Livro Análise e Vulnerabilidade de Riscos

Prévia do material em texto

Indaial – 2021
Análise de 
VulnerAbilidAde de 
riscos
Prof. Carlos André de Sousa Rocha
Prof. Jorge Werner
Prof.a Muriel de Fátima Bernhardt
1a Edição
Copyright © UNIASSELVI 2021
Elaboração:
Prof. Carlos André de Sousa Rocha
Prof. Jorge Werner
Prof.a Muriel de Fátima Bernhardt
Revisão, Diagramação e Produção:
Centro Universitário Leonardo da Vinci – UNIASSELVI
Ficha catalográfica elaborada na fonte pela Biblioteca Dante Alighieri 
UNIASSELVI – Indaial.
Impresso por:
R672a
Rocha, Carlos André de Sousa
Análise de vulnerabilidade de riscos. / Carlos André de Sousa Rocha; 
Jorge Werner; Muriel de Fátima Bernhardt. – Indaial: UNIASSELVI, 2021.
210 p.; il.
ISBN 978-65-5663-398-5
ISBN Digital 978-65-5663-399-2
1. Vulnerabilidade de segurança. - Brasil. I. Rocha, Carlos André de 
Sousa. II. Werner, Jorge. III. Bernhardt, Muriel de Fátima. IV. Centro Universitário 
Leonardo Da Vinci.
CDD 004
ApresentAção
Prezado acadêmico! O Livro Didático “Análise de Vulnerabilidade 
de Riscos” apresentará a você conhecimentos sobre os conceitos de 
vulnerabilidades e riscos: os principais tipos de vulnerabilidades; as 
ferramentas para análise de vulnerabilidade de segurança; a análise de 
vulnerabilidade; as principais técnicas de varreduras de vulnerabilidade, 
incluindo vulnerabilidades on-line e testes de invasão.
Caro acadêmico, os problemas de segurança estão presentes cada vez 
mais em no nosso dia a dia. Com o advento da computação e a crescente 
utilização das redes de computadores, as rotinas de segurança se tornaram 
essenciais para o bom funcionamento dos negócios, negócios cada vez mais 
dependentes da tecnologia. Vários são os desafios, no tocante à proteção 
dos usuários e de seus dados nos computadores e nas redes. A análise de 
vulnerabilidades de riscos busca auxiliar na identificação e correção das 
falhas de segurança.
Na Unidade 1 serão apresentados os principais conceitos relacionados 
à análise de vulnerabilidades e riscos: falaremos sobre o que é a gestão de 
riscos, e trataremos das diferenças entre as ameaças e os ataques. Conceitos 
básicos relacionados à análise de vulnerabilidade também serão introduzidos 
nesta unidade.
Na sequência, na Unidade 2, você aprofundará seus estudos sobre 
os principais tipos de vulnerabilidades e como são classificadas, para logo 
em seguida conhecer algumas ferramentas de análise de vulnerabilidade e 
verificar a utilização prática de uma ferramenta específica, além de conhecer 
como é preparado o ambiente para a utilização da referida ferramenta.
Encerrando sua caminhada, na Unidade 3 você será apresentado 
às diferentes técnicas de varreduras que podem ser aplicadas em um 
ambiente computacional e se aprofundará sobre as vulnerabilidades on-
line. Por fim, você estudará os testes de invasão, conhecendo seu conceito e 
suas principais características.
Este é o fascinante mundo da segurança da informação em redes. 
Aproveite, revise e construa novos conceitos que inevitavelmente farão parte 
de sua vida. 
Bons estudos e sucesso na sua vida acadêmica!
Prof. Jorge Werner
Prof. Carlos André de Sousa Rocha
Prof.a Muriel de Fátima Bernhardt
Você já me conhece das outras disciplinas? Não? É calouro? Enfim, tanto para 
você que está chegando agora à UNIASSELVI quanto para você que já é veterano, há 
novidades em nosso material.
Na Educação a Distância, o livro impresso, entregue a todos os acadêmicos desde 2005, é 
o material base da disciplina. A partir de 2017, nossos livros estão de visual novo, com um 
formato mais prático, que cabe na bolsa e facilita a leitura. 
O conteúdo continua na íntegra, mas a estrutura interna foi aperfeiçoada com nova 
diagramação no texto, aproveitando ao máximo o espaço da página, o que também 
contribui para diminuir a extração de árvores para produção de folhas de papel, por exemplo.
Assim, a UNIASSELVI, preocupando-se com o impacto de nossas ações sobre o ambiente, 
apresenta também este livro no formato digital. Assim, você, acadêmico, tem a possibilidade 
de estudá-lo com versatilidade nas telas do celular, tablet ou computador. 
 
Eu mesmo, UNI, ganhei um novo layout, você me verá frequentemente e surgirei para 
apresentar dicas de vídeos e outras fontes de conhecimento que complementam o assunto 
em questão. 
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas 
institucionais sobre os materiais impressos, para que você, nossa maior prioridade, possa 
continuar seus estudos com um material de qualidade.
Aproveito o momento para convidá-lo para um bate-papo sobre o Exame Nacional de 
Desempenho de Estudantes – ENADE. 
 
Bons estudos!
NOTA
Olá, acadêmico! Iniciamos agora mais uma disciplina e com ela 
um novo conhecimento. 
Com o objetivo de enriquecer seu conhecimento, construímos, além do livro 
que está em suas mãos, uma rica trilha de aprendizagem, por meio dela você terá 
contato com o vídeo da disciplina, o objeto de aprendizagem, materiais complementares, 
entre outros, todos pensados e construídos na intenção de auxiliar seu crescimento.
Acesse o QR Code, que levará ao AVA, e veja as novidades que preparamos para seu estudo.
Conte conosco, estaremos juntos nesta caminhada!
LEMBRETE
sumário
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE .................................... 1
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO ........................................................... 3
1 INTRODUÇÃO .................................................................................................................................... 3
2 CONCEITOS SOBRE RISCO ............................................................................................................ 4
3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO ................................................................................... 7
RESUMO DO TÓPICO 1..................................................................................................................... 15
AUTOATIVIDADE .............................................................................................................................. 17
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE ................................................................. 19
1 INTRODUÇÃO .................................................................................................................................. 19
2 AMEAÇAS ........................................................................................................................................... 20
2.1 MODELAGEM DE AMEAÇAS .................................................................................................. 29
3 ATAQUES ............................................................................................................................................ 32
RESUMO DO TÓPICO 2..................................................................................................................... 38
AUTOATIVIDADE .............................................................................................................................. 40
TÓPICO 3 — FUNDAMENTOS DAS VULNERABILIDADES .................................................. 43
1 INTRODUÇÃO .................................................................................................................................. 43
2 FUNDAMENTOS DA GESTÃO DE SEGURANÇA .................................................................. 43
3 VULNERABILIDADES .................................................................................................................... 45
3.1 IDENTIFICAÇÕES DE AMEAÇAS E VULNERABILIDADES .............................................. 49
LEITURA COMPLEMENTAR ............................................................................................................ 58
RESUMO DO TÓPICO 3..................................................................................................................... 65
AUTOATIVIDADE ..............................................................................................................................67
REFERÊNCIAS ...................................................................................................................................... 69
UNIDADE 2 — TIPOS E FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES........... 71
TÓPICO 1 — PRINCIPAIS TIPOS DE VULNERABILIDADES ................................................. 73
1 INTRODUÇÃO .................................................................................................................................. 73
2 TIPOS DE VULNERABILIDADES ................................................................................................ 73
3 CLASSIFICAÇÃO DAS VULNERABILIDADES........................................................................ 77
3.1 CVE ................................................................................................................................................. 79
3.2 CWE ................................................................................................................................................ 85
RESUMO DO TÓPICO 1..................................................................................................................... 90
AUTOATIVIDADE .............................................................................................................................. 91
TÓPICO 2 — FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES ........................ 95
1 INTRODUÇÃO .................................................................................................................................. 95
2 EXEMPLOS DE FERRAMENTAS PARA ANÁLISE DE VULNERABILIDADES ................ 95
2.1 NESSUS .......................................................................................................................................... 98
2.2 OPENVAS ...................................................................................................................................... 99
2.3 ACUNETIX .................................................................................................................................. 100
2.4 GFI LANGUARD ........................................................................................................................ 101
2.5 NEXPOSE ..................................................................................................................................... 102
3 APLICAÇÃO PRÁTICA DE UMA FERRAMENTA ................................................................. 103
RESUMO DO TÓPICO 2................................................................................................................... 112
AUTOATIVIDADE ............................................................................................................................ 113
TÓPICO 3 — FUNDAMENTOS SOBRE O AMBIENTE ............................................................ 117
1 INTRODUÇÃO ................................................................................................................................ 117
2 CONCEITO SOBRE O AMBIENTE ............................................................................................. 117
3 INSTALAÇÃO E CONFIGURAÇÃO DO AMBIENTE ............................................................ 118
LEITURA COMPLEMENTAR .......................................................................................................... 133
RESUMO DO TÓPICO 3................................................................................................................... 134
AUTOATIVIDADE ............................................................................................................................ 135
REFERÊNCIAS .................................................................................................................................... 138
UNIDADE 3 — ANÁLISE DE VULNERABILIDADES .............................................................. 141
TÓPICO 1 — TÉCNICAS DE VARREDURAS DE VULNERABILIDADES........................... 143
1 INTRODUÇÃO ................................................................................................................................ 143
2 TÉCNICAS DE VARREDURAS .................................................................................................... 143
2.1 TCP SYN (HALF SCAN) ........................................................................................................... 148
2.2 TCP CONNECT (OPEN SCAN) ............................................................................................... 148
2.3 UDP (OPEN SCAN) ................................................................................................................... 149
2.4 VARREDURAS BASEADAS NA RFC 793 .............................................................................. 150
2.4.1 TCP FIN (STEALTH) ......................................................................................................... 151
2.4.2 TCP XMAS TREE (STEALTH) ......................................................................................... 152
2.4.3 TCP NULL (STEALTH) .................................................................................................... 152
2.5 TCP ACK (STEALTH) ................................................................................................................ 153
2.6. TCP WINDOW ........................................................................................................................... 154
3 APLICAÇÃO DAS TÉCNICAS DE VARREDURAS ................................................................ 155
3.1 USO DO NMAP PARA A APLICAÇÃO DAS TÉCNICAS DE VARREDURAS 
ESTUDADAS ............................................................................................................................... 155
3.1.1 Varredura de uma grande rede para uma porta TCP específica ................................ 157
3.1.2 Aplicação da técnica TCP CONNECT ............................................................................ 158
3.1.3 Aplicação da técnica TCP SYN ....................................................................................... 158
3.1.4 Aplicação da técnica TCP FIN ......................................................................................... 159
3.1.5 Varredura para encontrar todos os servidores rodando uma aplicação insegura .......... 160
3.1.6 Varredura customizada para a detecção de proxies abertos ....................................... 160
3.1.7 Varredura para detectar pontos de acesso wireless falsos .......................................161
RESUMO DO TÓPICO 1................................................................................................................... 163
AUTOATIVIDADE ............................................................................................................................ 164
TÓPICO 2 — VULNERABILIDADES ON-LINE ......................................................................... 167
1 INTRODUÇÃO ................................................................................................................................ 167
2 PRINCIPAIS VULNERABILIDADES ON-LINE ....................................................................... 167
3 APLICAÇÃO DAS VULNERABILIDADES ON-LINE ............................................................ 179
RESUMO DO TÓPICO 2................................................................................................................... 184
AUTOATIVIDADE ............................................................................................................................ 185
TÓPICO 3 — TESTES DE INVASÃO ............................................................................................. 189
1 INTRODUÇÃO ................................................................................................................................ 189
2 CONCEITO DE TESTE DE INVASÃO ....................................................................................... 189
2.1 ETAPAS DE UM TESTEDE INVASÃO ................................................................................... 194
3 TIPOS DE TESTE DE INVASÃO ................................................................................................. 197
3.1 TESTE WHITE BOX (CAIXA BRANCA) ................................................................................. 199
3.2 TESTE GRAY BOX (CAIXA CINZA) ....................................................................................... 199
3.3 TESTE BLACK BOX (CAIXA PRETA) ..................................................................................... 199
3.4 ENGENHARIA SOCIAL ........................................................................................................... 200
3.5 HACKING DE DISPOSITIVOS MÓVEIS ................................................................................ 200
LEITURA COMPLEMENTAR .......................................................................................................... 201
RESUMO DO TÓPICO 3................................................................................................................... 203
AUTOATIVIDADE ............................................................................................................................ 204
REFERÊNCIAS .................................................................................................................................... 207
1
UNIDADE 1 — 
PRINCÍPIOS DA ANÁLISE DE 
VULNERABILIDADE
OBJETIVOS DE APRENDIZAGEM
PLANO DE ESTUDOS
A partir do estudo desta unidade, você deverá ser capaz de:
• conhecer os conceitos básicos relacionados à gestão de riscos;
• compreender as ameaças, os ataques e os seus conceitos;
•	 identificar	os	conceitos	básicos	relacionados	à	análise	de	vulnerabilidades;
• relacionar os conceitos de gestão de riscos, ameaças, ataques à análise de 
vulnerabilidades	em	sistema	da	informação.
