AUDITORIA-E-CONTROLES-DE-SEGURANÇA-DA-INFORMAÇÃO

Prévia do material em texto

1 
 
 
 
 
 
 
 
 
2 
 
SUMÁRIO 
1 INTRODUÇÃO ..................................................................................... 5 
2 SEGURANÇA DA INFORMAÇÃO ....................................................... 6 
2.1 Conceito ........................................................................................ 6 
2.1.1 Principais ameaças à segurança da informação ............................ 7 
2.2 Política de segurança .................................................................... 8 
2.2.1 Implementação de uma boa política de segurança ........................ 8 
2.3 Mecanismos de segurança ......................................................... 10 
2.3.1 Tipos de vulnerabilidade .............................................................. 11 
3 SOFTWARES PARA AUDITORIAS DE REDES ............................... 12 
3.1 Softwares e auditoria de redes .................................................... 12 
3.1.1 Ferramentas generalistas de auditoria ......................................... 13 
3.1.2 Ferramentas especializadas de auditoria ..................................... 14 
3.1.3 Ferramentas de utilidade geral de auditoria ................................. 15 
3.1.4 Softwares de controle das atividades de funcionários ................. 15 
3.1.5 Kerberos....................................................................................... 16 
3.2 Auditoria por meio de testes ........................................................ 18 
3.3 Ferramentas de auditoria em redes ............................................ 20 
3.3.1 Kali Linux...................................................................................... 21 
3.3.2 WhatWeb ..................................................................................... 22 
4 CONCEITOS DE SEGURANÇA LÓGICA FÍSICA ............................. 24 
4.1 Elementos de segurança lógica física ......................................... 25 
4.2 Mecanismos de detecção de intrusão física................................ 27 
4.2.1 Fator humano e engenharia social ............................................... 28 
 
3 
 
5 TECNOLOGIAS PARA A IMPLEMENTAÇÃO DE SEGURANÇA 
LÓGICA FÍSICA .................................................................................................... 31 
5.1 Fechaduras de pinos ................................................................... 31 
5.2 Cofres ......................................................................................... 34 
5.3 Código de barras ......................................................................... 35 
5.4 Cartões com tarja magnética ...................................................... 35 
5.5 Smartcards .................................................................................. 36 
5.6 RFID ............................................................................................ 36 
5.7 Biometria ..................................................................................... 37 
6 PLANO DE CONTINGÊNCIA ............................................................ 38 
6.1 Características de planos de contingência para incidentes de 
segurança...... .................................................................................................... 39 
6.2 Construção de planos de contingência para incidentes de 
segurança...... .................................................................................................... 42 
6.3 Organização de processos de manutenção para planos de 
contingência...... ................................................................................................. 46 
7 IDENTIFICAÇÃO E SOLUÇÃO DE PROBLEMAS REAIS ................ 50 
7.1 Os problemas de segurança da informação................................ 50 
7.2 O fator humano nos ataques ....................................................... 54 
7.3 Os testes de segurança da informação ....................................... 57 
8 CRIPTOGRAFIA ASSIMÉTRICA ....................................................... 61 
8.1 Tipos de criptografia .................................................................... 61 
8.2 Algoritmos de criptografia assimétrica ........................................ 63 
8.2.1 Vantagens e desvantagens da criptografia assimétrica ............... 66 
8.3 Unindo criptografia simétrica e assimétrica ................................. 66 
 
4 
 
9 PROCESSO DE AUDITORIA DE SEGURANÇA DA 
INFORMAÇÃO........ .............................................................................................. 67 
9.1 Gestão do Projeto ou do Programa de Auditoria ......................... 68 
9.2 Decisão sobre o Propósito da Auditoria ...................................... 69 
9.3 Identificação de Objetos e Pontos de Controle ........................... 69 
9.4 Definição de Técnicas para Obter Evidências e Procedimentos de 
Controle.......... ................................................................................................... 71 
9.4.1 Definição de Técnicas .................................................................. 71 
9.4.2 Preparação ou Seleção de Procedimentos de Controle e Testes71 
9.5 Montagem da Roteirização Detalhada ........................................ 73 
9.6 Coleta e Registro de Evidências ................................................. 73 
9.6.1 Coleta de evidências .................................................................... 73 
9.6.2 Papéis de trabalho ....................................................................... 74 
9.6.3 Organização da informação ......................................................... 74 
9.7 Verificar, Validar e Avaliar Evidências ......................................... 74 
9.8 Produção de Pareceres e outros Entregáveis ............................. 75 
9.9 Acompanhamento Pós-Auditoria ................................................. 75 
10 REFERÊNCIAS BIBLIOGRÁFICAS ............................................... 76 
 
 
 
 
 
 
 
 
 
 
5 
 
1 INTRODUÇÃO 
 
Prezado aluno! 
 
O Grupo Educacional FAVENI, esclarece que o material virtual é 
semelhante ao da sala de aula presencial. Em uma sala de aula, é raro – quase 
improvável - um aluno se levantar, interromper a exposição, dirigir-se ao professor 
e fazer uma pergunta, para que seja esclarecida uma dúvida sobre o tema tratado. 
O comum é que esse aluno faça a pergunta em voz alta para todos ouvirem e todos 
ouvirão a resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar, 
as perguntas poderão ser direcionadas ao protocolo de atendimento que serão 
respondidas em tempo hábil. 
Os cursos à distância exigem do aluno tempo e organização. No caso da 
nossa disciplina é preciso ter um horário destinado à leitura do texto base e à 
execução das avaliações propostas. A vantagem é que poderá reservar o dia da 
semana e a hora que lhe convier para isso. 
A organização é o quesito indispensável, porque há uma sequência a ser 
seguida e prazos definidos para as atividades. 
Bons estudos! 
 
 
 
 
 
 
 
 
 
 
 
 
6 
 
2 SEGURANÇA DA INFORMAÇÃO 
Em um mundo cada vez mais conectado, é necessário manter atenção 
constante no que se refere à segurança. É preciso ter alguns cuidados quando se 
utiliza aparelhos eletrônicos, como notebook, computador, smartphone, etc 
(SAGAH,2020). 
Atualmente, embora a tecnologia de proteção e defesa tenha avançado 
consideravelmente, todo cuidado é pouco, pois existem pessoas especialistas 
somente em ataques e roubos de informações por meio de subterfúgios 
tecnológicos (SAGAH,2020). 
2.1 Conceito 
Quando falamos em segurança da informação em uma empresa, pensamos 
que se trata de uma competência exclusiva do setor de tecnologia da informação 
(TI). Entretanto, a segurança da informação vai muito além do setor de TI, sendo 
formada por todas as ferramentas e acessórios responsáveis por proteger e manter,de forma segura e sigilosa, toda e qualquer informação (SAGAH,2020). 
A segurança da informação possui três grandes pilares: 
 
 Confidencialidade: impedir o acesso a informações sigilosas e 
críticas por pessoas não autorizadas. 
 Integridade: impedir que os dados possam ser manipulados, 
excluídos ou modificados de uma forma não permitida pela política 
do fluxo de dados da empresa. 
 Disponibilidade: segurar o acesso de forma integra e disponível, 
sempre que necessário, para as pessoas autorizadas a visualizar e 
acessar os dados desejados. 
 
Os três pontos juntos (Figura 1) fornecem a base para a criação e a 
implementação de uma política de segurança da informação. Essa política engloba 
 
7 
 
não somente ataques virtuais, como, vírus, spywares, malwares em geral, como 
também usabilidade, acessos, contratos e restrições a informações, tanto virtual 
como fisicamente (SAGAH,2020). 
 
Figura 01 - Ilustração dos pilares que sustentam a segurança da 
informação. 
 
Fonte: Deb SolutionsTI (2015). 
2.1.1 Principais ameaças à segurança da informação 
A segurança da informação possui inúmeras ameaças, conforme evoluem 
os sistemas de segurança, infelizmente, também evoluem os sistemas de ataques 
e ameaças. Confira, a seguir, as principais ameaças à segurança da informação. 
 
 Scan: o intruso ao conseguir acesso à rede por meio de backdoors 
(brechas implantadas na estrutura da rede) ou de alguma outra forma 
ilícita, efetua uma varredura na rede a procura de serviços e 
máquinas vulneráveis para explorar essas falhas e conseguir o 
acesso a informações de forma ilegal. A melhor forma de evitar esse 
tipo de ataque é manter os dispositivos com firmwares sempre 
atualizados e utilizar firewalls e políticas de segurança bem 
elaboradas. 
 
