários para usar essas ferramentas. 
Empresas criadas para combater o crime digital 
Há várias agências e empresas que ajudam 
no combate ao crime digital. Clique em cada um dos 
links na figura para visitar os sites dessas empresas 
para ajudar a manter-se a par dos problemas 
importantes. 
8.2.2.2 Leis civis, criminais e regulatórias 
Leis civis, criminais e regulatórias 
Nos Estados Unidos, há três fontes primárias de leis e regulamentações: leis estatutárias, lei 
administrativa e lei comum. Todas as três fontes envolvem segurança do computador. O Congresso 
norte-americano estabeleceu agências administrativas federais e uma estrutura regulatória que 
inclui penalidades civis e criminais para o não cumprimento das regras. 
As leis penais aplicam um código moral comumente aceito, apoiado pela autoridade do 
governo. Regulamentos estabelecem regras concebidas para abordar consequências em uma 
sociedade que muda rapidamente, aplicando penalidades pela violação dessas regras. Por 
exemplo, a Computer Fraud and Abuse Act é uma lei estatutória. Administrativamente, a FCC e a 
Federal Trade Commission têm se preocupado com problemas como fraude e roubo de 
propriedade intelectual. Finalmente, casos jurídicos comuns passam pelo sistema judiciário com o 
fornecimento de precedentes e bases constitucionais para as leis. 
A Federal Information Security Management Act (FISMA) 
O congresso criou a FISMA em 2002 para alterar a abordagem do governo dos EUA com 
relação à segurança da informação. Como o maior criador e usuário da informação, sistemas de TI 
federais são alvos dealto valor para os criminosos cibernéticos. A FISMA aplica-se a sistemas de 
TI de agências federais e estipula que as agências criem um programa de segurança da informação 
que inclua o seguinte: 
• Avaliações de risco 
• Inventário anual dos sistemas de TI 
• Políticas e procedimentos para reduzir o risco 
• Programas de treinamento 
• Teste e avaliação de todos os controles dos sistemas de TI 
• Procedimento de resposta a incidente 
• Continuidade do plano de operações 
8.2.2.3 Leis específicas do setor 
Leis específicas do setor 
Muitas leis específicas do setor têm um componente de segurança e/ou de privacidade. O 
governo dos EUA exige conformidade de empresas dentro desses setores. Especialistas em 
segurança cibernética devem conseguir traduzir os requisitos legais em práticas e políticas de 
segurança. 
Gramm-Leach-Bliley Act (GLBA) 
A Lei Gramm-Leach-Bliley é uma legislação que afeta, principalmente, o setor financeiro. 
Uma parte dessa legislação, no entanto, inclui provisões de privacidade para os indivíduos. Esta 
provisão proporciona os indivíduos poder controlar o uso de informações fornecidas em uma 
transação empresarial com uma empresa que faz parte de uma instituição financeira. A GLBA 
restringe o compartilhamento de informações com empresas terceirizadas. 
Sarbanes-Oxley Act (SOX) 
Depois de vários escândalos de contabilidade nos EUA, o congresso aprovou a Lei 
Sarbanes-Oxley (SOX). A finalidade da SOX foi para reformular os padrões de contabilidade 
financeira e empresarial e foi direcionada especificamente aos padrões das empresas de capital 
aberto nos Estados Unidos. 
Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 
A indústria privada também reconhece como é importante ter padrões uniformes e aplicáveis. 
Um Conselho de padrões de segurança composto pelas principais empresas do setor de cartões 
de crédito projetou uma iniciativa do setor privado para melhorar a confidencialidade das 
comunicações de rede. 
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um 
conjunto de regras contratuais que regem como proteger dados de cartão de crédito, à medida que 
comerciantes e bancos fazem a transação. O PCI DSS é um padrão voluntário (em teoria) e 
comerciantes/fornecedores podem escolher se desejam cumprir o padrão. No entanto, a não 
conformidade do fornecedor pode resultar em taxas de transações significativamente maiores, 
multas de até US $500.000 e, possivelmente, até mesmo na perda da capacidade de processar 
cartões de crédito. 
Importação/exportação de restrições de criptografia 
Desde a Segunda Guerra Mundial, os Estados Unidos regulou a exportação de criptografia, 
devido a considerações de segurança nacional. A Agência de indústria e segurança do 
Departamento de Comércio agora controla as exportações de criptografias não militares. Existem 
ainda as restrições de exportação e organizações terroristas. 
Os países podem decidir restringir a importação de tecnologias de criptografia, pelos seguintes 
motivos: 
• A tecnologia pode conter uma vulnerabilidade da segurança ou de backdoor. 
• Os cidadãos podem se comunicar anonimamente, e evitar qualquer monitoramento. 
• A criptografia pode aumentar os níveis de privacidade acima de um nível aceitável. 
 