Esta	 unidade	 está	 dividida	 em	 três	 tópicos.	 No	 decorrer	 da	
unidade,	 você	 encontrará	 autoatividades	 com	o	 objetivo	 de	 reforçar	 o	
conteúdo	apresentado.
TÓPICO	1	–	FUNDAMENTOS	DA	GESTÃO	DE	RISCO
TÓPICO	2	–	CONCEITOS	DE	AMEAÇA	E	ATAQUE
TÓPICO	3	–	FUNDAMENTOS	DAS	VULNERABILIDADES
Preparado para ampliar seus conhecimentos? Respire e vamos 
em frente! Procure um ambiente que facilite a concentração, assim absorverá 
melhor as informações.
CHAMADA
2
3
TÓPICO 1 — 
UNIDADE 1
FUNDAMENTOS DA GESTÃO DE RISCO
1 INTRODUÇÃO
A	segurança	da	informação	é	obtida	com	a	implementação	de	controles,	
que	deverão	ser	monitorados,	analisados	e	consecutivamente	melhorados,	com	
o	intuito	de	atender	aos	objetivos	do	negócio,	mitigando	os	riscos	e	garantindo	
os	 preceitos	 de	 segurança	 da	 organização:	 confidencialidade,	 integridade	 e	
disponibilidade	(CID),	a	tríade	de	segurança	da	informação	(SÊMOLA,	2014).
O	 gerenciamento	 de	 riscos	 (em	 inglês,	 risk management)	 é	 o	 processo	
pelo	 qual	medimos	 ou	 estimamos	 o	 risco	 e	 depois	 desenvolvemos	 estratégias	
para	 governar.	 Na	 área	 de	 Tecnologia	 da	 Informação	 (TI)	 não	 é	 diferente,	 o	
gerenciamento	de	 riscos	de	TI	 é	 a	 aplicação	de	métodos	de	gerenciamento	de	
riscos	para	a	tecnologia	da	informação.	O	risco	comercial	associado	ao	uso,	posse,	
funcionamento,	 envolvimento,	 influência	 e	 adoção	de	TI	 em	uma	 empresa	 ou	
organização.	 As	 pequenas	 ou	 grandes	 empresas	 praticam	 informalmente	 ou	
possuem	equipes	dedicadas	para	o	gerenciamento	de	riscos.	O	gerenciamento	de	
riscos de TI pode ser considerado um componente de um sistema de gerenciamento 
de	riscos	corporativo	mais	amplo	(BAARS	et al.,	2018).	
A	utilização,	criação,	manutenção	e	atualização	contínua	de	um	Sistema	
de	Gestão	 de	 Segurança	 da	 Informação	 (SGSI)	 fornece	 uma	 grande	 indicação	
de	que	uma	empresa	usa	uma	abordagem	sistemática	para	identificar,	avaliar	e	
gerenciar	riscos	para	a	segurança	das	suas	informações	(SÊMOLA,	2014).
Um Sistema de Gestão da Segurança da Informação (SGSI) é um sistema 
voltado para segurança da informação, inclui todo o escopo de controles que uma 
organização precisa para garantir a proteção da confidencialidade, da disponibilidade, e da 
integridade (SÊMOLA, 2014).
IMPORTANT
E
O	escopo	deste	 tópico	 levará	você	a	conhecer	os	assuntos	relacionados	ao	
entendimento	do	gerenciamento	de	 riscos	da	 segurança	da	 informação,	desde	os	
conceitos	de	riscos,	riscos	de	tecnologia	da	informação,	até	mesmo	sobre	a	análise	e	
a	avaliação	dos	riscos.	
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
4
2 CONCEITOS SOBRE RISCO
Incialmente,	 neste	 tópico,	 caro	 acadêmico,	 você	 conhecerá	 os	 conceitos	
sobre	 riscos	de	vulnerabilidades.	O	gerenciamento	de	 riscos	e	a	 conformidade	
com	 as	 questões	 legais	 são	 pré-requisitos	 para	 o	 desenvolvimento	 de	 suma	
boa	 estratégia	 de	 segurança	 da	 informação.	 Uma	 boa	 identificação	 dos	 riscos	
pode	 contribuir	 para	 que	 você	 compreenda	 as	 fraquezas	 e	 oportunidades	 de	
atendimento	da	segurança,	assim	como	das	questões	legais.
O	 risco	 de	 TI	 inclui	 não	 apenas	 o	 impacto	 negativo	 das	 operações	 e	
na	 prestação	 de	 serviços,	 que	 podem	 levar	 à	 destruição	 ou	 redução	 do	 valor	
da	 organização,	 mas	 também	 à	 vantagem,	 que	 permite	 o	 risco	 associado	 à	
possibilidade	de	usar	a	tecnologia	para	melhorar	o	gerenciamento	de	negócios	
ou	projetos	de	TI,	para	aspectos	como	gastos	excessivos	ou	atraso	na	entrega,	com	
impacto	negativo	nos	negócios	(BAARS	et al.,	2018).
Como o risco está intimamente relacionado à incerteza, a teoria da 
decisão	 deve	 ser	 aplicada	 ao	 gerenciamento	 de	 riscos	 como	 uma	 ciência,	 ou	
seja,	 fazer	escolhas	 racionalmente	em	condições	de	 incerteza.	Os	 riscos	devem	
ser	identificados	e	classificados	para	uma	tomada	de	decisão	correta	em	termos	
de	priorização	e	alocação	de	recursos.	Para	o	seu	monitoramento,	é	necessário,	
ainda,	uma	 categorização	de	 acordo	 com	 sua	natureza	 e	 relevância,	 pois	 todo	
risco	 envolve	um	ganho	ou	uma	perda.	 É	de	 fato	 importante	 que	 o	 risco	 seja	
medido,	pois	todo	ato	ou	fato	relacionado	com	a	organização	tem	algum	efeito	
nos	seus	resultados.	Deve-se	mensurar	o	risco,	sua	ocorrência	potencial	e	os	seus	
possíveis	 impactos	 estratégicos,	 operacionais,	 de	 conformidade	 e	 econômico	
(BAARS	et al.,	2018).	
Os	 riscos	podem	ser	divididos	 entre	 aqueles	que	 têm	origem	 interna	 e	
aqueles	de	origem	externa.	Em	geral,	os	riscos	de	origem	interna	podem	adotar	
medidas	para	seu	controle,	e	os	riscos	de	origem	externa,	geralmente,	não	possuem	
o	controle.	Contudo,	muitos	riscos,	verificam-se	de	processos	inadequados	ou	da	
ineficiência	da	sua	gerência.
Os conceitos relacionados com os riscos são: 
•	 Uma	 combinação	 da	 probabilidade	 de	 um	 evento	 e	 de	 suas	 consequências	
(ISO/IEC	27002,	2013).
•	 A	probabilidade	de	ameaças	explorarem	vulnerabilidades,	gerando	perdas	de	
confidencialidade,	integridade	e	disponibilidade	(SÊMOLA,	2014).
•	 O	produto	da	probabilidade	com	o	impacto	(risco	=	probabilidade	impacto),	
ou	 seja,	 a	 combinação	 das	 consequências	 advindas	 da	 ocorrência	 de	 um	
evento	indesejado	com	a	probabilidade	da	ocorrência	deste	evento	(ISO/IEC	
31000,	2009).
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO
5
O risco é o potencial de uma ação ou atividade escolhida levar a uma perda 
ou evento indesejável.
IMPORTANT
E
Ao	longo	dos	anos,	o	gerenciamento	de	riscos	se	 tornou	cada	vez	mais	
importante,	 colocando	diretores	 e	 gerentes	 de	 negócios	 diante	da	 necessidade	
de	detectar	os	métodos	para	identificar,	medir	e	tratar	os	riscos	corporativos.	As	
medidas	tradicionais	de	proteção	não	são	mais	suficientes	para	fornecer	cobertura	
adequada	contra	os	riscos	de	segurança	cibernética,	um	setor	fundamental	para	
as	empresas	e	as	partes	interessadas	no	negócio	(do	inglês,	stakeholders).	Por	esse	
motivo,	 parece	 necessário	 ter	 ferramentas	 destinadas	 a	 impedir	 a	 invasão	 do	
computador	com	uma	análise	detalhada	dos	riscos	associadosàs	informações.	
A	série	de	normas	ISO/IEC	27000	(do	inglês,	International Organization for 
Standardization)	 (ISO/IEC	27000,	 2018)	 estabelece	as	 condições	necessárias	para	
estabelecer, implementar, manter, melhorar continuamente um sistema de gestão 
de	segurança	da	informação.	
As	principais	normas	da	série	ISO/IEC	27000	são:	
•	 ISO/IEC	27000	–	apresenta	uma	visão	geral	das	normas	e	vocabulário;
•	 ISO/IEC	27001	–	define	os	requisitos	no	estabelecimento	do	sistema	de	gestão	
de	segurança	da	informação;
•	 ISO/IEC	27002	–	apresenta	um	conjunto	de	controles	e	objetivos	de	controle	de	
segurança	da	informação;	
•	 ISO/IEC	27003	–	apresenta	 linhas	gerais	para	a	 implementação	do	sistema	de	
gestão	de	segurança	da	informação;
•	 ISO/IEC	27004	–	define	linhas	gerais	para	a	criação	de	métricas	de	segurança	da	
informação	e	a	medição	do	sistema	de	gestão	de	segurança	da	informação;	
•	 ISO/IEC	 27005	 –	 fornece	 diretrizes	 para	 o	 processo	 de	 gestão	 de	 risco	 em	
segurança	da	informação;	
•	 ISO/IEC	 27006	 –	 apresenta	 recomendações	 para	 o	 processo	 de	 auditoria	 e	
certificação	em	segurança	da	informação.
A	ISO/IEC	27005	trata	a	extensão	de	um	risco	para	um	risco	de	tecnologia	
da	informação	pode	ser	determinada	como:	
•	 Um	produto	dos	valores	de:	 ameaça,	vulnerabilidade	e	os	ativos	 (recursos),	
conforme	apresentado	na	Figura	1.	Um	exemplo	de	ameaça,	vulnerabilidade	
e	os	ativo,	poderia	 ser	 respectivamente,	um	acesso	 indevido,	por	quebra	de	
senhas,	em	um	banco	de	dados	de	um	sistema	corporativo.
•	 O	efeito	da	incerteza	sobre	os	objetivos	de	controle	de	segurança	da	informação	
(ISO/IEC	27005,	2018).