8 
 
 Fraude: pode-se considerar fraude ou scan vários tipos de ataques, 
o mais comum deles é o PHISHING, em que o criminoso cria um site 
falso oriundo de um site verdadeiro e envia um link falso para a vítima 
que, ao acessar o link pensando ser o site verdadeiro, insere os 
dados reais, permitindo o acesso a informações sigilosas por 
pessoas mal-intencionadas. Para evitar esse tipo de ataque é 
necessário uma conscientização dos usuários para não abrirem e-
mails e nem links estranhos. 
 Worm: worms, ou vírus, são softwares desenvolvidos especialmente 
com o intuito de causar algum dano ao computador, smartphone, 
tablet, etc. da vítima. São criados para monitoramento, espionagem, 
roubo de informações e outras infinitas possibilidades. A melhor 
forma de prevenção é utilizar um antivírus atualizado e aplicar 
políticas de não acesso a programas estranhos. 
2.2 Política de segurança 
A política de segurança é um documento com uma série de normas e 
procedimentos cujo intuito é nortear como devem ser acessados e manipulados os 
dados em uma organização para mantê-los seguros contra ameaças 
(SAGAH,2020). 
Existe inclusive uma norma internacional, chamada ISO 27001, que é 
responsável por estabelecer um modelo padrão de implementação, operação e 
análise, chamado de sistema de gestão de segurança da informação (SGSI). 
 
2.2.1 Implementação de uma boa política de segurança 
Para montar uma boa política de segurança é preciso seguir quatro passos, 
conforme você verá a seguir. 
 
 
9 
 
 Passo 1 — planejamento: é preciso fazer inicialmente um 
levantamento de todos os dados e informações que devem ser 
protegidos, envolvendo alguns funcionários para o correto 
entendimento de todo o fluxo da informação. É importante também 
que a diretoria seja notificada e possa acompanhar o andamento da 
política de segurança. 
 
 Passo 2 — elaboração: nessa fase, são elaboradas as normas e as 
proibições. São desenvolvidas as normas de acessos à internet, 
utilização de softwares, acessos a e-mails e aos mais variados 
recursos tecnológicos. Nessa fase também são definidos os tipos de 
bloqueios e restrições ao acesso à internet. 
 
 Passo 3 — aprovação: nessa fase o documento é enviado ao 
departamento de recursos humanos (RH), para que seja analisado 
se as normas desrespeitam algum aspecto legal. É também nessa 
fase que os líderes e gestores da empresa analisam o documento 
para aprovação. 
 
 Passo 4 — aplicação e treinamento das equipes: após a aprovação 
é necessário criar canais de comunicação para a correta aplicação 
da política de segurança, por meio de treinamentos práticos e 
teóricos. É importante deixar uma cópia da política com cada usuário, 
para a conscientização sobre a importância da aplicação das normas 
contidas na política de segurança. 
 
 
A Figura 2 apresenta uma ilustração sobre os princípios da elaboração da 
política de segurança. 
 
 
 
10 
 
Figura 02 - Ilustração em forma de pirâmide dos principais itens de 
elaboração da política de segurança. 
 
Fonte: Adaptada de Dodt (2011). 
2.3 Mecanismos de segurança 
Mecanismos de segurança são medidas preventivas utilizadas para evitar 
que os dados e as informações sejam acessados de forma indevida por pessoas 
não autorizadas. Esses mecanismos funcionam de forma física e lógica. Na forma 
física, encontram-se toda a infraestrutura responsável pelo fluxo da informação e a 
interação dos usuários com essas informações; já na estrutura lógica encontram-se 
as medidas para manter a integridade dos dados, impedindo sua manipulação, a 
alteração e a exclusão por acessos indevidos. Você pode ver a seguir alguns 
exemplos de mecanismos de segurança (SAGAH,2020). 
 
 Criptografia: a criptografia é o meio de conversão no qual a 
informação é transformada em um formato indecifrável, a conversão 
para o formato normal ocorre por meio de uma chave, que somente 
a ponta que deverá realmente ter acesso as informações possuem. 
 
 
11 
 
 Assinatura digital: a assinatura digital é um meio pelo qual a 
informação é criptografada e continua sendo legível, mas não pode 
ser modificada. 
 
 Certificação: trata-se de um mecanismo que autentica um arquivo 
como uma espécie de atestado de autenticidade. 
 
2.3.1 Tipos de vulnerabilidade 
Existem inúmeros tipos de vulnerabilidades, algumas delas serão listadas a 
seguir. 
 
 Vulnerabilidade de hardware: os hardwares, embora de maneira 
mais difícil, podem sofrer ataques, pois alguns hardwares podem vir 
com falhas de fabricação, tornarem-se obsoleto ou até mesmo 
sofrerem com a má conservação, possibilitando, assim, a exploração 
de algumas dessas características. 
 
 Vulnerabilidade de comunicação: ocorre quando, por meio de um 
meio de comunicação dos dados, o invasor consegue achar uma 
brecha e a explora, permitindo o acesso não autorizado a 
determinadas informações. 
 
 Vulnerabilidade no armazenamento: é fundamental que no local 
em que as informações fiquem armazenadas o acesso e a 
manipulação sejam restritos, entretanto, pode existir brechas nessa 
segurança, permitindo o roubo e o acesso das informações de 
maneira não autorizada 
 
 
12 
 
 Vulnerabilidades humanas: ninguém está 100% seguro quando 
lida com informações em meios tecnológicos, pois falhas humanas 
podem ocorrer quando um usuário acessa um link suspeito, abre um 
e-mail indevido ou, até mesmo de forma intencional, causa uma 
quebra de segurança. Sendo intencional ou não, é preciso estar 
atento para evitar falhas humanas. 
 
3 SOFTWARES PARA AUDITORIAS DE REDES 
3.1 Softwares e auditoria de redes 
Com a industrialização mundial, deu-se origem a inúmeras empresas e, 
consequentemente, à utilização de tecnologias conectadas em redes. Hoje, 
dificilmente os empreendimentos não empregam tecnologia, como computador, 
impressora, servidores, tablets ou qualquer outro dispositivo, que não esteja 
interligada (SAGAH,2020). 
Grande parte da responsabilidade de estabelecer computadores e redes 
seguras recai nos administradores de sistemas e redes, que podem implementar 
precauções para minimizar o impactode eventuais falhas (SAGAH,2020). 
Os administradores de redes devem conduzir auditorias regulares para 
assegurar o cumprimento dos regulamentos dentro de uma organização. Os 
profissionais responsáveis por tais auditorias, os critérios que devem ser 
observados e sua frequência são definidos por políticas estabelecidas pela 
corporação (SAGAH,2020). 
Entre as abordagens para testar a segurança da rede, estão as auditorias 
de segurança para testar se a rede está em conformidade com um conjunto de 
padrões, que variam desde políticas internas até regulamentos federais obrigatórios 
(SAGAH,2020). 
Muitas empresas realizam auditorias de rede para minimizar o impacto de 
mudanças e garantir que a rede é estável e segura (SAGAH,2020). 
 
13 
 
 
Uma auditoria de rede eficiente começa com uma análise da documentação 
de rede disponível, já que uma boa documentação agiliza a solução de possíveis 
problemas. Outro processo de auditoria está relacionado à inspeção da 
infraestrutura física, verificando o inventário e o cumprimento dos padrões de rede, 
o que inclui roteadores, switches de localização e armários. Se houver alguma 
mudança na infraestrutura, a documentação deve ser atualizada (SAGAH,2020). 
A auditoria de rede deve incluir a verificação de configurações de hardware 
documentada e a medição do desempenho de rede para garantir que os roteadores 
e switches estejam trabalhando em potência máxima. Além disso, existem softwares 
ou suítes de softwares que auxiliam na auditoria, na criação do inventário e da 
documentação, no monitoramento de rede e nos relatórios das ações em rede 
(SAGAH,2020). 
Softwares de auditoria são instrumentos de que o auditor dispõe para atingir 
as metas que define no planejamento de auditoria, independentemente do tipo de 
auditoria praticada. Segundo Imoniana (2008) e Lyra (2008), os softwares de 
auditoria podem ser classificados em generalistas, especializados e de utilidade 
geral (SAGAH,2020). 
 
3.1.1 Ferramentas generalistas de auditoria 
São softwares capazes de processar, simular, analisar amostras, gerar 
dados estatísticos, sumarizar, apontar duplicidade e outras funções desejadas pelo 
auditor. 
Algumas de suas vantagens são: 
 
 pode processar diversos arquivos ao mesmo tempo; 
 pode processar vários tipos de arquivos em vários formatos; 
 permite a integração sistêmica com vários tipos de softwares e 
hardwares; 
 
14 
 
 reduz a dependência do auditor em relação ao especialista de 
informática. 
 