 
 
 
 
 
 
 
 
 
8.2.2.4 Leis de notificação de violação de segurança 
Leis de notificação de violação de segurança 
As empresas estão coletando quantidades crescentes de informações pessoais sobre seus 
clientes, de senhas de contas e endereços de e-mail a informações médicas e financeiras altamente 
confidenciais. Empresas grandes e pequenas reconhecem o valor de big data e da análise de 
dados. Isso incentiva as empresas a coletar e armazenar informações. Os criminosos virtuais estão 
sempre à procura de maneiras de obter essas informações ou buscando acessar e explorar os 
dados mais sensíveis e confidenciais de uma empresa. As empresas que coletam dados 
confidenciais precisam sabem protegê-los. Em resposta a esse crescimento na coleta de dados, 
várias leis exigem que as empresas que coletam informações pessoais notifiquem os indivíduos, 
se ocorrer uma violação de seus dados pessoais. Para ver uma lista dessas leis, clique em aqui. 
Lei da Privacidade de Comunicações Eletrônicas (Electronic Communications Privacy Act, 
ECPA) 
A Lei da privacidade de comunicações eletrônicas (Electronic Communications Privacy Act, 
ECPA) aborda uma variedade de problemas jurídicos de relacionados à privacidade que resultaram 
do uso cada vez maior de computadores e de outras tecnologias específicas de telecomunicações. 
As seções dessa lei abordam comunicações por e-mail, por celular, privacidade no local de trabalho 
e uma série de outros problemas relacionados à comunicação por via eletrônica. 
Computer Fraud and Abuse Act (1986) 
A Computer Fraud and Abuse Act (CFAA) tem estado em vigor há mais de 20 anos. A CFAA 
proporciona o fundamento para leis dos EUA que criminalizam 
o acesso não autorizado a sistemas de computador. A CFAA 
torna um crime acessar, conscientemente um computador 
considerado um computador do governo ou um computador 
usado no comércio interestadual, sem permissão. A CFAA 
também criminaliza o uso de um computador em um crime 
que é de natureza interestadual. 
A lei criminaliza o tráfico de senhas ou informações de 
acesso semelhantes, além de tornar um crime transmitir, 
conscientemente, um programa, código ou um comando que 
resulta em danos. 
http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx
8.2.2.5 Proteção da privacidade 
Proteção da privacidade 
As seguintes leis dos EUA protegem a privacidade. 
Ato de privacidade de 1974 
Essa lei estabelece um código de práticas justas de informação que rege a coleta, a 
manutenção, o uso e a divulgação de informações pessoalmente identificáveis sobre os indivíduos 
que são mantidas em sistemas de registros por agências federais. 
Lei de liberdade de informação (FOIA) 
A FOIA permite o acesso público aos registros do governo dos EUA. A FOIA carrega uma 
suposição de divulgação, para que o fardo do motivo para a não divulgação da informação seja do 
governo. 
Existem nove isenções de divulgação pertencentes à FOIA. 
• Informações de política externa e de segurança nacional 
• Pessoal interno, regras e práticas de uma agência 
• Informações especificamente isentadas pelo estatuto 
• Informações comerciais confidenciais 
• Comunicação entre ou intra-agência sujeita a processo deliberativo, de litígio e outros 
privilégios 
• Informações que, se divulgadas, constituiriam uma invasão claramente injustificada da 
privacidade pessoal 
• Registros de segurança pública que implicam um de um conjunto de preocupações 
enumeradas 
• Informações da agência de instituições financeiras 
• Informações geológicas e geofísicas sobre poços 
Registros de educação de família e Ato de privacidade (FERPA) 
Essa lei federal deu a estudantes acesso a seus registros de educação. A FERPA opera com 
a escolha em participar, já que o estudante deve aprovar a divulgação de informações, antes da 
divulgação real. Quando um aluno completa 18 anos, ou entra em uma instituição pós-secundária 
em qualquer idade, esses direitos na FERPA são transferidos dos pais do aluno para o aluno. 
U.S. Computer Fraud and Abuse Act (1986) 
Essa lei federal aplica-se à coleta on-line de informações pessoais, por pessoas ou entidades 
sob a jurisdição dos EUA, de crianças com menos de 13 anos de idade. Antes das informações das 