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
6
FIGURA 1 – CÁLCULO DO RISCO DE TECNOLOGIA DA INFORMAÇÃO
FONTE: Adaptado de ISO/IEC 27005 (2018)
Ativo é aquilo que agrega valor para a organização. Um ativo pode ser 
representado por uma informação, um processo, um produto, uma base de dados, um 
software, um hardware, entre outras possibilidades (ISO/IEC 27005, 2018).
NOTA
O	valor	do	risco	pode	ser	medido	pelo	produto	da	probabilidade	com	o	
impacto	mediante	aproximação	(ISO/IEC	31000,	2009).	A	determinação	de	risco	
considera	dois	parâmetros	fundamentais:
•	 O	impacto	gerado	por	um	evento	negativo/positivo.
•	 A	probabilidade	de	um	evento	ocorrer.
A	Figura	2	apresenta	a	fórmula	associada	ao	risco,	ou	seja,	o	produto	da	
probabilidade	versus	o	impacto	do	risco	ocorrer.	Assim:
•	 Probabilidade	–	é	calculada	ou	obtida	em	função	do	nível	de	maturidade	do	
processo	de	tecnologia	da	informação,	ou	melhor,	perspectiva	de	ocorrência	
do	 risco.	 É	 expresso	 em	 valores	 percentuais,	 por	 exemplo,	 10%,	 100%	 de	
ocorrência	do	risco;	
•	 Impacto	–	é	atribuído	conforme	a	consequência	da	sua	ocorrência,	por	exemplo,	
risco	não	significativo	ou	risco	alto.
FIGURA 2 – CÁLCULO DO RISCO
FONTE: Adaptado de ISO/IEC 31000 (2009)
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO
7
O	conceito	do	risco	relacionado	à	segurança	da	informação	está	vinculado	
à	possibilidade	de	um	determinado	evento	explorar	uma	possível	fragilidade	
de	um	ativo	ou	de	um	conjunto	de	ativos,	prejudicando,	assim,	a	organização	
no	seu	dia	a	dia.	
Mesmo	quem	nunca	passou	por	 isso	pode	 imaginar	 que	um	 risco	 alto	
poderia	ser	um	evento	de	um	acesso	indevido,	por	exemplo,	devido	à	exploração	
de	uma	falha	no	sistema	de	gerenciamento	de	senhas,	prejudicando	o	ativo	de	
rede	e,	consequentemente,	ocasionando	a	perda	de	dados	de	toda	a	organização.
3 PRINCÍPIOS DA AVALIAÇÃO DE RISCO
A	gestão	ou	análise	do	risco	deve	em	grande	parte	seguir	uma	estratégia	
de	governança	corporativa,	que	inclui	tratar	um	ciclo	de	planejamento,	execução,	
checagem	e	avaliação	–	PDCA	(do	inglês,	Plan-do-Check-Act),	o	ciclo	será	detalhado	
no	Tópico	3.	A	Figura	3	apresenta	uma	estratégia	de	gestão	do	risco	corporativa,	
onde	temos	um	alinhamento	estratégico	aos	negócios	da	empresa,	a	entrega	de	
valor	agregado	a	empresa,	o	gerenciamento	dos	recursos	e	a	análise	ou	medição	
do	desempenho	das	estratégias	adotadas.
FIGURA 3 – ESTRATÉGIA DE GESTÃO DO RISCO
FONTE: Adaptado de ISO/IEC 31000 (2009)
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
8
A	análise	de	risco	consiste	no	processo	de	compreender	a	natureza	do	risco	
e	determinar	o	nível	de	risco	de	um	determinado	evento,	obtendo,	dessa	forma,	
uma	classificação.	O	nível	de	risco	fornece	uma	medida	da	amplitude	do	risco,	
calculada	em	termos	da	consequência	da	realização	do	risco	e	da	probabilidade	
da	ocorrência	do	risco.	Um	exemplo,	para	a	análise	de	risco,	poderia	ser	quando	
uma	 instituição	de	 ensino	 contrata	uma	 consultoria	de	 segurança	para	 avaliar	
se	os	seus	colaboradores	atendem	aos	critérios	estabelecidos	na	sua	política	de	
segurança	da	informação.	Diversas	alternativas	podem	avaliar	os	colaboradores,	
um	 evento	 poderia	 ser	 o	 recebimento	 de	 e-mails	 maliciosos	 e,	 neste	 caso,	
determinar	uma	classificação	de	risco	e	sua	amplitude,	conforme	a	aderência	dos	
colaboradores	ao	enfraquecimento	do	risco.	
 
Você,	acadêmico,	deve	compreender	que	o	 risco	é	 expresso	em	valores	
percentuais	e	é	assim	classificado	em	níveis	de	avaliação.	A	Figura	4	apresenta	
um	 exemplo	 dessa	 classificação,	 em	 que	 quanto	 maiores	 os	 valores	 de	 risco,	
maior	a	probabilidade	de	o	risco	acontecer.	Quanto	menores	os	valores,	menores	
as	 probabilidades	 de	 o	 risco	 ocorrer.	 Assim	 o	 risco	 é	 classificado	 em	 quatro	
níveis	de	impacto	da	ocorrência:	não	significativo,	baixo,	alto	e	quase	certo,	para	
respectivamente,	de	0	a	10%,	10%,	90%	e	entre	90	a	100%.	
FIGURA 4 – CLASSIFICAÇÃO DO RISCO
FONTE: Adaptado de ISO/IEC 31000 (2009)
Conheça mais da norma ISO/IEC 27005 no Site da ISO em: 
https://www.iso.org/standard/75281.html.
DICAS
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO
9
Conheça mais da norma ISO/IEC 31000 no Site da ISO em: 
https://www.iso.org/obp/ui/#iso:std:iso:31000:en.
DICAS
Em	 sistemas	 de	 tecnologia	 da	 informação,	 uma	 estimativa	 de	 impacto	
pode	ser	obtida	avaliando	a	perda	em	termos	de	integridade	(exemplo,	o	recurso	
afetado	foi	alterado	ou	destruído),	confidencialidade	(exemplo,	o	recurso	se	torna	
conhecido	pelo	atacante)	e	disponibilidade	(exemplo,	acesso	ao	recurso	negado).	
A	norma	ISO/IEC	27001	associa	uma	escala	de	valores	de	risco	para	cada	um	dos	
itens	de	segurança	da	informação.	A	escala	é	definida	por	valores	de	risco	baixo,	
risco	médio	e	risco	alto.	A	soma	da	tríade	de	segurança	da	informação	(integridade,	
confidencialidade	e	disponibilidade)	 fornece	o	valor	do	ativo	(do	recurso).	Por	
exemplo,	para	cada	item,	é	atribuído	um	valor	de	zero	a	quatro	de	acordo	com	o	
efeito	que	a	quebra	de	confidencialidade,	integridade	ou	disponibilidade	de	um	
ativo	tem	sobre	a	organização.	
A	avaliação	da	probabilidade	deve	levar	em	consideração	vários	fatores,	
como	as	habilidades	e	motivações	do	atacante,	a	natureza	da	vulnerabilidade	e	as	
contramedidas	adotadas	para	proteger	o	sistema.	Da	mesma	forma	com	que	você	
viu	a	avaliação	do	risco,	o	valor	da	probabilidade	também	pode	ser	estabelecido	
de	acordo	com	uma	escala	de	referência.	Por	exemplo,	o	modelo	NIST	(do	inglês,	
National Institute of Standards and Technology)	 também	 estabelece	 os	 valores	 de	
probabilidade	baixa,	de	probabilidade	média	e	de	probabilidade	alta,	para	uma	
falha	ou	ataque	ocorrer	(NIST,	2012).	Ainda	se	pode	estabelecer	uma	pontuação	
para	cada	destes	valores,	por	exemplo,	podem	ser	dados	valores	de	zero	a	três.
O NIST (do inglês, National Institute of Standards and Technology) é um 
importante instituto de padronização americano. Conheça mais sobre o NIST em: 
https://www.nist.gov/.
DICAS
A	análise	de	risco	fornece,	assim,	elementos	para	a	realização	da	avaliação	
de	 risco.	A	 avaliação	 de	 risco	 é	 o	 processo	 de	 comparação	 dos	 resultados	 da	
análise	de	risco	com	critérios	de	risco	previamente	definidos,	com	o	objetivo	de	
determinar	se	o	 risco	é	ou	não	aceitável	 (ISO/IEC	27005,	2018).	A	avaliação	de	
riscos	éum	componente	essencial	de	um	processo	de	gerenciamento	de	riscos	em	
toda	a	organização	(NIST,	2012).
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
10
A	Figura	5	apresenta	o	processo	de	avaliação	de	riscos	de	segurança	da	
informação	definido	na	 ISO/IEC	27005,	 seguindo	uma	metodologia	PDCA,	ou	
seja,	passando	pela	fase	de	planejamento,	execução,	verificação	e	ação.	
FIGURA 5 – A VISÃO DO PROCESSO DE GERENCIAMENTO DO RISCO (ISO/IEC 27005, 2018)
FONTE: Adaptada de <https://www.aedb.br/seget/arquivos/artigos12/57616827.pdf>. 
Acesso em: 1 jun. 2020.
A	visão	 do	 ciclo	 de	 vida	 do	 processo	 de	 gerenciamento	 de	 riscos	 pela	
norma	ISO/IEC	27005	tem	seis	grupos	principais	de	atividades,	são	eles:
• Definição do contexto	–	é	o	primeiro	passo	no	processo	de	gestão	de	risco.	A	
definição	do	contexto	identifica	o	ambiente	faísico,	tecnológico	e	humano.
• Análise/Avaliação de riscos – este processo compreende a análise dos riscos 
(subdividida	 em	 identificação	 e	 estimativa	 dos	 riscos)	 e	 a	 avaliação	 dos	
riscos.	O	processo	de	avaliação	dos	riscos	é	realizado	até	que	sejam	gerados	
resultados	satisfatórios,	ou	seja,	sejam	gerados	resultados	capazes	de	apontar	
ações	necessárias	para	a	redução	dos	riscos.
• Identificação do risco – o processo de localizar, listar e caracterizar elementos do 
risco.	Os	elementos	podem	incluir	fonte,	evento,	consequência	e	probabilidade;
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO
11
• Estimativa do risco	 –	 o	 processo	 atribui	 valores	 à	 probabilidade	 e	 às	
consequências	 de	 um	 risco.	 A	 estimativa	 do	 risco	 pode	 considerar	 custo,	
benefícios,	preocupações	e	outras	métricas	possíveis	para	a	avaliação	do	risco.
• Avaliação do risco	–	nesta	etapa	o	risco	é	comparado	e	estimado	de	acordo	com	
um	determinado	critério,	verificando	sua	relevância.	A	avaliação	do	risco	pode	
ser	usada	para	a	tomada	de	decisão	de	aceitar	e	tratar	um	risco.
• Tratamento do risco	–	os	resultados	do	processo	da	avaliação	dos	riscos	são	
aplicados	à	etapa	de	tratamento	dos	riscos.
• Aceitação do risco	 –	 após	 a	 realização	 dos	 devidos	 tratamentos,	 os	 riscos	
resultantes	são	considerados	aceitos	pelo	contexto	previamente	estabelecido.
• Comunicação do risco – nesta etapa ocorre a troca ou compartilhamento da 
informação	sobre	o	risco.	É	realizada	entre	o	tomador	de	decisão	e	os	outros	
interessados.	A	informação	pode	estar	relacionada	a	existência,	a	natureza,	a	
forma,	a	probabilidade,	a	gravidade,	a	aceitabilidade,	ao	tratamento	ou	outros	
aspectos	do	risco.
• Monitoramento e análise crítica de riscos	–	o	monitoramento	é	um	processo	
contínuo	 de	 verificação,	 supervisão,	 observação	 crítica	 ou	 identificação	 da	
situação	para	 identificar	mudanças.	A	análise	 crítica	 é	 a	 atividade	 realizada	
para	determinar	a	adequação,	suficiência	e	eficácia	do	assunto	em	questão	para	
atingir	os	objetivos.