Porém, como todo software, também apresenta desvantagens: 
 
 como o processamento das aplicações envolve a gravação de dados 
em separado para serem analisados em ambientes distintos, seriam 
possíveis poucas aplicações em um ambiente online; 
 se o auditor precisar rodar cálculos complexos, o software não 
poderá dar esse apoio, pois tal sistema, para dar assistência 
generalista a todos os auditores, evita aprofundar as lógicas e 
matemáticas muito complexas. 
 
 
As principais ferramentas generalistas são ACL, IDEA e GALILEO. 
 
3.1.2 Ferramentas especializadas de auditoria 
Compreendem softwares desenvolvidos especialmente para executar 
certas tarefas em uma circunstância defi nida. O software pode ser desenvolvido 
pelo próprio auditor, pelos especialistas da empresa auditada ou por um terceiro 
contratado pelo auditor. Sua principal vantagem reside no fato de que atende a 
demandas mais específi cas, como crédito imobiliário, leasing, cartão de crédito e 
outras funções que exijam tarefas especializadas no segmento de mercado. Outra 
vantagem é que o auditor que consegue desenvolver um software especializado em 
uma área muito complexa pode utilizá-lo como uma vantagem competitiva. Em 
relação às desvantagens, podemos citar o valor de investimento, uma vez que seu 
uso será limitado a determinado caso, e não de forma genérica (SAGAH,2020). 
 
 
15 
 
3.1.3 Ferramentas de utilidade geral de auditoria 
Outros softwares, embora não específi cos para a atividade de auditoria, 
também vêm sendo utilizados com esse propósito, como as planilhas eletrônicas 
(por exemplo, Excel), softwares de gerenciamento de banco de dados (por exemplo, 
Access e MySQL), ferramentas de Business Intelligence (por exemplo, Business 
Objects), softwares estatísticos, etc. Contudo, por não terem sido desenvolvidos 
especifi camente para auditoria, esses softwares são utilizados como “quebra-
galho” na ausência de outros recursos (SAGAH,2020). 
 
3.1.4 Softwares de controle das atividades de funcionários 
Há softwares específi cos para auxiliar na auditoria, principalmente no que 
diz respeito à segurança da informação. São utilizados para controlar as atividades 
dos funcionários e permitem o gerenciamento das redes e comunicações, ajudando 
a evitar que a empresa seja lesada por espionagem industrial, pela engenharia 
social, a partir do envio de informações estratégicas da empresa. Os principais 
serviços oferecidos por esses softwares são: 
 
 rastreamento e registro automático tanto de mudanças de 
localização quanto de configuração para dispositivos com alertas de 
mudanças, criando um rastro preciso; 
 auditoria da máquina de usuários remotos por meio de qualquer 
conexão IP; 
 banco de dados aberto compatível com ODBC que permite fácil 
exportação dos dados de auditoria para outras soluções 
complementares; 
 criação de regras de notificação no caso de uma alteração do 
sistema de um computador com agente, tanto na parte de hardware 
quanto de software; 
 
16 
 
 acesso a relatórios que mostram o nível de acesso aos 
computadores, como horários de logins e logouts. 
 
Algumas ferramentas que podemos citar são: 
 
 Suíte Trauma Zer0; 
 MailDetective; 
 Velop Escudo. 
 
3.1.5 Kerberos 
Trata-se de um protocolo de autenticação e uma suíte de software que 
implementa esse protocolo. Kerberos utiliza criptografi a simétrica para autenticar 
clientes para serviços e vice-versa (SAGAH,2020). 
Kerberos usa o conceito de tíquete como uma ficha que prova a identidade 
de um usuário. Tíquetes são documentos digitais que armazenam chaves de 
sessão, geralmente emitidos durante uma sessão de login e, depois, podendo ser 
usados em lugar de senhas para quaisquer serviços. Durante a fase de 
autenticação, um cliente recebe dois tíquetes: 
 
 um tíquete de concessão de tíquete, que atua como um identificador 
global para um usuário e uma chave de sessão; 
 um tíquete de serviço, que autentica um usuário para um serviço 
particular. 
 
Esses tíquetes incluem carimbos de tempo que indicam um horário de 
expiração após o qual se tornam inválidos. Esse horário de expiração pode ser 
estabelecido por administradores Kerberos, conforme o serviço. 
 
17 
 
Para realizar uma autenticação segura, o Kerberos usa uma terceira parte 
de confiança conhecida como centro de distribuição de chave, formado por dois 
componentes, geralmente integrados em um único servidor: 
 
 de autenticação, que realiza a autenticação do usuário; 
 de concessão de tíquete, que concede tíquetes para usuários. 
 
O servidor de autenticação mantém um banco de dados que armazena as 
chaves secretas de usuários e serviços. Normalmente, a chave secreta de um 
usuário é gerada por um hash unidirecional da senha fornecida pelo usuário. O 
Kerberos foi projetado para ser modular e usado com diversos protocolos de 
encriptação, sendo o AES o criptossistema-padrão. Além disso, visa a centralizar a 
autenticação para uma rede inteira (SAGAH,2020). 
O Kerberos se baseia em um protocolo concebido por Needham e 
Schroeder, para realizar uma autenticação usando encriptação simétrica, conforme 
os exemplos a seguir e a Figura abaixo (SAGAH,2020). 
 
Figura 03 - Autenticação Kerberos. 
 
Fonte: Goodrich e Tamassia (2013). 
 
18 
 
O protocolo Kerberos foi projetado para ser seguro mesmo quando usado 
em uma rede insegura. Como cada transmissãoé encriptada usando uma chave 
secreta apropriada, um invasor não consegue forjar um tíquete válido para obter 
acesso não autorizado a um serviço sem comprometer uma chave de encriptação 
ou quebrar o algoritmo de encriptação em uso, que se assume como seguro. Além 
disso, foi projetado para proteger contra ataques de repetição, em que um atacante 
espiona comunicações Kerberos legítimas e retransmite mensagens de uma parte 
autenticada para realizar ações não autorizadas (SAGAH,2020). 
Contudo, ao mesmo tempo que fornece forte segurança, tem algumas 
fragilidades, como seu único ponto de falha: se o Centro de Distribuição de Chaves 
(KDC) fica indisponível, o esquema de autenticação para toda a rede pode parar de 
funcionar (SAGAH,2020). 
 
3.2 Auditoria por meio de testes 
Para uma auditoria que garanta a segurança dos seus resultados, podemos 
realizá-la por meio de testes, como o conhecido teste de penetração (SAGAH,2020). 
Um teste de penetração consiste em uma auditoria prática que objetiva 
simular um ataque real. Esses testes podem ser intrusivos em uma organização, 
envolvendo exploração de vulnerabilidades e negação de serviço acidental a 
usuários. É de extrema importância que os auditores (quem realiza a auditoria) 
tenham permissão explícita adequada dentro da organização a respeito do trabalho 
em questão, além de explicarem aos usuários da rede os tipos de ataques que serão 
efetuados e quais de seus efeitos colaterais são considerados aceitáveis à rede. 
Sem autorização, qualquer dano causado será responsabilidade dos auditores 
(SAGAH,2020). 
Em geral, o processo de teste de penetração pode ser dividido em três 
grandes fases: 
 
 
19 
 
 O auditor deve obter o máximo de informação possível a respeito da 
topologia da rede-alvo, uma fase conhecida como descoberta da 
rede ou enumeração de host. Auditores podem determinar quais 
hosts são acessíveis pela internet, usando técnicas como varredura 
de ping (emitindo um comando ping para faixas de endereço IP e 
registrando as respostas) e pela investigação da informação de 
registro de nomes de domínio e resolução DNS. Nessa fase, é ideal 
que os auditores determinem quais hosts podem ser alvos 
promissores nos estágios de testes posteriores. 
 
 Após a primeira fase, de coleta de informação, a maioria dos 
auditores inicia a segunda fase, com foco na análise de 
vulnerabilidade de rede. Durante esse estágio, o testador pode 
conduzir varreduras de portas para determinar quais hosts 
apresentam portas abertas. Técnicas de “impressão digital” podem 
ser usadas para determinar quais sistemas operacionais estão sendo 
usados e quais aplicações são acessíveis remotamente. Além disso, 
o auditor pode iniciar a pesquisa por vulnerabilidades existentes 
nessas aplicações — se houver um host vulnerável, o auditor pode 
acessá-lo e conduzir ataques adicionais contra a rede. 
 
 A fase final do teste de penetração típico envolve explorar 
vulnerabilidades existentes tentando obter acesso a recursos 
internos. Em uma intrusão bem-sucedida, os testadores podem fazer 
uma coleta de informação adicional para continuar mapeando a 
topologia da rede e identificar alvos adicionais. Frequentemente, um 
auditor deve alavancar o sistema comprometido para obter acesso 
adicional dentro da rede. 
 