crianças (com menos de 13 anos de idade) serem coletadas e usadas, obtenha a permissão dos 
pais. 
Lei de proteção à privacidade on-line de crianças (U.S. Children’s Online Privacy Protection 
Act, COPPA) 
Essa lei federal aplica-se à coleta on-line de informações pessoais, por pessoas ou entidades 
sob a jurisdição dos EUA, de crianças commenos de 13 anos de idade. Antes das informações das 
crianças (com menos de 13 anos de idade) serem coletadas e usadas, obtenha a permissão dos 
pais. 
Lei de proteção de crianças na Internet nos EUA (U.S. Children’s Internet Protection Act, 
CIPA) 
O congresso americano aprovou a CIPA em 2000 para proteger crianças com menos de 17 
anos contra exposição a conteúdo ofensivo e a material obsceno na Internet. 
Video Privacy Protection Act (VPPA) 
A Video Privacy Protection Act protege uma pessoa contra ter as fitas de vídeo, DVDs e 
jogos alugados divulgados para terceiros. O estatuto fornece as proteções por padrão, exigindo 
assim uma empresa de aluguer de vídeo obter consentimento do inquilino optar por não as 
proteções, se a empresa quer divulgar informações pessoais sobre arrendamentos. Muitos 
defensores da privacidade consideram a VPPA a lei de privacidade mais forte dos EUA. 
Lei de responsabilidade e de portabilidade do seguro-saúde 
Os padrões exigem proteções para armazenamento físico, manutenção, transmissão e 
acesso à informação de saúde dos indivíduos. A HIPAA exige que as empresas que usam 
assinaturas eletrônicas atendam a padrões que garantam a integridade das informações, 
autenticação do signatário e não-repúdio. 
Projeto de lei do senado da Califórnia 1386 (SB 1386) 
A Califórnia foi o primeiro estado a aprovar uma lei sobre a notificação da divulgação não 
autorizada de informações de identificação pessoal; Desde então, muitos outros estados seguiram 
seus passos. Cada uma dessas leis de aviso de divulgação é diferente, tornando o caso 
interessante para um estatuto federal de unificação. Essa lei exige que as agências forneçam aos 
consumidores aviso de seus direitos e responsabilidades. Isso exige que o estado notifique os 
cidadãos, sempre que PII for perdida ou divulgada. Desde a aprovação da SB 1386, vários outros 
estados têm feito leis tendo essa lei como padrão. 
Políticas de privacidade 
Políticas são a melhor maneira de garantir a conformidade em toda a empresa e uma política 
de privacidade desempenha um papel importante dentro da empresa, especialmente com as várias 
leis promulgadas para proteger a privacidade. Um dos resultados diretos dos estatutos legais 
associados à privacidade tem sido o desenvolvimento de uma necessidade de políticas de 
privacidade empresarial associada à coleta de dados. 
Avaliação de impacto da privacidade (PIA) 
Uma avaliação de impacto da privacidade garante que as informações de identificação pessoal 
(PII) sejam tratadas corretamente em toda uma empresa. 
• Estabelece o escopo da PIA. 
• Identifica os principais participantes. 
• Documenta todo o contato com PII. 
• Analisa os requisitos legais e regulamentares. 
• Documenta possíveis problemas encontrados 
ao comparar requisitos e práticas. 
• Revê as descobertas com os principais 
interessados. 
8.2.2.6 Leis internacionais 
Leis internacionais 
Com o crescimento da Internet e das conexões 
de rede global, a entrada não autorizada em um 
sistema de computador ou a invasão de um 
computador tem emergido como uma preocupação 
que pode ter consequências nacionais e 
internacionais. Existem leis nacionais para a invasão 
de computadores em muitos países, mas sempre pode 
haver lacunas como essas nações lidam com esse tipo 
de crime. 
Convenção sobre o crime digital 
A Convenção sobre o crime digital é o primeiro tratado internacional sobre crimes na Internet 
(UE, EUA, Canadá, Japão e outros). Políticas comuns lidam com o crime digital e abordar o 
seguinte: violações de direitos autorais, fraudes relacionadas a computadores, pornografia infantil 
e violações de segurança da rede. Clique aqui para ler mais sobre a Convenção sobre o crime 
digital. 
Electronic Privacy Information Center (EPIC) 
O EPIC promove políticas de privacidade e leis e políticas abertas do governo globalmente 
e se concentra nas relações UE-EUA. Clique aqui para obter as notícias mais recentes. 
 