Um cenário para o processo de gerenciamento de risco apresentado na 
Figura	 5,	 onde	 temos	 as	 seis	 etapas	definidas:	definição	de	 contexto,	 análise	 e	
avaliação	 dos	 riscos,	 tratamento	 dos	 riscos,	 aceitação	 dos	 riscos,	 comunicação	
dos	riscos	e	por	fim	monitoramento	e	análise	crítica	de	riscos.	Você	poderia	na	
definição	de	contexto,	avaliar	o	ambiente	organizacional,	 identificando	escopo,	
limites	e	critérios,	onde,	por	exemplo,	seria	avaliar	um	contexto	de	um	ambiente	
de Call Center,	 onde	 temos	envolvidos,	pessoas,	 tecnologias	 e	 recursos.	Ainda,	
nesta	etapa,	você	definiria	critérios	de	risco,	por	exemplo,	 risco	alto,	problema	
de	 saúde	 das	 pessoas,	 inviabiliza	 a	 operação	 do	 Call Center.	 Na	 análise	 e	
avaliação	dos	 riscos,	 é	 uma	 etapa	maior	 onde	 você	 identificaria	 os	 ativos	 que	
tem	 importância	 e	 podem	 ter	 perda	 potencial	 no	Call Center,	 por	 exemplo,	 as	
pessoas,	a	 central	 telefônica,	o	 sistema	de	 registro	de	atendimento.	Aqui	nesta	
etapa	se	define	a	estimativa	para	cada	ativo,	por	exemplo,	as	pessoas	risco	médio,	
a	central	telefônica	risco	alto,	o	sistema	de	registro	de	atendimento	risco	baixo.	
E	a	avaliação	do	risco	probabilidade	de	ocorrência,	por	exemplo,	as	pessoas	com	
alta probabilidade de ter algum problema – algum problema de saúde, a central 
telefônica	 com	 pouca	 probabilidade	 de	 ter	 problema	 –	 falhas	 de	 hardware ou 
software,	o	sistema	de	registro	de	atendimento	com	média	probabilidade	de	ter	
problema	–	bugs	conhecidos	na	aplicação.	Na	fase	de	tratamento	dos	riscos,	serão	
tomadas	 as	medidas	 preventivas	 para	 evitar	 que	 o	 risco	 ocorra,	 por	 exemplo,	
avaliação	médica	de	rotina	para	evitar	a	falta	de	pessoal,	e/ou	pessoas	extra,	para	
suprir	eventuais	faltas.	Na	fase	de	aceitação	dos	riscos,	os	riscos	que	não	tenham	
um	impacto	considerável	não	há	certa	ação,	por	exemplo,	problemas	com	a	central	
telefônica	não	são	tratados,	apenas	aceitos.	Na	fase	de	comunicação	dos	riscos,	
significa	divulgar	o	risco	entre	as	equipes,	por	exemplo,	divulgar	um	painel	na	
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
12
organização	dos	riscos	possíveis	para	que	toda	a	equipe	se	conscientize.	E,	por	
fim,	na	fase	de	monitoramento	e	análise	crítica	de	riscos,	é	a	etapa	que	fecha	o	
ciclo	de	vida	e	fica	sempre	avaliando	e	retornando	as	possíveis	ações	e	relatórios	
sobre	as	ocorrências,	por	exemplo,	no	ambiente	de	Call Center, monitorando os 
riscos	possíveis	e	suas	ações	e	análises.	
O call center é um termo em inglês que significa central de chamada telefônica, 
ou seja, uma central de atendimento telefônico.
DICAS
O	Nist	descreve	outra	perspectiva	de	um	processo	de	gestão	de	 risco,	 a	
abordagem	é	compatível	com	o	processo	definido	por	ISO/IEC	27005.	A	Figura	6	
apresenta	as	quatro	etapas	do	processo	de	gerenciamento	de	risco	definido	pela	
norma	SP	(do	inglês,	Special Publication)	800-30	do	Nist	contém	as	seguintes	etapas:	
• Estruturação do risco	–	corresponde	à	etapa	de	definição	de	contexto	do	risco	
da	ISO/IEC	27005,	descreve	o	ambiente	em	que	as	decisões	baseadas	em	risco	
devem	ser	tomadas.	O	objetivo	é	construir	uma	estratégia	de	gerenciamento	
de	risco	para	a	tomada	de	decisão,	ou	seja,	definir	o	planejamento	das	ações	
que	serão	adotadas	para	cada	risco	identificado.	Por	exemplo,	se	no	contexto	
do Call Center, ao mapear um risco de indisponibilidade do sistema de registro 
de	 atendimento,	 poderíamos	 ter	 um	 sistema	 de	 registro	 alternativo	 ou	 um	
processo	manual	de	registro.
• Avaliação de risco	–	corresponde	ao	processo	de	avaliação	de	risco	da	ISO/IEC	
27005.	Nesta	etapa,	as	organizações	avaliam	o	risco	dentro	do	contexto	do	quadro	
de	risco	organizacional.	O	objetivo	é	identificar:	as	ameaças;	as	vulnerabilidades	
internas	e	externas;	os	danos	(isto	é,	impacto);	e	a	probabilidade	de	dano	ocorrer.	
O	resultado	é	uma	determinação	de	risco	(ou	seja,	normalmente	uma	função	
em	relação	ao	grau	e	a	probabilidade	do	dano).	Por	exemplo,	se	no	contexto	do	
Call Center,	ao	identificar	um	risco	de	indisponibilidade,	faz-se	a	avaliação	do	
risco	de	ocorrer	efetivamente	o	problema	e	se	determina	os	possíveis	danos	ao	
contexto,	assim	tem-se	uma	métrica.
• Resposta ao risco	–	corresponde	ao	processo	de	tratamento	de	risco	da	ISO/
IEC	 27005.	Aborda	 como	 as	 organizações	 respondem	 ao	 risco.	O	 objetivo	 é	
fornecer	uma	resposta	consistente	ao	risco	em	toda	a	organização,	por	exemplo,	
desenvolvendo	e	implementando	ações	apropriadas	para	mitigar	o	risco.	No	
caso do Call Center,	se	o	risco	é	alto,	você	poderia	contratar	um	link	reserva	de	
Internet	para	mitigar	a	possibilidade	de	prejuízo	à	organização,	tendo,	assim,	
uma	situação	de	contorno.
TÓPICO 1 — FUNDAMENTOS DA GESTÃO DE RISCO
13
• Monitoramento do risco – o quarto componente do gerenciamento de riscos 
aborda	 como	 as	 organizações	 monitoram	 os	 riscos	 ao	 longo	 do	 tempo.	 O	
objetivo	é	determinar	a	eficácia	das	respostas,	identificar	mudanças	e	verificar	
se	as	respostas	planejadas	aos	riscos	foram	implementadas.
Conheça mais da norma SP 800-30 (Rev. 1) no Site do Nistem: 
https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final.
DICAS
FIGURA 6 – PROCESSOS DE GERENCIAMENTO DE RISCO DA NORMA NIST SP 800-30 REV 1
FONTE: Adaptado de NIST (2012)
Os	processos	de	gestão	do	risco	ainda	podem	incluir	o	tratamento	do	risco.	
Em	segurança	da	 informação,	antes	de	executar	 tratamento	do	risco,	é	necessário	
que	sejam	avaliados	os	critérios	com	relação	à	aceitação	do	risco.	Para	cada	risco	
identificado	deve	 se	 tomar	uma	decisão.	As	decisões	 são	descritas	pela	norma	
ISO/IEC	17799	 (2000),	que	descreve	um	conjunto	de	práticas	orientadas	para	a	
gestão	da	segurança	da	informação.	As	decisões	são:	
•	 Aplicar	controles	para	reduzir	os	riscos.
•	 Reconhecer	e	aceitar	o	risco.	
•	 Não	permitir	ações	que	podem	causar	risco.	
•	 Transferir,	repassando	o	risco.	
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
14
Você,	no	processo	de	aceitação	do	risco,	poderia,	por	exemplo,	reconhecer	
as possibilidades de no Call Center	haver	prejuízos	na	empresa	(recursos	humanos,	
sistemas,	processos,	equipamentos).	No	caso	de	risco	na	central	telefônica,	a	ação	
poderia	repassar	o	risco	para	um	terceiro,	que	prestaria	a	manutenção	ou	ficaria	
responsável	por	manutenções	preventivas,	mitigando	o	risco.
Existem	diversas	classificações	para	medir	a	proteção	de	um	ambiente	
de	 TI	 que	 deve	 serem	 utilizadas	 para	 tratar	 o	 risco.	 Os	 riscos	 devem	 ser	
mitigados	ou	atenuados.	Uma	possível	classificação	das	medidas	de	proteção	
(BAARS	et al.,	2018)	é:	
• Medidas Preventivas	–	auxiliam	no	controle	ou	na	redução	da	probabilidade	
se	concretizar.	As	ações	preventivas	diminuem	as	vulnerabilidades,	evitando,	
assim,	a	ocorrência	ou	ação	das	ameaças.
• Medidas Corretivas ou Reativas	–	reduzem	o	impacto	causado.	São	as	medidas	
reativas	tomadas	após	um	possível	ataque	e/ou	evento.
• Medidas Defectivas	–	é	o	método	utilizado	que	expõe	ataques	e/ou	incidentes	
com	o	objetivo	de	criar	reações	e	evitar	e/ou	reduzir	a	sua	concretização.
A	norma	ISO/IEC	27001	(2013)	indica	os	objetivos	do	tratamento	do	risco	
para	o	processo	de	segurança	da	informação:	
• Utilizar	a	avaliação	de	risco	para	selecionar	opções	de	tratamento.
• Determinar	os	controles	necessários	para	o	tratamento	dos	riscos.
• Efetuar	comparações	entre	os	controles	escolhidos	para	o	tratamento	do	risco.
• Confeccionar	o	plano	de	tratamento	de	risco.
15
Neste tópico, você estudou que:
•	 O	 risco	 é	 uma	 combinação	 da	 probabilidade	 de	 um	 evento	 e	 de	 suas	
consequências.
•	 O	risco	pode	ainda	ser	definido	como	o	potencial	de	uma	ação	ou	atividade	
escolhida	levar	a	uma	perda	ou	evento	indesejável.
•	 A	probabilidade	é	calculada	ou	obtida	em	função	do	nível	de	maturidade	do	
processo	de	tecnologia	da	informação,	ou	melhor,	perspectiva	de	ocorrência	do	
risco.	É	expresso	em	valores	percentuais.
•	 O	 impacto	 é	 atribuído	 conforme	 a	 consequência	 da	 ocorrência	 de	 uma	
determinada	ação.
•	 A	análise	de	risco	consiste	no	processo	de	compreender	a	natureza	do	risco	e	
determinar	o	nível	de	risco	de	um	determinado	evento,	obtendo,	dessa	forma,	
uma	classificação.
•	 A	 série	 de	 normas	 ISO/IEC	 27000	 estabelece	 as	 condições	 necessárias	 para	
estabelecer, implementar, manter e melhorar continuamente um sistema de 
gestão	de	segurança	da	informação.
•	 A	ISO/IEC	27005	trata	a	extensão	de	um	risco	para	um	risco	de	tecnologia	da	
informação.
•	 O	risco	em	tecnologia	da	informação	pode	ser	determinado	por	um	produto	
dos	 valores	 de:	 ameaça,	 vulnerabilidade	 e	 os	 ativos	 –	 (risco	 =	 ameaças	 *	
vulnerabilidades	*	ativos).
•	 O	conceito	do	risco	relacionado	à	segurança	da	informação	está	vinculado	à	
possibilidade	de	um	determinado	evento	explorar	uma	possível	fragilidade	de	
um	ativo.