Durante o processo do teste de penetração, deve-se manter uma 
documentação detalhada, descrevendo qual informação foi descoberta, quais 
 
20 
 
técnicas foram usadas para atacar a rede-alvo e quais as vulnerabilidades ou más 
configurações permitiram ao auditor obter acesso a recursos restritos. Ao fim do 
teste, o auditor deve fornecer essa informação aos administradores da rede e 
sugerir medidas de mitigação que possam defender contra futuras tentativas de 
exploração (SAGAH,2020). 
Conforme Lento e Guimarães (2012), a partir do trabalho do auditor, 
verifica-se se os processos estão sendo executados correta e constantemente. 
Além disso, pode-se verificar se têm sido executados de maneira preventiva ou 
corretiva, como também se são independentes. 
O objetivo principal do teste de penetração, ou teste de intrusão, consiste 
em detectar o grau de vulnerabilidade dos sistemas do cliente e avaliar sua 
capacidade de detecção diante de ataques externos. Dessa forma, é possível 
avaliar o risco enfrentados pelos sistemas conectados à internet e as possibilidades 
reais de acessar, interceptar e modificar a informação crítica da empresa 
(SAGAH,2020). 
Entre os benefícios diretos desse serviço, podemos destacar: 
 
 descobre novas vulnerabilidades como resultado de mudanças na 
configuração; 
 detecta a falta de atualizações nos sistemas e aplicações; 
 previne de configurações incorretas de routers e firewalls (conjuntos 
de regras errôneas); 
 comprova o nível de proteção perante a política de segurança atual; 
 localiza as vulnerabilidades antes que os hackers o façam. 
 
3.3 Ferramentas de auditoria em redes 
Algumas ferramentas auxiliam na descoberta das vulnerabilidades em 
redes e dos sistemas que as compõem, conforme descrito a seguir. 
 
anderson.oliveira
Realce
 
21 
 
3.3.1 Kali Linux 
Segundo Pritchett e Smet (2013), Kali Linux (Figura 4) é uma distribuição 
do Linux baseada no Debian cuja fi nalidade consiste em oferecer ferramentas para 
a utilização na auditoria e em testes de invasão, coleta de informações, identifi 
cação de vulnerabilidade, exploração e escalação de privilégios. Essa distribuição 
é usada para fi ns de testes de penetração; além disso, o Kali dispõe de ferramentas 
de análise, fornecendo uma avaliação abrangente e completa da estrutura de 
tecnologia da informação do ambiente auditado, por meio da qual podem ser 
elencados os itens que representam risco à segurança da informação, ponto em 
que o auditor deve oferecer alternativas para ajustá-los (SAGAH,2020). 
 
Figura 04 - Tela da distribuição Kali Linux. 
 
Fonte: Speedy (2011, documento on-line). 
 
 
 
22 
 
3.3.2 WhatWeb 
Trata-se de uma ferramenta que faz análises e retorna quais são as 
tecnologias e detalhes da arquitetura da aplicação, endereço IP e dados referentes 
ao administrador do site, e-mails, erros de SQL e localização. Infelizmente, sua 
análise é superfi cial, embora o Whatweb (Figura 5) ofereça ao auditor uma visão 
global do ambiente, que pode servir como base para uma avaliação mais detalhada, 
com foco nas tecnologias presentes. O potencial dessa ferramenta está associado 
ao fato de que ataques podem estar vinculados a uma tecnologia específi ca ou 
mesmo uma versão de um framework em que foi descoberta uma falha de 
segurança (SAGAH,2020). 
 
Figura 05 - Tela da ferramenta WhatWeb. 
 
Fonte: Pentest Geek (2018, documento on-line). 
 
 
 
23 
 
Constituem outras ferramentas de auditoria de rede: 
 
 PRTG — roda 24 horas por dia em um computador da rede para 
registrar seus parâmetros de uso, armazenando tudo para se possa 
acompanhar os processos selecionados para monitoramento. É 
possível criar relatórios, fazer gráficos e tabelas com as informações 
selecionadas e programar a criação automática dos relatórios — 
exportando os logs em diferentes formatos. Ele monitora todos 
equipamentos da rede, como os roteadores, os servidores, os 
switches e até mesmo a temperatura ambiente de datacenter. Outro 
ponto-chave consiste em sua possibilidade multiplataforma, pois ele 
roda em iOS, Windows Phone, Android e BlackBerry. Além disso, o 
PRTG Network Monitor conta com mais de 200 tipos de sensores 
que tornam possível acompanhar todos os serviços de rede para 
resolver qualquer tipo de gargalo antes que aconteça. Se alguma 
coisa falhar, o software possibilita a configuração de alguns meios de 
informar sobre eventos inesperados, por exemplo, por SMS ou e-
mail; 
 
 Monit — software gratuito de código aberto para Linux, gerencia os 
processos no próprio sistema. Dispõe de uma ferramentaque tem a 
capacidade de lidar com circunstâncias inesperadas. Em caso de 
problema com o servidor apache, por exemplo, pode 
automaticamente reiniciar o processo e informar sobre o que 
aconteceu. Além disso, o Monit gerencia características do processo, 
como o uso da CPU e checksum de arquivos. Você também pode 
usá-lo por uma interface web de maneira prática e fácil; 
 
 Munin — outro software gratuito de código aberto para Linux, 
acessado em interface web. Além do monitorar a rede, gerencia o 
sistema do computador e de infraestrutura. Ele oferece um primeiro 
 
24 
 
alerta para os usuários quando há erro nos servidores, aplicativos, 
switches e serviços, e uma segunda notificação quando da resolução 
do problema. São em torno de 500 plugins para monitoramento e 
uma de suas principais funções é a facilidade em definir o que está 
diferente quando aparece um problema de desempenho. Isso 
permite ter uma maior visibilidade sobre o que mais importa naquele 
momento; 
 
 Ganglia — originado na Universidade da Califórnia, compreende um 
sistema de monitoramento disponível para Linux e Windows. Foi 
desenvolvido para ser executado em ambientes de computação de 
alto desempenho, sendo usado em clusters e grids de vários 
tamanhos. Também funciona em interface web e é um software 
open-source. 
 
 
4 CONCEITOS DE SEGURANÇA LÓGICA FÍSICA 
Neste capítulo você vai estudar, em linhas gerais, os princípios que 
norteiam a segurança lógica física, os mecanismos de detecção no ambiente físico 
e alguns exemplos de tecnologias empregadas na segurança dessas dimensões. 
Como você verá ao longo deste capítulo, em qualquer organização, o ativo mais 
importante a ser protegido é a informação. Sem informação não há vida 
organizacional, principalmente no mundo digital atual, sobre o qual incidem, 
cotidianamente, ataques de hackers para a obtenção de vantagens indevidas 
(SAGAH,2020). 
 
 
25 
 
4.1 Elementos de segurança lógica física 
Quando se fala em segurança digital, não é difícil encarar o assunto pela 
ótica integralmente virtual, o que faz sentido, já que um computador é acessado por 
meio de login e senha e depende de uma estrutura de rede para se comunicar com 
um servidor. Todavia, o fim da linha, inevitavelmente, encontrará algum dispositivo 
físico para armazenar esses dados, como uma sala composta por servidores, 
switches, nobreaks, entre outros equipamentos. Quando se trata de segurança 
digital, sobretudo de informações, é fundamental considerar os aspectos físicos e 
lógicos (SAGAH,2020). 
O primeiro entendimento a ser trazido acerca da segurança tem base em 
Goodrich e Tamassia (2013). Para ele, a segurança física pode ser entendida como 
o uso de medidas para que a informação ou valores possam ser protegidos, bem 
como a proteção de acesso a recursos considerados restritos. Há várias dimensões 
possíveis que caracterizam a segurança física. Uma delas é a proteção da 
localização. A sala de servidores é um exemplo notório, pois é lá que reside o 
hardware. Atrelada a essa dimensão está a detecção de intrusão física, ou seja, o 
acesso não autorizado ao local físico onde o hardware se encontra (SAGAH,2020). 
Outra dimensão anexada à proteção da localização e à detecção de 
intrusão física é a de ataques ao hardware, que são os ataques físicos que podem 
ser promovidos aos discos rígidos, placas de memória, adaptadores de rede etc. 
Além dessas, uma dimensão que pode ser usada para explorar uma vulnerabilidade 
é o ataque físico de interface, por meio do qual o invasor explora uma fragilidade na 
interface física e acaba tendo acesso ao sistema (SAGAH,2020). 
Outros elementos caracterizam a segurança física, como os acessos físicos 
às instalações. Sem mecanismos de segurança de acesso, intrusos podem circular 
livremente pela empresa sem que sejam abordados. Nesse sentido, é fundamental 
que todos em uma corporação tenham consciência da importância da segurança e 
ajam sempre de forma proativa para resguardar os ativos organizacionais 
(SAGAH,2020). 
 