8.2.2.7 Atividade - correspondência das leis relacionadas à... 
 
 
 
 
 
 
 
 
 
 
 
 
 
8.2.3 Sites com informações sobre segurança cibernética 
8.2.3.1 Banco de dados nacional de vulnerabilidades 
Banco de dados nacional de vulnerabilidades 
https://en.wikipedia.org/wiki/Convention_on_Cybercrime
https://epic.org/privacy/intl/
O banco de dados nacional de vulnerabilidades (NVD) é um repositório padronizado de 
dados do governo dos EUA para controle de vulnerabilidades que usa o protocolo de automação 
de conteúdo de segurança (SCAP). O SCAP é um método para usar padrões específicos para 
automatizar o controle de vulnerabilidades, a medição e a avaliação de conformidade com a 
política. Clique aqui para visitar o site do banco de dados nacional de vulnerabilidades. 
O SCAP usa padrões abertos para enumerar falhas de software de segurança e problemas 
de configuração. As especificações organizam e medem as informações relacionadas à segurança 
de forma padronizada. A comunidade SCAP é uma parceria entre 
o setor público e privado para avançar a padronização das 
operações de segurança técnica. Clique aqui para visitar o site do 
protocolo de automação de conteúdo de segurança. 
O NVD usa o sistema de pontuação de vulnerabilidade 
comum para avaliar o impacto das vulnerabilidades. Uma 
empresa pode usar a pontuação para classificar a gravidade das 
vulnerabilidades que encontra dentro de sua rede. Isso, por sua 
vez, pode ajudar a determinar a estratégia de mitigação. 
O site também contém um várias checklists que proporcionam orientação sobre como 
configurar sistemas operacionais e aplicativos para fornecer um ambiente codificado. 
Clique aqui para visitar o repositório do programa nacional de checklist. 
8.2.3.2 CERT 
CERT 
O Software Engineering Institute (SEI) da Universidade Carnegie Mellon ajuda governos e 
empresas do setor a desenvolver, operar e manter sistemas de software que são inovadores, 
acessíveis e confiáveis. É um centro de pesquisa e desenvolvimento financiado pelo governo 
federal com dinheiro do Departamento de Defesa dos EUA. 
A divisão CERT de estudos SEI estuda e 
resolve problemas na área de segurança 
cibernética, incluindo vulnerabilidades de 
segurança nos produtos de software, 
mudanças nos sistemas em rede e 
treinamento, para ajudar a melhorar a 
segurança cibernética. O CERT proporciona 
os seguintes serviços: 
 