•	 A	 gestão	 do	 risco	 deve	 seguir	 uma	 estratégia	 de	 governança	 corporativa,	
tratando	um	ciclo	de	planejamento,	execução,	checagem,	e	avaliação	–	PDCA.
•	 O	risco	é	expresso	em	valores	percentuais	e	é	assim	classificado	em	níveis	de	
avaliação,	geralmente	definidos	em:	baixo,	médio	e	alto.
•	 O	processo	de	avaliação	de	riscos	de	segurança	da	informação	é	definido	na	
ISO/IEC	27005,	seguindo	uma	metodologia	PDCA.	
RESUMO DO TÓPICO 1
16
•	 A	visão	do	ciclo	de	vida	do	processo	de	gerenciamento	de	riscos	pela	norma	
ISO/IEC	27005	tem	seis	grupos	principais	de	atividades	são	elas:	definição	do	
contexto,	análise/avaliação	de	riscos,	 tratamento	do	risco,	aceitação	do	risco,	
comunicação	do	risco,	monitoramento	e	análise	crítica	de	riscos.
•	 A	gestão	de	risco	descrita	pelo	Nist	(2012)	é	um	processo	definido	que	apresenta	
quatro	etapas	do	processo	de	gerenciamento	de	risco	definido	pela	norma	SP	
800-30	Rev.	1.
•	 A	norma	SP	800-30	Rev.	1	contém	as	seguintes	etapas:	estruturação	do	risco,	
avaliação	de	risco,	resposta	ao	risco	e	monitoramento	do	risco.	
17
1 O gerenciamento de riscos de TI pode ser considerado um componente de 
um	sistema	de	gerenciamento	de	riscos	corporativo.	O	gerenciamento	de	
riscos	e	a	conformidade	com	as	questões	 legais	são	pré-requisitos	para	o	
desenvolvimento	de	suma	boa	estratégia	de	segurança.	Sobre	a	definição	
de	risco,	é	CORRETO	afirmar:	
a)	 (			)	Risco	 é	 uma	 combinação	 da	 probabilidade	 de	 um	 evento	 e	 de	 suas	
consequências.
b)	(			)	Risco	 é	 diferença	 entre	 a	 probabilidade	 de	 um	 evento	 e	 de	 suas	
consequências.
c)	 (			)	Risco	é	uma	forma	de	gerenciar	os	processos	(metodologias,	normas	e	
procedimentos).
d)	(			)	Risco	 é	 uma	 forma	 de	 gerenciar	 as	 pessoas	 (cultura,	 capacitação	 e	
conscientização).
e)	 (			)	Risco	 é	 uma	 forma	 de	 gerenciar	 a	 tecnologia	 (ferramentas	 que	
comportam	os	recursos	físicos	e	lógicos).
2	 A	série	de	normas	ISO/IEC	27000	–	do	inglês,	International Organization for 
Standardization	–	(ISO/IEC	27001,	2013)	estabelece	as	condições	necessárias	
para estabelecer, implementar, manter, melhorar continuamente um 
sistema	de	gestão	de	segurança	da	informação.	Sobre	a	definição	de	risco,	
qual	é	a	ISO	que	trata	a	extensão	de	um	risco	para	um	risco	de	tecnologia	
da	informação?
a)	(			)	ISO/IEC	27005.
b)	(			)	ISO/IEC	27001.
c)	 (			)	ISO/IEC	27002.
d)	(			)	ISO/IEC	27003.
e)	 (			)	ISO/IEC	27004.
3	 O	 nível	 de	 risco	 fornece	 uma	medida	 da	 amplitude	 do	 risco,	 calculada	
em	termos	da	consequência	da	realização	do	risco	e	da	probabilidade	da	
ocorrência	do	 risco.	O	 risco	é	 expresso	em	valores	percentuais	 e	 é	 assim	
classificado	em	níveis	de	avaliação.	O	modelo	Nist	estabelece	quais	valores	
para	a	classificação	do	risco?
a)	(			)	Os	valores:	baixo,	médio	e	alto.
b)	(			)	Os	valores:	padrão,	conciso	e	perturbado.
c)	 (			)	Os	valores:	1,	2	e	3.
d)	(			)	Os	valores:	pequeno,	médio,	grande.
e)	 (			)	Os	valores:	I,	II	e	III.
AUTOATIVIDADE
18
4	 O	processo	de	avaliação	de	riscos	de	segurança	da	informação	é	definido	na	
ISO/IEC	27005	(2018),	seguindo	uma	metodologia	PDCA.	A	visão	do	ciclo	
de	vida	do	processo	de	gerenciamento	de	riscos	pela	norma	ISO/IEC	27005	
tem	seis	grupos	principais	de	atividades.	Quais	são	elas?
a)	 (			)	Definição	do	contexto,	análise/avaliação	de	riscos,	tratamento	do	risco,	
aceitação do risco, comunicação do risco, monitoramento e análise 
crítica	de	riscos.
b)	(			)	Definição	da	estrutura,	análise	de	riscos,	avaliação	do	risco,	aceitação	do	
risco,	comunicação	do	risco,	monitoramento	e	análise	crítica	das	ameaças.
c)	 (			)	Definição	da	estrutura,	análise	de	riscos,	avaliação	do	risco,	aceitação	
do	 risco,	 comunicação	 do	 risco,	monitoramento	 e	 análise	 crítica	 das	
vulnerabilidades.
d)	(			)	Definição	do	contexto,	avaliação	de	riscos,	análise	do	risco,	comunicação	
do	risco,	aceitação	do	risco,	monitoramento	de	riscos.
e)	 (			)	Definição	 do	 contexto,	 avaliação	 de	 riscos,	 análise	 do	 risco,	
monitoramento	do	risco,	aceitação	do	risco,	comunicação	de	riscos.
5	 Existem	 outros	 modelos	 para	 o	 gerenciamento	 de	 riscos,	 umas	 das	
recomendações	é	descrita	pelo	Nist	(2012).	A	gestão	de	risco	descrita	pelo	
Nist	(2012)	apresentaquatro	etapas	do	processo	de	gerenciamento	de	risco	
definido	pela	norma	SP	800-30	Rev.	1.	Quais	são	essas	etapas?
a)	(			)	Estruturação	 do	 risco,	 avaliação	 de	 risco,	 resposta	 ao	 risco	 e	
monitoramento	do	risco.
b)	(			)	Análise	do	risco,	avaliação	de	risco,	resposta	ao	risco	e	monitoramento	
do	risco.
c)	 (			)	Avaliação	 do	 risco,	 tratamento	 de	 risco,	 resposta	 ao	 risco	 e	
monitoramento	do	risco.
d)	(			)	Resposta	ao	risco,	monitoramento	do	risco,	aceite	do	risco	e	análise	de	
risco.
e)	 (			)	Resposta	ao	risco,	monitoramento	do	risco,	contexto	do	risco	e	avaliação	
de	risco.
19
TÓPICO 2 — 
UNIDADE 1
CONCEITOS DE AMEAÇA E ATAQUE
1 INTRODUÇÃO
Os	 incidentes	 podem	 causar,	 dentro	 da	 segurança	 da	 informação,	
uma	interrupção	do	serviço	ou	a	perda	da	qualidade.	Trata-se	de	um	evento,	
confirmado	ou	em	suspeita,	que	leva	a	afetar	os	princípios	básicos	da	segurança	
da	 informação.	 Os	 agentes	 causadores	 dos	 incidentes	 são	 as	 ameaças	 à	
segurança	da	informação.	As	ameaças	têm	crescido	com	o	passar	do	tempo	e	
com	a	evolução	tecnológica.	
As	 redes	 públicas	 e	 privadas	 têm	 sofrido	 com	 incidentes	 constantes,	
provocando	 perdas,	 criando	 impactos	 negativos.	 As	 redes	 são	 invadidas	 por	
usuários	não	autorizados	e/ou	por	programas	maldosos,	o	que	causa	perda	de	
confiabilidade.	A	cada	ano	que	passa	há	um	aumento	nos	incidentes	de	descoberta	
de	vulnerabilidades	de	diversos	sistemas,	muitos	dos	quais	relatados	pelo	CERT	
(Computer Emergency Response Team).	
Normalmente,	vários	são	os	ataques	contra	usuários	finais,	por	serem	mais	
fáceis	e	rentáveis	 tem	ocorrido	com	frequência.	As	motivações	para	os	ataques	
são	 de	 diversos	 propósitos,	 como	 o	 financeiro.	O	 objetivo	 financeiro,	 onde	 os	
criminosos	desejam	apenas	lucrar	financeiramente	com	o	ataque,	por	exemplo,	
roubando a senha bancária do usuário e consequentemente roubando seu saldo 
bancário.	Outra	motivação	é	onde	os	atacantes	almejam	a	espionagem,	desejando	
roubar	informações	que	possam	agregar	na	competitividade	ou	até	mesmo	apenas	
por	 curiosidade.	E	 outra	motivação	 ainda	 é	 quando	outros	 atacantes,	 desejam	
fazer	a	sabotagem	dos	seus	concorrentes.	O	fato	é	que	o	ambiente	de	computação	
tem	sido	alvo	de	ameaças	e	ataques	cada	vez	mais	constantes,	e	as	aplicações	web	
vulneráveis	crescem	com	avanço	rápido.
O CERT é um Centro para Resposta e Tratamento de Incidentes de 
Computadores. Existem vários grupos em todo o mundo que auxiliam os estudos de 
segurança da informação.
NOTA
20
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
Alguns	 dados	 sobre	 perda	 de	 dados	 estão	 disponíveis	 em	 sites	 como	
Wikipédia	ou	Vigilante.pw	(respectivamente,	https://en.wikipedia.org/wiki/List_
of_data_breaches,	https://vigilante.pw/)	onde,	por	exemplo:	
•	 Adobe	–	sofreu	um	ataque	virtual	e	expos	152	milhões	de	nomes	e	senhas	de	
usuários	em	2013.
•	 Facebook	–	 sofreu	um	ataque	virtual	e	expos	no	serviço	de	computação	em	
nuvem	da	Amazon,	540	milhões	de	registros	de	usuários,	em	2019.
•	 Equifax	 (agência	 de	 relatório	 de	 crédito	 americana)	 –	 teve	 163.119.000	
registros	de	clientes	roubados	em	2017,	expondo	números	de	Seguro	Social,	
nomes,	data	de	nascimento,	entre	outros	dados.
Conheça mais sobre CERT no endereço http://cert.org/.
NOTA
O	escopo	deste	tópico	cobrirá	os	assuntos	relacionados	ao	entendimento	das	
ameaças,	e	dos	ataques,	desde	os	conceitos	relacionados	aos	tipos	de	ameaças	até	
sobre	os	principais	ataques	encontrados	nos	ambientes	computacionais.	
2 AMEAÇAS
Neste	subtópico,	caro	acadêmico,	você	conhecerá	os	conceitos	relacionados	
com	 as	 ameaças	 sobre	 os	 sistemas	 de	 tecnologia	 da	 informação.	As	 ameaças	 são	
elementos	que	têm	a	condição	de	explorar	vulnerabilidades	e	causar	problemas	a	
sistemas	 de	 informação	 e	 redes	 de	 computadores,	 incluindo	 fraudes	 eletrônicas,	
espionagem,	sabotagem,	vandalismo,	incêndio	e	inundação	(ISO/IEC	17799,	2000).
É	 importante	 destacar	 que	 de	 acordo	 com	 a	 norma	 ISO/IEC	 27002,	 a	
segurança	da	informação	consiste	na	preservação	de	três	características	básicas,	
apresentadas	na	Figura	7:
• Confidencialidade	–	garantia	de	que	a	informação	seja	acessada	somente	por	
pessoas	autorizadas.
• Integridade	–	salvaguarda	da	exatidão	e	da	integridade	da	informação	e	dos	
métodos	de	processamento.