26 
 
Outro elemento que caracteriza a segurança física e que desempenha um 
papel primordial no assunto da segurança são os periféricos que podem ser 
explorados para roubo de informações. Aqui incluem-se telefones, impressoras e 
gaveteiros, os quais precisam ser pensados sob o enfoque da segurança. Armários 
que guardam documentos sensíveis ao negócio organizacional, sem a devida 
proteção, são um convite aos mal-intencionados (SAGAH,2020). 
Talvez o excesso de preocupação possa parecer exagerado, mas um 
exemplo interessante quando se fala em segurança pode ser resgatado das ideias 
de McCarthy (2014), que afirma que, por ter passado muito tempo nas forças 
armadas, vivenciou um universo de planejamentos que é amplamente 
desconhecido pela população. Segundo o autor, o fato de se ter um ou muitos 
planos prontos não significa necessariamente que eles (ou um em especial) serão 
utilizados obrigatoriamente. No entanto, elaborar um plano de respostas para 
qualquer incidente significa que, em algum momento, considerou-se, pela 
perspectiva do risco, que ele poderia se concretizar (SAGAH,2020). 
Outro ponto significativo é que, por mais detalhista que seja o plano, ele 
certamente não terá todas as respostas para todas as perguntas. Finalmente, um 
ponto muito relevante do plano de segurança é a sua própria elaboração. Por mais 
que ele não dê conta de todas as possibilidades de risco, isso não é desculpa para 
que não seja elaborado. Aqui é importante termos consciência de que mais 
importante do que o planejamento é a execução (SAGAH,2020). 
Ao tratar do assunto da segurança, Fontes (2008) enfoca a informação no 
ambiente corporativo, defendendo a ideia de que a informação é um recurso 
essencial para a organização, independentemente do seu porte e de sua atuação 
no mercado. Ela é importante para as decisões diárias da corporação, para a 
continuidade dos negócios e, acima de tudo, para a elaboração da estratégia 
empresarial. Nesse sentido, é fundamental o entendimento dos três itens listados a 
seguir: 
 
 
27 
 
1. Confidencialidade da informação (sigilo), ou seja, a garantia de que 
os dados são protegidos contra acessos não autorizados, além de 
sua privacidade. 
2. . Disponibilidade da informação, ou o conceito de que a informação 
precisa ser acessível para os que dela precisam. Nesse sentido, é 
necessária uma boa política de segurança e de backup dos dados 
organizacionais, além de um plano de continuidade. 
 
3. Integridade da informação, ou seja, a informação mantém sua origem 
e não pode ser alterada indevidamente. 
 
4.2 Mecanismos de detecção de intrusão física 
Segundo Goodrich e Tamassia (2013), sistemas de detecção de intrusão 
alertam os proprietários de uma instalação ou um sistema de informação se a 
segurança desse recurso foi comprometida. O exemplo mais conhecido de sistema 
de detecção de intrusão é o monitoramento por vídeo. Independentemente de ser 
um sistema acessado via internet ou via CCTV (closed circuit television ou circuito 
fechado de televisão), esse recurso pode monitorar diversos locais ao mesmo 
tempo, sendo bastante eficaz para fornecer evidências claras de delitos, pois, além 
de filmar, também grava as imagens. É uma opção bastante viável para quando as 
consequências diretas de um incidente não são significativas ou para quando se 
tem tempo para minimizar o dano esperado (SAGAH,2020). 
Em muitas organizações ainda é possível encontrar o sistema de 
monitoramento de vídeo sob a supervisão de um operador humano, dependendo 
integralmente dele para a identificação de qualquer atividade maliciosa. Todavia, 
em sistemas mais avançados, é possível a detecção de movimentos em várias 
zonas de câmeras. Alguns sistemas conseguem, mesmo em grandes multidões, 
identificar atividades ou padrões incomuns, sendo mais eficazes do que o 
componente humano por detectarem,por exemplo, alterações de calor no 
 
28 
 
ambiente. Outros sensores podem fazer uso do ultrassom, emitindo pulsos sonoros 
inaudíveis sempre que uma atividade suspeita é confirmada. Há ainda sistemas de 
detecção que utilizam alarmes, os quais podem ser sinais de alerta para as equipes 
de segurança, podendo, dependendo do protocolo de segurança vigente, ativar 
mecanismos de bloqueio para trancar o invasor no local ou para proteger 
fisicamente os recursos sob ataque (SAGAH,2020). 
Logicamente, qualquer mecanismo de segurança pode falhar. O sistema de 
videomonitoramento também não está isento de falhas. Um intruso, se conhecer 
bem o funcionamento de tal sistema, pode promover medidas para anular a eficácia 
do sistema para ser bem-sucedido na intrusão. O invasor pode, por exemplo, se 
manter em uma área fora da cobertura da câmera e até mesmo destruí-la, se for o 
caso. Em sistemas que usam sensores infravermelhos de movimento, o invasor 
pode usar um material que impeça a dissipação do calor. Já os sistemas que usam 
sensores ultrassônicos podem ser anulados com uso de materiais de abafamento 
de ruídos (SAGAH,2020). 
Como é possível observar, qualquer sistema tem suas fragilidades. Por isso, 
uma medida mais segura para tornar a invasão mais difícil é o uso de diversas 
tecnologias de segurança combinadas. Contudo, por mais que se utilize dezenas 
de combinações de tecnologias de segurança para minimizar os riscos de invasão, 
podendo aumentar expressivamente os gastos com esse tipo de sistema em uma 
organização, um componente simples pode fazer cair por terra todo o esquema de 
segurança: o componente humano (SAGAH,2020). 
4.2.1 Fator humano e engenharia social 
A ISO/IEC 17799:2005 observa a segurança da informação como um pilar 
importante para garantir a continuidade do negócio, potencializar o retorno sobre os 
investimentos e ampliar as oportunidades de negócio. Todavia, ainda que a 
organização tenha desenvolvido planos detalhados de segurança e tenha investido 
pesadamente em tecnologia da informação (TI), o componente humano segue 
 
29 
 
sendo é um fator preponderante, um elo essencial na corrente da segurança 
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005). 
Os ataques de engenharia social exploram a ingenuidade, ou a confiança, 
do usuário para obter informações privilegiadas de acesso a sistemas, dados de 
cartão de crédito, login e senha, entre outros dados, para favorecer o intruso em 
seu ataque. Os humanos podem ser enganados facilmente em virtude de uma série 
de fatores, como falta de treinamento, falta de discernimento, distração e muitos 
outros, cujos riscos podem ser minimizados significativamente se a organização 
tiver uma política de segurança. Engenheiros sociais têm uma grande capacidade 
de persuasão e altíssima facilidade de comunicação, requisitos essenciais para 
quem deseja obter informações de forma voluntária, driblando os altos esquemas 
tecnológicos de segurança pela exploração do seu componente mais fraco na 
cadeia de segurança, que é o fator humano (SAGAH,2020). 
Além da segurança lógica e física, a segurança humana não pode, de forma 
alguma, ser ignorada. O fator humano é um canal vulnerável e sempre explorado 
por engenheiros sociais. Há muitos outros vetores de vulnerabilidade; Peixoto 
(2006) destaca, por exemplo, as vulnerabilidades naturais, as de mídia e as de 
comunicação. Entretanto, entre as dimensões das vulnerabilidades, o autor destaca 
o fator humano como o mais crítico, concordando com a ótica de Goodrich e 
Tamassia (2013). 
O vetor humano é composto por todos os recursos humanos presentes na 
organização, principalmente os colaboradores que têm acesso aos recursos de TI, 
independentemente de seu uso (na condição do profissional que mantém a TI 
funcionando ou do profissional que utiliza a TI na forma de programas para suas 
atividades profissionais). Por isso é fundamental que se entenda o vetor humano 
pela perspectiva de risco, como se reage a algum incidente de segurança, ou como 
os colaboradores em uma organização são instruídos em segurança da informação. 
Se programas de treinamento em segurança são esporádicos ou nunca ocorrem na 
empresa, os funcionários certamente serão iscas fáceis aos engenheiros sociais 
(SAGAH,2020). 
 