• Ajuda a resolver vulnerabilidades de software 
• Desenvolve ferramentas, produtos e métodos para realizar exames de computação forense 
• Desenvolve ferramentas, produtos e métodos para analisar vulnerabilidades 
• Desenvolve ferramentas, produtos e métodos para monitorar redes grandes 
• Ajuda as empresas a determinar se suas práticas relacionadas à segurança são eficazes 
O CERT tem uma extensa base de dados de informações sobre vulnerabilidades de software e 
código malicioso para ajudar a desenvolver soluções e estratégias de remediação. Clique aqui para 
visitar o site do CERT. 
https://nvd.nist.gov/home.cfm
https://scap.nist.gov/
https://web.nvd.nist.gov/view/ncp/repository
http://www.cert.org/
8.2.3.3Internet Storm Center 
Internet Storm Center 
O Internet Storm Center (ISC) fornece uma análise e um serviço de aviso gratuitos para as 
empresas e usuários da Internet. Ele também funciona com provedores de serviços de Internet 
para combater criminosos digitais. O Internet Storm Center coleta todos os dias milhões de entradas 
de registro de sistemas de detecção de invasão com sensores que incluem 500.000 endereços IP 
em mais de 50 países. O ISC identifica sites usados para ataques e proporciona dados sobre os 
tipos de ataques lançados contra vários setores e regiões do mundo. 
Clique aqui para visitar o Internet Storm Center. O site oferece os seguintes recursos: 
• Um arquivo de blog de diário InfoSec 
• Podcasts que incluem o Stormcasts diário, 
atualizações diárias de ameaças à segurança da 
informação de cinco a dezminutos 
• Postagens de emprego InfoSec 
• Notícias de segurança da informação 
• Ferramentas InfoSec 
• Relatórios InfoSec 
• Fóruns InfoSec SANS ISC 
O Instituto SANS suporta o Internet Storm Center. O SANS é uma fonte confiável para pesquisa, 
certificação e treinamento de segurança da informação. 
8.2.3.4 Advanced Cyber Security Center 
Advanced Cyber Security Center 
O Advanced Cyber Security Center (ACSC) é uma empresa sem fins lucrativos que reúne 
indústria, academia e governo para abordar ameaças cibernéticas avançadas. A empresa 
compartilha informações sobre ameaças digitais, faz pesquisa e desenvolvimento sobre segurança 
cibernética e cria programas de educação para promover a profissão de segurança cibernética. 
O ACSC definiu quatro desafios que 
ajudarão a moldar as suas prioridades: 
• Construir sistemas resilientes para se 
recuperar de ataques e falhas. 
• Melhorar a segurança móvel. 
• Desenvolver o compartilhamento de 
ameaças em tempo real. 
• Integrar os riscos cibernéticos com as 
estruturas de risco da empresa. 
 
 
Clique aqui para visitar o Advanced Cyber Security Center. 
https://isc.sans.edu/
http://www.acscenter.org/
8.2.4 Armas de segurança cibernética 
8.2.4.1 Scanners de vulnerabilidades 
Scanners de vulnerabilidades 
Um scanner de vulnerabilidades avalia computadores, sistemas de computador, redes ou 
aplicações, em busca de pontos fracos. Os scanners de vulnerabilidades ajudam a automatizar a 
auditoria de segurança ao buscar riscos de segurança na rede e produzir uma lista priorizada para 
abordar as vulnerabilidades. Um scanner de vulnerabilidades procura os seguintes tipos de 
vulnerabilidades: 
• Uso de senhas padrão ou senhas comuns 
• Patches não instalados 
• Portas abertas 
• Erro de configuração de software e de sistemas operacionais 
• Endereços IP ativos 
Ao avaliar um scanner de 
vulnerabilidades, analise como ele é 
classificado com relação a precisão, 
confiabilidade, escalabilidade e geração 
de relatórios. Existem dois tipos de 
scanners de vulnerabilidades para 
escolher — baseados em software ou 
baseado em nuvem. 
A varredura de vulnerabilidade é 
fundamental para empresas com redes 
que incluem um grande número de 
segmentos de rede, roteadores, firewalls, 
servidores e outros dispositivos 
comerciais. Clique aqui para ver várias 
opções disponíveis para versões 
comerciais e gratuitas. 
 