• Disponibilidade – garantia de que apenas os usuários autorizados podem 
obter	acesso	à	informação	e	aos	ativos	correspondentes,	sempre	que	necessário.
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
21
FIGURA 7 – CARACTERÍSTICAS DE SEGURANÇA DA INFORMAÇÃO
FONTE: Adaptado de Dantas (2011)
A	literatura	ainda	ressalta	que	a	segurança	da	informação	está	relacionada	
não	apenas	com	as	características,	as	propriedades	de	segurança	da	informação,	mas	
também	com	os	estados	da	informação,	e	as	medidas	de	segurança,	apresentadas	na	
Figura	8.	Os	estados	da	informação	são	descritos	pelas	propriedades	de	segurança	
da	 informação	 já	 conceituados,	 confidencialidade,	 integridade	 e	 disponibilidade.	
Os	estados	da	informação	são	relacionados	com	a	transmissão,	o	processamento	e	
o	armazenamento	da	informação,	conectados	com	a	situação	da	informação,	onde	
ela	está	e	como	ela	está.	Já	as	medidas	de	segurança	se	relacionam	com	o	que	fazer	
para	 se	 proteger,	 as	 políticas	 e	 procedimentos	 de	 segurança	 da	 informação	 que	
devem	fazer	parte	do	portfólio	da	instituição	para	se	proteger	de	possíveis	ameaças	
e	ataques.	As	possíveis	ferramentas,	as	ferramentas	tecnológicas	que	serão	utilizadas	
para	a	proteção	e,	ainda,	as	maneiras	de	conscientização	que	servirão	de	base	para	a	
construção	de	uma	prática	segura	dentro	das	instituições	(ISO/IEC	27001,	2013).
22
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
FIGURA 8 – FATORES SOBRE A SEGURANÇA DA INFORMAÇÃO
FONTE: Adaptado de <https://www.ibm.com/developerworks/security/library/s-confnotes2/>. 
Acesso em: 10 jun. 2020.
O NIC.BR Security Office (CERT.br) é responsável por receber, revisar e 
responder a relatos de incidentes de segurança envolvendo a Internet brasileira.
 O CERT.br é o grupo de resposta a incidentes de segurança para a Internet brasileira, 
mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. O CERT.br é responsável por 
receber, analisar e responder a incidentes de segurança envolvendo redes conectadas à 
internet no Brasil.
NOTA
A	 ISO/IEC	 27002	 cita	 a	 importância	 da	 implantação	 de	 uma	 política	 de	
segurança	da	informação	onde	os	requisitos	que	da	política	precisam	contemplar	as	
estratégias	de	negócio,	regulamentação,	legislação	e	contratos,	as	ameaças	(atuais	e	
futuras)	no	ambiente	de	segurança	da	informação.
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
23
A Política de Segurança da Informação é um dos passos principais na gestão de 
segurança da informação. Essa política é composta de uma documentação representando 
as diretrizes que a organização escolheu para gerir a política de segurança.
DICAS
As	ameaças	 são	 classificadas	quanto	a	 sua	 intencionalidade	 (SÊMOLA,	
2014),	que	são:	
• Naturais	 –	 ameaças	 causadas	 por	 fenômenos	 da	 natureza,	 são	 causas	 que	
acontecem	naturalmente,	como	incêndios,	enchentes,	terremotos,	tempestades,	
poluição,	entre	outros.	
• Involuntários – ameaças inconscientes, geralmente causadas pelo 
desconhecimento, sem a intenção, como um erro no procedimento de 
atendimento de um cliente, um acidente de trabalho (um escorregão num 
piso	molhado),	a	falta	de	conhecimento	dos	ativos	(algum	recurso	(ativo)	não	
mapeado	na	organização),	entre	outros.
• Voluntárias	–	são	ameaças	propositais,	que	têm	relação	direta	com	a	exploração	
indevida	de	falhas.	Por	exemplo,	a	ação	causada	por	hackers,	invasores,	criadores	
e	disseminadores	de	vírus,	entre	outros.	
No	 contexto	 das	 tecnologias	 de	 informação	 uma	 ameaça	 refere-se	 a	
qualquer	 circunstância	 que	 tenha	 potencial	 de	 causar	 danos	 ao	 sistema,	 por	
exemplo,	uma	cópia	ilegal	de	dados	pessoais	de	clientes	noCall Center.	As	ameaças	
podem	gerar	vulnerabilidades	que	por	sua	vez	podem	ser	exploradas	colocando	
em	 risco,	por	 exemplo,	 indivíduos,	 sistemas	ou	organizações.	No	 caso	do	Call 
Center,	a	vulnerabilidade	seria	a	falta	de	um	mecanismo	que	pudesse	evitar	tal	
cópia	 dos	 dados.	 Podem	 ser	 mal-intencionadas,	 quando	 existe	 a	 vontade	 de	
prejudicar	algo	ou	alguém,	ou	por	erro	humano	(NIST,	2012).
O	NIST	define	uma	ameaça	como	“qualquer	circunstância	ou	evento	com	
o	 potencial	 de	 afetar	 negativamente	 as	 operações	 organizacionais,	 indivíduos,	
outras	organizações	através	de	um	sistema	de	informação	por	via	de	acessos	não	
autorizados”	(NIST,	2012).
Existem	quatro	tipos	principais	de	ameaças	(SHOSTACK,	2014):
• Ameaças não estruturadas	–	em	geral	envolvem	indivíduos	inexperientes,	com	
habilidades	 limitadas	 e	 em	 desenvolvimento.	 O	 invasor	 utiliza	 ferramentas	
maliciosas	 facilmente	 acessíveis	 e	 tentam	 explorar	 suas	 funcionalidades.	
A	 intenção	maliciosa	 pode	 ou	 não	 existir,	 no	 entanto,	 podem	 causar	 danos	
à	 operacionalidade	 do	 sistema	 atacado.	 O	 sistema,	 muitas	 vezes,	 é	 pouco	
conhecido	pelo	invasor.	No	contexto	do	Call Center,	o	invasor	acaba	usando	o	
acesso	ao	sistema	de	autenticação	para	realizar	tentativas	de	logon com senhas 
24
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
padrão	 por	 exemplo,	 com	usuário	 “admin”	 e	 senha	 “admin”.	O	 invasor	 não	
tem	um	sistema	que	deseja	 comprometer,	no	 entanto,	vai	 testando	algumas	
alternativas	sem	qualquer	pretensão	de	alvo	específico.
• Ameaças estruturadas	 –	 este	 tipo	de	ameaças	vem	de	 indivíduos	 com	mais	
habilidades	 técnicas	 que	 trabalham	 para	 comprometer	 um	 sistema.	 Os	
sistemas	 já	 podem	 ser	 mais	 conhecidos	 sendo	 selecionados	 aleatória	 ou	
especificamente,	com	um	objetivo	mais	claro	de	ataque.	O	invasor	ou	invasores	
já	podem	desenvolver	ataques	e	utilizar	técnicas	de	invasão	mais	sofisticadas,	
por	exemplo,	com	scripts	ou	aplicativos	maliciosos.	Neste	caso,	o	atacante	tem	
um	objetivo	específico	e	conhece	das	ferramentas	e	possibilidades.	No	sistema	
do Call Center,	 já	 pode	 ter	 efetuado	 um	 escaneamento	 de	 rede	 e	 verificado	
as portas de rede abertas e assim direcionar o ataque às portas com maiores 
vulnerabilidades,	ou	seja,	com	problemas	conhecidos.
• Ameaças externas	 –	 essas	 ameaças	 partem	 de	 indivíduos	 de	 fora	 da	
empresa,	sem	acesso	autorizado	aos	sistemas,	sem	acesso	direto.	O	ataque	
pode	ser	estruturado	a	partir	de	uma	fonte	externa,	e	afetar	os	sistemas	
internos	da	organização,	ou	até	mesmo	comprometendo	as	atividades	de	
um	ou	mais	colaboradores	da	organização.	Podemos	pensar	que	no	Call 
Center,	 uma	 ameaça	 externa	 é	 quando	 um	 invasor	 sem	 autorização	 de	
acesso	faz	um	acesso	não	autorizado	para	roubar	informações	pessoais	do	
cadastro	de	clientes	da	organização.
• Ameaças internas	 –	 as	 ameaças	 internas	 são	 originadas	 de	 indivíduos	 com	
acesso	autorizado	à	organização,	ou	seja,	funcionários,	pessoas	de	dentro	da	
organização.	E,	 ainda,	pode	 ser	 considerada	de	origem	 interna,	 quando	um	
funcionário	insatisfeito	deixa	a	organização	e	se	utiliza	dos	acessos	que	ainda	
possui,	para	desferir	ataques.	São	os	indivíduos	insatisfeitos,	oportunistas	ou	
infelizes,	cujo	acesso	ainda	está	ativo,	ou	seja,	ainda	tem	o	acesso	autorizado,	
por	exemplo,	há	uma	senha	válida.	Muitas	pesquisas	e	estudos	mostram	que	os	
ataques	internos	podem	ser	significativos	tanto	no	número	quanto	no	tamanho	
de	 quaisquer	 perdas.	 Em	 geral,	 esses	 indivíduos	 utilizam	 de	 uma	 posição	
privilegiada	para	disferir	um	ataque.	Você	poderia	 imaginar	um	supervisor	
de atendimento no Call Center,	capturando	dados	dos	clientes,	por	exemplo,	
dados	financeiros	para	depois	obter	alguma	vantagem	extra.
A	avaliação	do	risco	é	um	ponto	fundamental	nas	organizações	permitindo	
entender como a organização pode ser atacada e que impactos que podem 
provocar.	A	 criação	de	um	modelo,	 adaptado	 à	 empresa,	 permite	 classificar	 a	
ameaças	e	a	definir	regras	de	atuação.	A	OWASP	propõe	um	modelo	que	permite	
identificar,	quantificar	e	tratar	os	riscos	de	segurança	associadas	a	uma	aplicação	
(pode	ser	aplicação,	software,	funcionalidade)	(OWASP,	2020):	
• Decompor a aplicação	 –	 o	 objetivo	 é	 perceber	 como	 a	 aplicação	 e/ou	
funcionalidades	 interage	 com	as	 outras	 entidades	 e/ou	 atores.	 Identificar	 as	
entradas	da	aplicação,	que	são	um	ponto	por	onde	o	invasor	pode	aproveitar	
de	alguma	vulnerabilidade.	Assim	como	identificar	os	tipos	de	acessos	(usuário	
x	perfil	de	acesso)	que	são	concedidos	a	entidades	autênticas.
• Determinar e classificar ameaças –	 esta	 etapa	 representa	 um	 método	 de	
identificação	e	categorização	de	uma	ameaça.	O	objetivo	é	tentar	identificar	as	
ameaças	do	ponto	de	vista	do	atacante,	assim	como	da	perspectiva	do	defensor	
e	classificá-las	de	ponto	de	vista	do	risco.
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
25
• Identificar medidas e mitigação	–	a	implementação	de	medidas	corretivas	que	
mitiguem	as	ameaças	identificadas.	Como	as	ameaças	têm	um	valor	de	risco	
predefinido	é	possível	priorizar	 as	 regras	que	visem	a	 sua	 correção	e	 assim	
fazer	uma	correta	avaliação	do	risco.	Não	significa	a	sua	correção	desde	que	a	
avaliação	do	risco	não	a	justifique.	
Você	 poderia	 imaginar	 no	modelo	 da	 OWASP	 exemplificado	 no	Call 
Center,	ao	decompor	a	aplicação,	teríamos	um	detalhamento,	ou	um	fluxo	dos	
dados	e	suas	responsabilidades.	A	aplicação	que	efetua	registro	de	atendimentos,	
pode	 ter	 uma	 funcionalidade	 de	 cadastro	 que	 apenas	 usuário	 cadastrados	
na	 aplicação	 com	 perfil	 atendente	 têm	 acesso.	 Já	 para	 a	mesma	 aplicação,	 a	
funcionalidade	de	exclusão	apenas	o	supervisor	de	atendimento	tem	o	acesso.	