30 
 
Vazamentos de dados podem acontecer independentemente da ação de 
engenheiros sociais, hackers ou espiões industriais. Colaboradores mal instruídos 
representam potenciais riscos de vazamento dentro das organizações. Para 
endereçar esse assunto, pode ser muito útil um documento que ajuda a minimizar 
os usos indevidos dos recursos de TI pelos colaboradores: a norma de utilização de 
recursos. Esse documento pode ajudar porque ele conscientiza os funcionários 
sobre as boas práticas em suas atividades diárias, por exemplo. Entre essas 
práticas destacam-se a não inserção de dados pessoais em mensagens eletrônicas 
sem qualquer proteção, ou o envio de anexos de documentos importantes sem 
criptografia (SAGAH,2020). 
Outro incidente a ser evitado a partir de uma boa prática que está prevista 
em uma norma de utilização de recursos é a verificação da lista de destinatários em 
mensagens eletrônicas. O recurso de “responder a todos” do e-mail representa um 
grande risco, porque a mensagem pode facilmente tomar um rumo ao longo do 
tempo na execução do serviço que não justifique mais o uso da mesma lista original 
de destinatários. Uma licitação, por exemplo, pode fornecer publicamente dados de 
preços e condições de serviço para os concorrentes (SAGAH,2020). 
Há ainda outro recurso presente nos programas de correio que deve ser 
observado pelo componente humano: o autopreenchimento de e-mails. Se o 
remetente não observar com atenção o endereço eletrônico do destinatário, o 
vazamento de um segredo de negócio pode ser configurado e a organização ter 
sérios problemas para explicar o fato perante o cliente (SAGAH,2020). 
Mais um exemplo de incidente causado pelo fator humano que poderá ser 
minimizado: a proibição, dentro da norma de utilização de recursos, de instalar 
programas não autorizados em notebooks fornecidos pela organização em 
esquema de comodato. Normalmente, os prejuízos decorrentes dessa ação são a 
instalação de programas maliciosos que podem vir embarcados no aplicativo 
instalado, instalação de programas piratas, além de eventuais lentidões causadas 
no equipamento após a instalação. Neste caso, o colaborador deve ser 
responsabilizado pelo ato (SAGAH,2020). 
 
 
31 
 
5 TECNOLOGIAS PARA A IMPLEMENTAÇÃO DE SEGURANÇA LÓGICA 
FÍSICA 
Quando discutimos a segurança da informação, um tema que, 
inevitavelmente, orbita o assunto é a forma como a segurança é implementada nos 
ambientes físico e digital. Neste tópico serão apresentados alguns exemplos sobre 
essas duas dimensões (SAGAH,2020). 
Proteger fisicamente um ativo é uma preocupação desde a antiguidade. 
Dispositivos mecânicos como portões grandes, pesados e com enormes ferrolhos 
eram utilizados para guardar as cidades. As fechaduras continuam a ser utilizadas 
até hoje, no entanto, com dispositivos de segurança mais modernos para proteger 
locais físicos que guardam mídias digitais e computadores. Veja a seguir alguns 
exemplos (SAGAH,2020). 
 
5.1 Fechaduras de pinos 
São o tipo de fechadura mais comum, o qual tem um cilindro de fechadura 
embutido em uma caixa externa, conforme mostra a Figura 6. 
 
 
Figura 06 - Fechadura de pinos. 
 
Fonte: Goodrich e Tamassia (2013, p. 55) 
 
 
32 
 
Uma fechadura de pinos, quando não está com a chave, representa o 
estado (1). As pilhas de pinos são pressionadas pelas molas para o sentido inferior, 
evitando que o cilindro da fechadura seja rotacionado. O esquema (2) mostra que 
os dentes da chave correta empurram a pilha de pinos, alinhando os cortes das 
pilhas de pino com as pilhas de corte, permitindo que o cilindro seja rotacionado e 
o cadeado,aberto (3). 
 
 Fechaduras tubulares 
 
São uma variação das fechaduras de pinos e funcionam sob a mesma 
premissa. No entanto, a diferença se dá pelo fato de seus pinos serem arranjados 
em círculos, em vez de serem alinhados paralelamente ao eixo do cilindro, como 
ocorre na fechadura de pino. Suas chaves são de formato cilíndrico. Este tipo de 
fechadura é frequentemente encontrado em equipamentos portáteis como 
computadores, bicicletas e máquinas de vendas. Acompanhe o esquema mostrado 
na Figura 7: a posição (1) representa a fechadura fechada; a posição (2) representa 
a fechadura quando a chave correta é inserida; a posição (3) representa a fechadura 
aberta. 
 
Figura 7 - Fechadura tubular. 
 
Fonte: Goodrich e Tamassia (2013, p. 56). 
 
33 
 
 
 Fechaduras de combinação 
 
Este tipo de fechadura é bem conhecido daqueles que viajam bastante de 
avião. O dispositivo é aberto quando a sequência correta de números é inserida. 
Esta fechadura se caracteriza por ter uma série de discos, que são anexados a um 
dial numerado, por isso ela é chamada também de fechadura de dial único 
(SAGAH,2020). 
Já a fechadura de dial múltiplo, como a exibida na Figura 8, é caracterizada 
por uma sequência de discos chanfrados ao redor de um pino dentado. No momento 
em que os discos rotacionam para a correta combinação, os entalhes se alinham 
com os dentes do pino, permitindo a abertura do dispositivo. 
 
Figura 8 - Fechadura de combinação. 
 
Fonte: Goodrich e Tamassia (2013, p. 57). 
 Fechaduras de combinação eletrônica 
 
Neste tipo de fechadura, um mecanismo eletrônico opera a tranca, sendo 
ativado por uma série de eventos, como uma sequência de números em um teclado 
— veja um exemplo na Figura 9. 
 
 
34 
 
Figura 09 - Fechadura de combinação eletrônica. 
 
Fonte: Sompetch Khanakornpratip/Shutterstock.com. 
 
Estabelecimentos que usam este tipo de fechadura são os hotéis, que 
fornecem um código quando o hóspede realiza o check-in e, após o check-out e 
limpeza do quarto, um novo código é reprogramado para o próximo hóspede. Este 
tipo de fechadura aumenta a segurança, pois possibilita registrar quem entrou ou 
saiu por tais portas. A facilidade é outra grande vantagem no uso deste tipo de 
fechadura (SAGAH,2020). 
 
5.2 Cofres 
Valores podem ser protegidos nestes dispositivos, que variam conforme o 
tamanho. Eles podem ser encontrados em tamanhos pequenos (como no quarto de 
um hotel, por exemplo), até tamanhos maiores, como em bancos. Em sua maioria, 
os modelos de alta segurança adotam um dial de combinação com possível 
autenticação aditiva de biometria (SAGAH,2020). 
Os cofres são classificados por uma entidade mundialmente conhecida: a 
Underwriters Laboratories, responsável por certificar produtos de segurança. No 
 
35 
 
caso dos cofres, eles têm suas classificações pautadas quanto ao tempo em que 
um especialista necessitaria para abri-lo, considerando abordagens destrutivas e 
não destrutivas. Os seus proprietários são alertados para garantir que o tempo 
médio de resposta ao alarme do cofre seja bem menor do que o tempo médio 
requerido para que um intruso consiga arrombar o dispositivo (SAGAH,2020). 
A tecnologia da informação e da comunicação vem, continuamente, 
implementando algoritmos de segurança em dispositivos físicos para garantir que 
acessos indevidos sejam bloqueados, operações inconsistentes não sejam 
efetivadas em nome de terceiros, documentos sigilosos não sejam acessados sem 
as devidas permissões etc. A seguir, serão apresentadas algumas dessas 
implementações de segurança que versam sobre a autenticação, ou seja, algo que 
a pessoa possui (ela prova ser realmente quem afirma ser) (SAGAH,2020). 
 
5.3 Código de barras 
Desenvolvidos por volta da metade do século XX para melhorar a eficiência 
nos caixas de supermercados, os códigos de barra rapidamente se expandiram para 
outras aplicações. Um uso muito frequente de código de barras ocorre no ramo da 
aviação, que verificava se o passageiro em processo de embarque é a mesma 
pessoa identificada em algum documento pessoal com foto, apresentado ao 
pessoal da companhia aérea no portão de embarque. Seu uso também é extenso 
na indústria do entretenimento, para evitar que fraudadores possam assistir a shows 
ou concertos por meio da apresentação do ingresso (SAGAH,2020). 
 
5.4 Cartões com tarja magnética 
Criados no final dos anos 1960, os cartões com tarjas magnéticas têm sido 
utilizados em diversas operações financeiras, como débito e crédito, em 
 
36 
 
estabelecimentos comerciais. Os cartões são de baixo custo e são fáceis de ler, por 
isso se popularizaram (SAGAH,2020). 
Assim como qualquer outro dispositivo, eles também apresentam 
vulnerabilidades. Um ladrão pode facilmente clonar um cartão se utilizar um 
gravador de tarja magnética para gravar os dados dos cartões que registram as 
operações nesse dispositivo. Diversos são os exemplos difundidos na mídia que 
relatam esse tipo de crime. Muito embora os cartões de tarja magnética já tenham 
sido substituídos por outros cartões mais seguros, eles ainda podem ser usados 
para autenticações, como, por exemplo, em empresas, para registrar o ponto de 
seus trabalhadores (SAGAH,2020). 
 