8.2.4.2 Teste de penetração 
Teste de penetração 
O teste de penetração (pen testing) é um método de 
testar áreas de fraquezas em sistemas usando várias técnicas 
maliciosas. O teste de penetração não é o mesmo que teste 
de vulnerabilidade. O teste de vulnerabilidade apenas 
identifica os possíveis problemas. O pen testing envolve um 
especialista em segurança cibernética que entra em um site, 
rede ou servidor com permissão da empresa para tentar obter 
acesso a recursos com o conhecimento de nomes de usuários, 
senhas ou outros meios normais. A diferenciação importante 
http://sectools.org/tag/vuln-scanners/
entre criminosos virtuais e especialistas em segurança cibernética é que os especialistas em 
segurança cibernética têm a permissão da organização para realizar os testes. 
Um dos motivos principais por que uma empresa usa o pen testing é encontrar e corrigir 
todas as vulnerabilidades, antes dos criminosos virtuais. Testes de penetração são também 
conhecidos como ataque ético de hacker. 
8.2.4.3 Packet Analyzers 
Packet Analyzers 
Os packet analyzers (ou analisadores de pacotes) interceptam e registram o tráfego de rede. O 
packet analyzer captura cada pacote, mostra os valores de vários campos no pacote e analisa o 
conteúdo. Um sniffer pode capturar o tráfego em redes com e sem fio. Packet analyzers executam 
as seguintes funções: 
• Análise de problemas de rede 
• Detecção de tentativas de invasão da 
rede 
• Isolamento do sistema explorado 
• Log de tráfego 
• Detecção de uso indevido da rede 
Clique aqui para ver uma comparação 
de packet analyzers. 
 
8.2.4.4 Ferramentas de segurança 
Ferramentas de segurança 
Não há um padrão universal quando se trata das melhores ferramentas de segurança. Muito 
vai depender da situação, circunstância e preferência pessoal. Um especialista em segurança 
cibernética deve saber onde obter informações fundamentadas. 
Kali 
Kali é uma distribuição de segurança Linux de código aberto. Profissionais de TI usam o Kali 
Linux para testar a segurança de suas redes. O Kali Linux incorpora mais de 300 testes de 
penetração e programas de auditoria de segurança em uma plataforma Linux. Clique aqui para 
visitar o site. 
Reconhecimento da situação da rede 
Uma empresa precisa da capacidade de monitorar redes, analisar os dados resultantes e 
detectar atividade maliciosa. Clique aqui para obter acesso a um conjunto de ferramentas de 
análise de tráfego desenvolvidas pelo CERT. 
 
8.2.4.5 Atividade - uso da ferramenta adequada 
 
https://en.wikipedia.org/wiki/Comparison_of_packet_analyzers
https://www.kali.org/
http://www.cert.org/netsa/tools/index.cfm
 