Assim,	na	etapa	de	determinar	e	classificar	as	ameaças,	você	estabeleceria	que	o	
perfil	de	cadastro	tem	nível	baixo	de	ameaça,	já	no	perfil	de	exclusão	a	ameaça	
é	alta.	E,	por	fim,	com	esses	dados	é	possível	identificar	medidas	e	mitigação,	
determinar	para	perfil	de	exclusão	ter	um	profissional	melhor	treinado	e	com	
senha	de	maior	nível	de	segurança,	mitigando	o	risco	de	quebra	de	senha.
Como	vimos,	as	ameaças	não	são	apenas	a	nível	computacional,	existem	
igualmente	ameaças	físicas	como	desastres,	incêndios,	falta	de	energia	etc.	Assim	
como	ameaças	humanas	como	roubo,	suborno,	invasões,	entre	outras.	Em	uma	
organização	todo	tipo	de	ameaça	deve	ser	identificada	assim	como	estar	previsto	
no	plano	de	emergência.
Um plano de emergência em segurança da informação, faz parte do 
planejamento do risco. A organização deve ter um plano de contingência para eventuais 
emergências envolvendo seus produtos, serviços essenciais para a continuidade do negócio.
IMPORTANT
E
As	 principais	 ameaças	 encontradas	 na	 literatura	 (ISO/IEC	 27005,	 2018;	
SÊMOLA,	2014;	STALLINGS,	2010)	descritas	são:
• Processamento ilegal dos dados	 –	 a	 informação	 sofre	 uma	 série	 de	 tarefas	
sequencialmente	realizadas	com	o	intuito	de	produzir	um	arranjo	determinado	
de	 informações	a	partir	de	outras	obtidas	 inicialmente	sem	autorização.	Um	
exemplo,	poderia	ser	quando	alguém	(atacante)	monitora	a	atividade	Web	de	
uma	outra	pessoa.	O	atacante	coleta	diversos	dados	que	juntos	podem	agregar	
valor	 e	 produzir	 uma	 informação	 importante.	 Esses	 dados	 podem	 ser	CPF,	
nome,	 e-mail,	 sites	 acessados,	 fotos,	 pesquisas	 para	 compra.	 A	 informação	
gerada	pode	produzir	uma	ameaça	à	segurança	da	pessoa.
26
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
• Divulgação indevida	–	a	informação	é	processada	e	divulgada	sem	autorização	
do	proprietário.	Você	poderia	imaginar	alguém	coletando	seus	dados	ou	fotos	
e	republicando	em	alguma	rede	social	sem	autorização.
• Cópia ilegal	 –	 a	 informação	 é	 processada	 e	 copiada	 para	 outro	 local	 sem	
permissão.	Quando	alguém	faz	a	cópia	de	arquivos	de	uma	instituição	sem	a	
devida	autorização,	por	exemplo,	arquivos	da	contabilidade	dainstituição.
• Dano físico à mídia	–	quando	o	dispositivo	ou	mídia	sofre	alguma	ação	de	
prejuízo,	acidental	ou	intencionalmente,	ocasionando	a	perda	dos	dados	e	da	
mídia.	Você	poderia	imaginar	que	seu	pendrive	pudesse	quebrar	ou	molhar,	
por	exemplo.
• Engenharia social	 –	 manipulação	 psicológica	 de	 pessoas	 para	 a	 execução	
de	 ações	 ou	 divulgação	 das	 informações	 confidenciais.	 Esta	 é	 uma	 ameaça	
muito	utilizada,	quando	você	 recebe	e-mails	 falsos	de	 instituições	bancárias	
solicitando	a	devida	atualização	cadastral.
• Modificação de dados sem autorização	–	a	informação	é	alterada/modificada	
sem	autorização	do	proprietário.	Dentro	do	ciclo	de	vida	da	informação	temos	
o	processo	de	modificação.	Neste	caso,	por	exemplo,	algum	invasor	acessa	o	
banco	de	dados	da	aplicação	e	modifica	as	informações	dos	usuários.
• Ataques baseados em senhas – um software	malicioso	realiza	a	execução	de	
algoritmos	baseados	 em	dicionários	de	palavras	na	 tentativa	de	descobrir	 a	
senha	original.	Você,	acadêmico,	poderia	imaginar	um	invasor	com	um	pouco	
mais	de	experiência	poderia	utilizar	um	arquivo	com	muitas	possibilidades	de	
senhas	(dicionário	de	senhas),	para	tentar	realizar	um	acesso	não	autorizado	na	
aplicação,	por	exemplo,	de	registro	de	chamados	no	Call Center.
• Acesso não autorizado das informações	–	a	informação	é	acessada	por	pessoas	
sem	permissão.	Por	exemplo,	alguém	sem	autorização	pode	invadir	o	sistema,	
a aplicação e ter acesso aos dados pessoais dos clientes do Call Center.
• Abuso de poder – membro da organização com posição hierárquica maior 
utiliza-se	de	sua	autoridade	para	obter	acesso	às	informações	sigilosas.	Neste	
caso,	o	abuso	de	poder,	 é	quando	por	exemplo,	o	gerente	do	Call Center, se 
apropria	das	informações	do	cliente	para	fins	particulares.
• Espionagem a distância	 –	 ato	 ou	 efeito	 de	 espionar,	 quando	 por	 exemplo	
alguém	secretamente	observa	de	forma	remota	as	ações	de	um	determinado	
usuário.	Por	exemplo,	um	invasor	fica	monitorando	as	ações	e	informações	do	
Call Center	através	da	Internet.
• Espionagem interna e externa	 –	 ato	 ou	 efeito	 de	 espionar,	 podendo	 ser	 de	
pessoas	de	fora	ou	de	dentro	da	empresa.	A	espionagem	pode	ser	de	funcionários	
da organização, ameaças internas ou de pessoas terceiras a organização, por 
exemplo,	capturando	dados	estratégicos	de	marketing	da	organização.
• Comprometimento dos dados	 –	 a	 informação	 sofre	 algum	 incidente	 de	 tal	
forma	que	perca	sua	integridade.	É	quando	algum	atacante	modifica	os	dados	
na	base	de	dados	da	aplicação,	corrompendo	os	dados	pessoais	registrados.
• Furto de equipamentos – roubo dos equipamentos da organização tornando 
as	informações	dos	dispositivos	inacessíveis.	É	a	ameaça	quando	alguém	rouba	
o	equipamento	físico,	pode	ocorrer	independente	da	tecnologia.
• Defeito de software	–	o	serviço	prestado	pelo	software	é	desviado	do	serviço	
correto.	A	falha	pode	ocorrer,	quando	por	exemplo	uma	implementação	errada	
na	aplicação	gera	um	bug	no	software.
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
27
• Falha de equipamento – um equipamento (hardware)	apresenta	problemas	de	
funcionamento.	 O	 equipamento	 físico,	 uma	 placa	 eletrônica	 queima	 algum	
componente	gerando	um	comportamento	errado.
• Falhas de protocolo	 –	 alguma	 falha	 de	 comunicação	 entre	 os	 protocolos,	
deixando	vulnerável	a	interceptação	da	informação.	É	quando,	por	exemplo,	
um	fluxo	do	protocolo	do	sistema	de	registro	foi	modelado	de	forma	errada	
e	não	armazena	os	dados	do	registro	da	demanda	de	atendimento	de	forma	
correta,	gerando	falhas	no	atendimento	ao	cliente.
• Falhas de autenticação	–	o	sistema	possui	erros	de	projetos	levando	a	falhas	de	
autenticação.	Um	exemplo,	seria	quando	por	um	erro	do	sistema	é	provocado	
uma	autenticação	em	uma	funcionalidade	incorreta	ao	atendente	do	Call Center.
• Ataques de Negação de Serviço (do	inglês,	DDoS	–	Denial	Of	Service)	–	ataques	
que	visam	causar	indisponibilidade	dos	serviços	de	um	determinado	processo	
através	do	envio	de	simultâneas	requisições.	É	quando	por	exemplo	o	sistema	
do Call Center	fica	indisponível	pois	um	atacante	gerou	muitas	requisições	à	
aplicação	e	gerou	um	sobrecarga	no	servidor	e	parou	o	sistema.
A	maioria	das	ameaças	podem	causar	incidentes	de	segurança	em	todas	
as	etapas	do	ciclo	de	vida	da	informação:	criação,	armazenamento,	transporte	e	
descarte.	Por	exemplo,	um	ataque	de	força	bruta	pode	ocorrer	e	gerar	problemas	
de	 segurança,	 roubando	dados	dos	usuários,	 quando	a	 informação	está	 sendo	
criada,	armazenada,	transportada	ou	descartada	(SHOSTACK,	2014).	
Um ataque de força bruta é quando um invasor realiza diversas tentativas 
persistentes de forma exaustiva até conseguir os dados que deseja.
NOTA
Se	pensarmos	no	ciclo	de	vida	da	informação	podemos	atentar	para	uma	
diferenciação	das	ameaças	que	ocorrem	em	cada	uma	das	partes.	Na	sequência	
descrevemos	cada	uma	dessas	ameaças.
A	espionagem	a	distância	e	o	acesso	de	endereços	não	conhecidos	ou	não	
confiáveis	geralmente	não	afetam	a	criação	e	nem	o	descarte	da	informação,	pois	
a	ameaça	ocorre	somente	quando	o	arquivo/dado	já	está	ativo/criado,	incidindo	o	
risco	apenas	no	armazenamento	e	transporte	(SHOSTACK,	2014).		
As	ameaças	como	dano	físico	à	mídia,	furto	dos	equipamentos,	defeito	de	
equipamentos,	modificação	ilegal	dos	dados	não	ocorrem	no	momento	do	descarte	
da	informação,	pois	se	os	equipamentos/informações	não	forem	mais	úteis	para	
o	negócio,	dificilmente	poderá	afetar	o	negócio	da	empresa	(SHOSTACK,	2014).
28
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
Em	 paralelo,	 algumas	 ameaças	 se	 fazem	 presente	 na	 fase	 do	 descarte,	
sendo	assim,	se	uma	informação	for	descartada	 incorretamente,	ela	poderá	ser	
utilizada	 ilegalmente	 por	 pessoas	 mal-intencionadas,	 tornar-se	 um	 problema	
para	os	negócios	da	organização	(SHOSTACK,	2014).
Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso 
de um computador, uma rede de computadores ou um dispositivo conectado em rede.
NOTA
Os	principais	 tipos	de	 ameaças	podem	ainda	 se	diferenciar	 em	 sistemas	
de	 tecnologia	 da	 informação	 que	 comprometem	 o	 correto	 funcionamento	 de	
programas	 que	 auxiliam	 o	 dia	 a	 dia	 das	 organizações.	 Impedir	 que	 ameaças	
explorem	os	pontos	fracos	e	afetem	os	princípios	básicos	da	segurança	(integridade,	
disponibilidade,	confiabilidade)	é	um	dos	objetos	da	segurança	da	informação,	a	
fim	de	não	provocar	danos	aos	sistemas	da	informação	(SÊMOLA,	2014).	Uma	das	
duas	ameaças	à	segurança	que	ganha	maior	destaque	é	a	do	intruso	(a	outra	são	os	
vírus),	geralmente	conhecido	como	hacker ou cracker	(STALLINGS,	2010).
Uma	 ameaça	 é	 qualquer	 causa	potencial	 de	um	 incidente,	 resultando	 em	
danos	aos	ativos.	Por	exemplo:	dano	físico	(incêndio,	inundação,	envenenamento);	
evento	 natural	 (climático,	 sísmico,	 vulcânico),	 perda	 de	 serviços	 (eletricidade,	
telecomunicações);	 comprometimento	 da	 informação	 (espionagem,	 roubo).	 Falha	
técnica	(equipamento,	software);	comprometimento	de	funções	(erro,	abuso,	negação).	