5.5 Smartcards 
Em virtude da fragilidade dos cartões de tarja magnética, os cartões 
inteligentes ou smartcards apresentam um circuito integrado com um 
microprocessador embutido, permitindo mecanismos seguros de autenticação e 
dificultando sua clonagem. Os cartões inteligentes mais modernos já permitem 
operações de débito e crédito sem a necessidade de inclusão em leitores de 
cartões, pois utilizam tecnologia de radiofrequência, a qual será descrita a seguir 
(SAGAH,2020). 
 
5.6 RFID 
A tecnologia radiofrequência, também chamada de RFID (radio frequency 
identification), apoia-se em transponders para transmitir informações via ondas de 
rádio. Um circuito integrado armazena as informações e uma antena é utilizada para 
transmitir e receber os sinais (SAGAH,2020). 
Esta tecnologia tem uma grande variedade de aplicações na indústria. Uma 
das mais conhecidas é a da logística por grandes players de mercado; porém, 
 
37 
 
pequenos comerciantes também podem usar RFID para acompanhar os produtos 
que estão vendendo mais. Empresas também usam esta tecnologia para registrar 
seu inventário. Outra aplicação é para rastreamento de documentos dentro das 
organizações, dando visibilidade ao seu fluxo entre os setores dentro da empresa 
(SAGAH,2020). 
Muitas aplicações baseadas em código de barras estão sendo substituídas 
por RFID, pois sua grande vantagem sobre é que os chips são muito mais difíceis 
de copiar do que a tinta do código de barras no papel (SAGAH,2020). 
 
5.7 Biometria 
Este tipo de técnica tem sido utilizado com bastante frequência no campo 
da segurança digital, pois utiliza as características biológicas ou físicas da pessoa. 
A biometria pode ser usada como um mecanismo de identificação única ou como 
um recurso para complementar a identificação de alguém (SAGAH,2020). 
De acordo com Goodrich e Tamassia (2013), para uma biometria ser 
considerada um recurso de identificação a partir de determinada característica 
(impressão digital, por exemplo), existem diversos requisitos a serem atendidos, 
listados a seguir: 
 
 Universalidade: quase todas as pessoas precisam ter alguma 
característica que seja comum a todos, sendo a mais conhecida a 
impressão digital. 
 Distinção: as características de cada pessoa devem apresentar 
diferenças notáveis, sendo, por exemplo, o DNA e a retina 
inconfundíveis. 
 Permanência: a característica biométrica não deve se alterar de 
forma significativa com o tempo. 
 Coletável: a biometria precisa ser determinada e quantificada de 
forma efetiva. 
 
38 
 
 
Neste capítulo, você viu que o assunto “segurança lógica física” é extenso 
e se expande para além da segurançadigital. De nada adianta a organização ter 
modernos hardwares e softwares de segurança se o componente humano ou os 
aspectos físicos não forem observados. A segurança é uma responsabilidade, um 
dever de todos em uma organização, e merece ser estudada em profundidade 
(SAGAH,2020). 
 
6 PLANO DE CONTINGÊNCIA 
Saber conduzir um negócio é sempre um desafio, principalmente porque, 
por mais planejamento que uma organização tenha, ela nunca conseguirá garantir 
sua segurança integral. Isso ocorre porque há variáveis externas à empresa que 
representam ameaças, como pessoas maliciosas que tentarão obter dados 
sigilosos de forma ilícita, hackers que tentarão atacar os bancos de dados para 
prejudicar a imagem da corporação, demonstrando o quão frágil ela é, ou mesmo a 
ocorrência de desastres naturais, impossibilitando que a organização funcione 
adequadamente. Para minimizar esses cenários negativos, a empresa precisa ter 
sempre um plano B para os assuntos mais críticos (SAGAH,2020). 
Se não houver planejamento para o cenário de crise, o resultado será 
certamente um caos, pois, sem papéis definidos, o cenário que se desenhará no 
desastre será semelhante ao de uma orquestra em que cada um toca seu 
instrumento no tom que achar mais adequado à situação. O resultado geral não 
será outro a não ser uma dissonância certamente desagradável aos ouvidos. É por 
isso que um plano de contingência é necessário (SAGAH,2020). 
 
 
 
39 
 
6.1 Características de planos de contingência para incidentes de segurança 
 
De acordo com a norma NBR ISO/IEC 27002 (ASSOCIAÇÃO BRASILEIRA 
DE NORMAS TÉCNICAS, 2005, documento on-line), convém que “[...] planos sejam 
desenvolvidos e implementados para a manutenção ou recuperação das operações 
e para assegurar a disponibilidade da informação no nível requerido e na escala de 
tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos 
do negócio”. Complementando essa definição, uma maneira de entendermos o que 
vem a ser um plano de contingência é por meio de um exemplo prático, baseado 
em McCarthy (2014). Segundo o autor, o exército norte-americano gasta cifras 
expressivas de dólares testando planos de contingência para serem implementados 
em qualquer lugar do mundo em casos de crise. No plano estão incluídas as 
simulações do que fazer a partir de ações de adversários, envolvendo diversos 
personagens, que desempenharão papéis diferentes no exercício. O plano de 
contingência é avaliado tanto pelas pessoas previstas para a sua execução quanto 
pela ótica do próprio plano em si (SAGAH,2020). 
Por falta de planejamento, quando um sinistro acontece, muitas vezes 
ninguém consegue saber de perto o que está acontecendo. Exatamente pela 
insegurança do desconhecido, a resposta natural do ser humano é descobrir 
rapidamente o que está acontecendo para que recupere o domínio e a normalidade 
da situação. Nesse contexto, também é comum que várias pessoas se apresentem 
para fornecer suas opiniões, que podem causar paralisia no processo decisório 
(SAGAH,2020). 
Por esses motivos é que se justifica a criação e manutenção de um plano 
de resposta às crises, ou plano de contingência. Nesse sentido, é mais do que 
fundamental saber o que a empresa faz, sua missão, visão, valores, o que a torna 
atrativa para os clientes/mercado ou o que é feito que a diferencia das concorrentes. 
Ter a capacidade de responder a essas perguntas ajudará a organização a agir em 
tempos de crise, pois, certamente, ela saberá o que proteger ou terá uma boa noção 
 
40 
 
de como sua oferta de produtos ou serviços aos clientes será afetada no período da 
adversidade (SAGAH,2020). 
Adicionalmente, a organização poderá instruir os responsáveis que 
combaterão a crise a proteger aquilo que realmente interessa à empresa. Pode ser 
a marca da organização ou outros aspectos da propriedade intelectual (uma 
patente, por exemplo). Entretanto, um fator muito importante durante o momento da 
crise é a unidade de comando. Sem planejamento e com muita gente querendo 
tomar a melhor decisão, a organização pode, como já vimos, se paralisar — e pior 
do que tomar uma decisão errada é não tomar decisão alguma (MCCARTHY, 2014). 
Um princípio sólido da disciplina de gestão da segurança da informação é 
que as organizações adotem medidas de proteção, detecção e medidas corretivas 
para o resguardo da confidencialidade, integridade e disponibilidade de suas 
informações. O planejamento é de suma importância e, para ser eficaz, ele precisa 
ser testado e atualizado constantemente (FONTES, 2008). Outro ponto muito 
importante a ser destacado é que a segurança da informação é um dever de todos, 
e não somente da área de tecnologia da informação (TI). Portanto, o plano de 
segurança da informação, bem como o seu plano de contingência, deve ser 
conhecido por todos em uma empresa (SAGAH,2020). 
Antes de a empresa se dedicar à tarefa de elaboração de um plano de 
contingência, é importante verificar qual problema exatamente deseja resolver. Se 
um risco ocorrer, quem será afetado dentro da empresa? Qual será o impacto dentro 
da corporação, caso não haja uma resposta? Para desenvolver um plano de 
contingência, o requisito mais importante é que haja o apoio incondicional da alta 
administração. Se a camada executiva não estiver realmente engajada no assunto, 
é melhor não seguir em frente, pois certamente será tempo gasto em vão. Nesse 
caso, o apoio deve ser do presidente ou do vice-presidente da empresa. No caso 
de um plano que envolva violação de dados, certamente outros personagens 
entrarão em cena, como o diretor de segurança da informação/ diretor de segurança 
e o diretor de informações (SAGAH,2020). 
A tarefa é árdua porque, dentro das organizações, há outras prioridades 
concorrentes que envolvem o dia a dia da empresa, as atividades que são 
 