8.3 Próxima etapa 
8.3.1 Explorar a profissão de segurança cibernética 
8.3.1.1 Definição das funções dos profissionais de segurança cibernética 
Definição das funções dos profissionais de segurança cibernética 
O padrão ISO define a função dos profissionais de segurança cibernética. A estrutura do ISO 
27000 exige: 
• Um gerente sênior responsável por TI e ISM (frequentemente o responsável de auditoria) 
• Profissionais de segurança da informação 
• Administradores de segurança 
• Gerente de segurança do local/física e contatos das instalações 
• Contato de RH para assuntos de RH, como ação disciplinar e treinamento 
• Gerentes de sistemas e rede, arquitetos de segurança e outros profissionais de TI 
Os tipos de cargos de segurança da informação podem ser divididos da seguinte forma: 
• Os definidores proporcionam políticas, diretrizes e normas e incluem consultores que fazem 
avaliação de risco e desenvolvem o produto as arquiteturas técnicas e indivíduos de nível 
sênior dentro da empresa que têm um conhecimento amplo, mas não muito aprofundado. 
• Os construtores são os técnicos reais que criam e instalam as soluções de segurança. 
• Monitores administram as ferramentas de segurança, executam a função de monitoramento 
de segurança e melhoram os processos. 
Clique em cada cargo de segurança da informação que desempenha um papel fundamental em 
qualquer empresa, para saber sobre os componentes-chave de cada um. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
8.3.1.2 Ferramentas de busca de emprego 
Ferramentas de busca de emprego 
Uma variedade de sites e 
aplicativos móveis anunciam empregos 
de tecnologia da informação. Cada site é 
direcionado a diferentes candidatos e 
proporciona diferentes ferramentas para 
candidatos que procuram o cargo ideal. 
Muitos sites são agregadores de sites de 
emprego, ou seja, um site de busca de 
emprego que reúne anúncios de outros 
sites de emprego e de sites de carreira de 
empresas e os exibem em um único local. 
Indeed.com 
Anunciado como o site de empregos número 1 do mundo, o Indeed.com atrai mais de 180 
milhões de visitantes únicos por mês de mais de 50 países diferentes. O Indeed é, verdadeiramente, 
um site mundial de empregos. O Indeed ajuda as empresas de todos os tamanhos a contratar os 
melhores talentos e oferece a melhor oportunidade para os candidatos a emprego. 
CareerBuilder.com 
O CareerBuilder atende a muitas empresas grandes e de prestígio. Como resultado, esse 
site atrai candidatos específicos que normalmente têm mais educação e credenciais mais altas. Os 
empregadores que publicam no CareerBuilder normalmente conseguem mais candidatos com 
ensino superior, credenciais avançadas e certificações do setor. 
USAJobs.gov 
O governo federal publica vagas no USAJobs. Clique aqui para saber mais sobre o processo 
de candidatura usado pelogoverno dos EUA. 
 
8.3.1.3 Packet Tracer – Desafio de Integração de Habilidades 
Packet Tracer – Desafio de Integração de Habilidades 
Esta atividade final inclui muitas das 
habilidades que você adquiriu durante este curso. 
Você irá configurar um roteador sem fio, fazer upload 
e baixar arquivos usando FTP, conectar-se com 
segurança a um site remoto usando uma VPN e 
proteger um roteador Cisco IOS. 
Packet Tracer – Desafio de Habilidades Integradas - 
Instruções 
Packet Tracer – Desafio de Habilidades Integradas - 
Atividade 
8.4 Resumo 
8.4.1 Conclusão 
8.4.1.1 Capítulo 8: como se tornar um especialista em segurança 
Capítulo 8: como se tornar um especialista em segurança 
Este capítulo categoriza a infraestrutura de tecnologia da informação criada pelo avanço da 
tecnologia em sete domínios. O especialista em segurança cibernética bem-sucedido deve 
conhecer os controles de segurança adequados em cada domínio necessários para atender às 
exigências da tríade CIA. 
O capítulo discutiu as leis que afetam os requisitos de tecnologia e segurança cibernética. 
Leis como FISMA, GLBA e FERPA estão voltadas para a proteção da confidencialidade. Leis que 
focam na proteção de integridade incluem FISMA, SOX e FERPA e leis que dizem respeito à 
disponibilidade incluem FISMA, SOX, GLBA e CIPA. Além da legislação em vigor, o especialista 
em segurança cibernética precisa compreender como o uso dos computadores e da tecnologia 
afetam os indivíduos e a sociedade. 
O capítulo também explorou a oportunidade para se tornar um especialista em segurança 
cibernética. Por fim, este capítulo também discutiu várias ferramentas disponíveis aos especialistas 
em segurança cibernética. 
 
 
 
https://www.usajobs.gov/Help/About/
https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pdf
https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pdf
https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pka
https://contenthub.netacad.com/legacy/CyberEss/1.0/pt/course/files/8.3.1.3%20Packet%20Tracer%20-%20Skills%20Integrated%20Challenge.pka