As	ameaças	podem	se	transformar	de	duas	maneiras:	acidental	ou	malicioso.
Você	pode	observar,	a	seguir,	alguns	exemplos	de	ameaças	em	sistemas	de	TI:	
• Vírus	 –	 programas	 desenvolvidos	 para	 destruir	 dados	 ou	 sistemas	 de	
computador.
• Worms	–	possui	a	capacidade	de	autorreplicação,	exploram	vulnerabilidades	e	
não	necessitam	da	interação	com	usuário.
• Bots	–	propaga-se	automaticamente	explorando	vulnerabilidades	ou	falhas	na	
configuração	de	softwares,	e	pode	ser	controlado	remotamente.
• Keyloggers – programas que registram as teclas digitadas pelo usuário, 
incluindo	senhas,	cartão	de	crédito	e	números	da	conta.
• Screenlogger – programa capaz de armazenar a posição do cursor e a tela 
apresentadas	no	monitor.	
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
29
2.1 MODELAGEM DE AMEAÇAS
O	 conhecimento	 das	 ameaças	 é	 crucial	 para	 a	 definição	 dos	 requisitos	
de	 um	 sistema,pois	 auxilia	 na	 seleção	 das	 medidas	 de	 segurança	 que	 serão	
desenvolvidas,	implementadas	e	instaladas.	E	você	poderia	utilizar	do	processo	
de	modelagem	de	ameaças	para	compreender	as	possíveis	ameaças	dos	sistemas,	
e	buscar	medidas	de	contorno	para	se	proteger.	O	processo	de	modelagem	de	
ameaças	 está	 se	 tornando	 comum	 na	 engenharia	 de	 software,	 onde	 existe	 a	
preocupação	em	garantir	a	segurança	da	informação.
Uma	 modelagem	 de	 ameaças	 é	 uma	 abordagem	 estruturada	 para	
identificar	 potenciais	 ameaças	 que	 poderiam	 explorar	 vulnerabilidades	 do	
sistema.	 Essa	modelagem	 tem	 como	 foco	 determinar	 quem	 seria	 o	 atacante	 e	
como	este	atacante	poderia	ter	sucesso	no	ataque.	É	uma	forma	de	antecipar	as	
ameaças	que	poderiam	afetar	o	sistema	(SHOSTACK,	2014).
Mas	 você	 pode	 se	 perguntar:	 o	 que	 é	 a	 modelagem	 de	 ameaças?	 A	
modelagem de ameaças se compreende pelo uso de modelos para encontrar 
problemas	 de	 segurança.	 Usar	 um	 modelo	 significa	 abstrair	 muitos	 detalhes	
para	 dar	 uma	 olhada	 em	uma	 imagem	maior,	 em	 vez	 do	 código	 em	 si.	 Você	
modela	 porque	 permite	 encontrar	 problemas	 em	 coisas	 que	 ainda	 não	 foram	
criadas	e	porque	permite	detectar	um	problema	antes	que	ele	comece.	Assim	a	
modelagem	de	ameaças	é	uma	forma	de	antecipar	as	ameaças	que	podem	afetá-lo	
(SHOSTACK,	2014).
Um	exemplo	de	modelagem	poderia	 ser,	quando	 identificamos	no	Call 
Center,	 um	 desenho	 de	 como	 os	 sistemas	 se	 relacionam,	 quais	 os	 papéis	 das	
pessoas	envolvidas	em	cada	uma	das	 fases.	Poderíamos	assim	 ter	um	modelo	
com	 as	 funcionalidades	 e	 os	 pontos	 fortes	 e	 fracos	 em	 cada	 fase	 do	processo.	
Por	exemplo,	 as	 responsabilidades	dos	atendentes	 são	menores	do	que	as	dos	
supervisores.	Mesmo	assim,	ainda	poderíamos	ter	os	administradores	do	sistema	
com	maior	acesso	às	funcionalidades	e	diferentes	camadas	do	sistema	de	registro	
de	atendimentos.
Uma	das	metodologias	usadas	para	a	modelagem	de	ameaças	é	a	STRIDE	
(do	inglês,	Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, 
Elevation of privilege,	 ou	 seja,	 falsificação,	 adulteração,	 repúdio,	 divulgação	 de	
informações,	negação	de	serviço,	elevação	de	privilégio)	da	Microsoft	(SHOSTACK,	
2014).	Stride	é	uma	metodologia	de	modelagem	de	ameaças	desenvolvido	por	
Praerit	Garg	e	Loren	Kohnfelder	na	Microsoft	para	identificar	ameaças	à	segurança	
de	computadores.		O	modelo	divide	as	ameaças	de	segurança	em	seis	categorias.	
As	 ameaças	de	 segurança	 são	divididas	 em:	 falsificação,	 adulteração,	 repúdio,	
divulgação	de	 informações	 (violação	de	privacidade	ou	vazamento	de	dados),	
negação	de	serviço	e	elevação	de	privilégio.	A	Figura	9	apresenta	a	taxonomia	de	
ameaças	em	segurança	no	seu	ciclo	de	vida.
30
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
FIGURA 9 – MODELAGEM DE AMEAÇAS STRIDE
FONTE: Adaptado de <https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx>. 
Acesso em: 4 nov. 2020.
Conheça mais sobre o projeto Stride de modelagem de ameaças da Microsoft 
visitando a página na internet https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx.
DICAS
Outra metodologia utilizada para a modelagem de ameaças de 
segurança	 é	 descrita	 por	 (DENG,	 2011).	 A	 metodologia	 intitulada	 de	
LINDDUN	 vem	 do	 acrônimo,	 ligação,	 identificação,	 não	 repúdio,	 detecção,	
descoberta	de	 informações,	desconhecimento	e	não	 conformidade	 (do	 inglês,	
Linkability, Identificability, Non-repudiation, Detectability, Disclosure of information, 
Unawareness, Non-compliance).	 A	 metodologia	 avalia	 cada	 uma	 dessas	
características	que	 representa	a	 sigla,	nas	diferentes	 categorias	de	 segurança.	
LINDDUN	é	basicamente	uma	técnica	de	modelagem	de	ameaças	que	considera	
de	forma	sistemática	as	questões	de	privacidade.
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
31
A	 metodologia	 LINDDUN	 foi	 avaliada	 e	 melhorada	 com	 base	 em	
resultados	empíricos	surgindo	a	metodologia	LIND(D)UN	2.0	(WUYTS,	2015).	A	
nova	metodologia	LIND(D)UN	2.0	(WUYTS,	2015)	por	um	lado,	estende	o	catálogo	
de	árvore	de	ameaças,	e	por	outro,	simplifica	a	metodologia,	acrescentando	uma	
etapa de priorização do impacto das ameaças, considerando as tecnologias de 
reforço	de	privacidade	–	PET	(do	inglês,	Privacy Enhancing Technologies)	existentes.	
A	Figura	9	apresenta	o	fluxo	da	metodologia	LIND(D)UN	2.0	(WUYTS,	2015),	a	
técnica	LINDDUN	melhorada.	
A	metodologia	LIND(D)UN	2.0,	 conforme	apresentado	na	Figura	 10,	 é	
dividida	em	etapas	para	o	espaço	do	problema	e	o	espaço	da	solução.	Os	passos	
que abordam o problema são: 
1-	Definir	um	Diagrama	de	Fluxo	de	Dados	(DFD).
2-	Mapear	as	ameaças	de	privacidade	para	os	elementos	do	DFD.
3-	Identificar	os	cenários	de	ameaça.	Já	os	passos	que	abordam	a	solução	são:	
◦	 Priorizar	as	ameaças.
◦	 Extrair	as	estratégias	de	mitigação.
◦	 Selecionar	as	PETS	correspondentes.
FIGURA 10 – OS PROCESSOS DA METODOLOGIA LINDDUN
FONTE: Wuyts (2015, p. 36)
Conheça mais sobre a modelagem de ameaças do LINDUNN na página da 
internet https://www.linddun.org/.
NOTA
32
UNIDADE 1 — PRINCÍPIOS DA ANÁLISE DE VULNERABILIDADE
3 ATAQUES
Os	ataques	são	os	conjuntos	de	ações	conduzidas	por	uma	entidade	não	
autorizada	visando	às	violações	de	segurança	(IETF	RFC	4949,	2007).	O	conceito	
de	ataque	é	muito	 importante	quando	falamos	de	ameaças	e	vulnerabilidades,	
pois	é	por	meio	deles	que	as	ameaças	são	concretizadas.	Um	exemplo	poderia	
ser	um	agente	malicioso	tentando	roubar	informações	no	sistema	do	Call Center.	
Você,	acadêmico,	poderia	entender	como	esta	ação	resulta	em	algum	prejuízo	ao	
sistema do Call Center,	ou	as	pessoas	envolvidas	no	tratamento	das	informações.
Os ataques, às redes de computadores, podem gerar alguns tipos de 
irregularidade,	como	por	exemplo:
•	 Destruição	 de	 informação	 ou	 de	 outros	 recursos	 –	 por	 exemplo,	 quando	 o	
intruso	na	central	de	atendimento	telefônico	apenas	apaga	as	informações	de	
registro	de	atendimentos.
•	 Modificação	ou	deturpação	da	informação	–	por	exemplo,	quando	o	intruso	no	
Call Center	altera	as	informações	de	registro	de	atendimentos.
•	 Roubo,	remoção	ou	perda	da	informação	ou	de	outros	recursos	–	por	exemplo,	
quando o intruso no Call Center	rouba	os	dados	dos	clientes	para	a	venda	ilegal	
do	cadastro	na	internet.
•	 Revelação	de	informações	–	por	exemplo,	quando	o	intruso	no	Call Center rouba 
as	 informações	 dos	 funcionários,	 dos	 atendentes	 com	 o	 intuito	 de	 publicar	
esses	dados	para	os	concorrentes.
•	 Interrupção	de	 serviços	 –	quando	por	 exemplo,	 o	 intruso	no	Call Center	 faz	
ataques	que	prejudicam	o	atendimento,	corrompendo	o	acesso	à	internet	ou	os	
sistemas	de	registro	e	atendimento,	tornando	o	sistema	indisponível.
Os ataques podem ser:
• Acidentais.
• Intencionais.
Os ataques acidentais são os que não estão associados à intenção 
premeditada.	 Exemplo:	 descuidos	 operacionais;	 bugs de software e hardware 
(STALLINGS,	2010).
Ataques	 intencionais	 são	 os	 que	 estão	 associados	 à	 intenção	 premeditada.	
Exemplos:	 observação	 de	 dados	 com	 ferramentas	 simples	 de	 monitoramento	 das	
redes;	alteração	de	dados,	baseados	no	conhecimento	do	sistema	(STALLINGS,	2010).
Os	ataques	podem	ser	classificados	ainda	como:
• Ativos.
• Passivos.
TÓPICO 2 — CONCEITOS DE AMEAÇA E ATAQUE
33
Os ataques passivos	 são	 aqueles	 que	 não	 alteram	 a	 informação,	 nem	
mesmo	o	fluxo	normal	da	informação	no	canal	sob	escuta.	Nos	ataques	passivos, 
a	informação	é	interceptada,	e	assim	passa	a	ser	monitorada	pelo	atacante,	tudo	
isso	 sem	 que	 o	 sistema	 perceba.	 O	 atacante	 não	 tem	 a	 intenção	 de	modificar	
(alterar)	a	informação	transmitida	(STALLINGS,	2010).
O	fluxo	normal	da	requisição	apresentado	na	Figura	11	é	quando	o	atacante	
não	interfere	no	fluxo.	A	requisição	é	quando	uma	parte	A	troca	comunicação	com	
uma	parte	B,	por	exemplo,	quando	uma	parte	A	faz	uma	solicitação,	um	pedido	de	
informações	para	uma	parte	B.