41 
 
realizadas para gerar lucro organizacional ou, em casos mais extremos, o apagar 
de incêndios com o qual muitos colaboradores se envolvem diariamente. Ademais, 
pouca gente enxerga valor em um plano de contingência que só será disparado se 
houver um sinistro. Na cabeça de muitos gerentes e até mesmo diretores fica a 
pergunta: por que gastar dinheiro em algo que só talvez, algum dia, se houver algum 
descuido, acontecerá? Certamente há muitas outras prioridades que merecem 
atenção (SAGAH,2020). 
Lamentavelmente, grande parte das empresas só enxerga o valor de um 
plano de contingência quando o sinistro, de fato, acontece e ninguém sabe o que 
fazer. As operações mais importantes da organização param e os prejuízos podem 
levar a empresa à falência. Mas depois que a porteira foi arrombada, do que adianta 
comprar o cadeado? 
O desafio se mostra desde o início do planejamento da contingência, pois, 
se os apoiadores são da alta administração, certamente eles terão pouco tempo 
para se dedicar à análise de um plano de contingência. Felizmente há uma saída 
para isso. Após sensibilizar a camada de governança da empresa para a 
necessidade de elaboração de um plano de contingência, será fundamental que 
eles tomem conhecimento da evolução da construção do plano ao longo do caminho 
de forma frequente. Nesse caso, reuniões serão necessárias, mas aqui o ponto 
fundamental é que o tempo gasto nessas reuniões seja breve e investido de forma 
sábia (SAGAH,2020). 
Um recurso muito utilizado em metodologias ágeis são as stand-up 
meetings, ou reuniões em pé. São reuniões curtas, que duram 15 minutos, que 
ocorrem todos os dias entre os membros de um time, que permanecem o tempo 
todo de pé. Esse princípio pode ser adaptado a qualquer empresa, 
independentemente do seu tamanho e área de atuação, e utilizado para tornar os 
encontros mais produtivos e o planejamento, mais eficaz. Evitar reuniões em salas 
confortáveis, com café e água à disposição, pode ajudar. Pode parecer meio 
estranho, mas quando se está em uma cadeira confortávelcom serviço de copa à 
disposição, o risco de se desviar do assunto a ser tratado é grande. O responsável 
 
42 
 
pela elaboração do plano de contingência precisa ser focado e mostrar aos 
executivos que suas reuniões, de fato, não são tempo jogado fora (SAGAH,2020). 
 
6.2 Construção de planos de contingência para incidentes de segurança 
Se, por exemplo, um vírus atacar um sistema e tornar a TI inoperante 
(podendo durar dias), a organização pode perder clientes e ter sua reputação 
manchada se não tiver uma noção mínima do que deve ser feito. A organização 
deve estar protegida com software antivírus e antimalware; sistemas de prevenção 
contra perda de dados (data loss prevention); sistemas de prevenção contra 
intrusão de rede; sistemas de proteção contra intrusão de host. Entretanto, de nada 
adianta todo esse arsenal se houver falha na configuração desses sistemas, ou se 
a manutenção desses sistemas falhar, ou ainda se violações acontecerem pelo lado 
humano. É exatamente por isso que uma gestão baseada em riscos ajuda a fechar 
tais brechas (SAGAH,2020). 
Para evitar dissabores com clientes, a organização deve incluir a segurança 
da informação para todos os seus colaboradores, além dos seus fornecedores. Se 
isso falhar, o cliente não vai querer saber de quem foi a falha, mas que aquele que 
ele contratou é que deve garantir a entrega do serviço como especificado no 
contrato (SAGAH,2020). 
Muitos executivos não dão a devida importância a um plano de 
contingência, pois não querem gastar expressivas cifras em frentes que não trazem 
lucros, mas evitam prejuízos. No entanto, um plano de contingência não 
necessariamente é um plano reativo. Ele pode ser usado de forma proativa. 
McCarthy (2014) relembra um plano bem documentado de resposta a malware. 
Sabia-se, antecipadamente, que a empresa em questão representava um potencial-
alvo para uma possível infestação de malware global. O passo seguinte foi garantir 
que todas as tecnologias instaladas na organização estivessem devidamente 
atualizadas e preparadas para confrontar o vírus. 
anderson.oliveira
Realce
 
43 
 
Os recursos, em sua totalidade, estavam prontos para a resposta em caso 
de ataque à rede. De fato, houve o ataque e, como a empresa já estava preparada, 
a execução do plano ajudou a organização a lidar com o maior ataque por e-mail 
em quase dez anos. Embora seja pouco conhecido das pessoas, esse fato 
comprova que um plano de contingência é extremamente útil não somente para a 
reação ao sinistro (SAGAH,2020). 
McCarthy (2014) introduz ideias relevantes para a construção de um plano 
de contingências. A primeira delas é uma discussão sobre os seguintes tópicos: 
 
 Objetivo: em termos gerais, qual é o benefício esperado pela 
construção do plano de contingência? Aqui pode ser útil um recurso 
como a lista dos 5Ws: who (quem), what (o que), when (quando), 
where (onde) e why (por que). 
 
 Escopo: os limites do plano. 
 
 Responsabilidades: quais executivos são responsáveis pelo plano 
e seus dados de contato. 
 
 Topologias de execução e comando: esquema visual do plano 
para facilitar a comunicação com a camada executiva, conforme 
exemplificado na Figura 10. 
 
 Estrutura do plano: considerando que o plano terá uma série de 
informações, algumas poderão se desatualizar, como uma lista dos 
contatos ou informações que dependem de entidades externas, mas 
o plano deve ser razoavelmente atual para ser realmente importante. 
 
 
 
 
 
44 
 
Figura 10 - Topologia de execução e comando do plano. 
 
Fonte: Adaptada de McCarthy (2014, p. 126) 
Nesta primeira etapa da elaboração do plano, devem estar reunidos todos 
os documentos necessários para a resposta a uma crise (estratégia de contenção 
e análise de impacto em um plano contra deflagração de malware, por exemplo). 
Em ato contínuo da elaboração do plano de contingência, seria relevante que a 
organização soubesse identificar o que exatamente se configura uma situação de 
crise, assim como uma análise técnica se faz necessária para determinar a 
gravidade de uma crise (SAGAH,2020). 
 
45 
 
Toda essa documentação deve ser examinada pelos especialistas da 
organização, que são da área de negócios, pois eles é que são capazes de avaliar 
os impactos e suas consequências quando uma ameaça se concretizar. A TI só 
implementa, na forma da tecnologia, o desejado pela área de negócios na hora de 
dar a continuidade a um serviço quando a ameaça se concretizar. E, quando a 
ameaça se concretiza, é fundamental saber quem faz o que e quando durante a 
crise. Ao fim da crise, será hora de avaliar o aprendizado, o que saiu bem e o que 
não foi exemplar e, a partir dessas entradas, melhorar o plano com as lições 
aprendidas (SAGAH,2020). 
Mas o que devemos elencar em um plano de contingência? O objetivo do 
plano é reduzir ao máximo as consequências negativas para a empresa. Neste 
sentido, o risco deve ser quantificado de forma a listar as prioridades a serem 
tratadas como preparo à continuidade do negócio. McCarthy (2014) sugere uma 
fórmula simples: 
 
 
Risco = Vulnerabilidade + Ameaça + Consequência 
 
Para quantificar cada um desses itens, especialistas em gestão de riscos, 
de TI e da área de negócios, assim como a camada de governança, deverão se 
reunir para desenvolver o método de quantificação. É fundamental notar que essa 
fórmula é somente uma sugestão. Há certamente outros métodos de quantificação, 
e cada organização deverá utilizar o que for melhor para as suas necessidades. Em 
alguns casos, a contratação de consultoria especializada pode ser outra alternativa 
viável para auxiliar no desenvolvimento de uma metodologia. A vantagem da 
contratação de uma empresa especialista é que, certamente, ela oferecerá um 
produto que já foi validado em projetos anteriores de outros clientes, conferindo 
robustez e confiança no uso do método (SAGAH,2020). 
 
 
 
 
46 
 
6.3 Organização de processos de manutenção para planos de contingência 
Uma as tarefas mais desafiadoras de um plano de continuidade de negócios 
é sua manutenção e melhoria constantes. O problema residente em planos de 
contingência é que os planos são escritos e colocados “congelados” em um local 
dentro da empresa (em uma biblioteca, se impresso, ou em uma intranet, se 
eletrônico). A palavra que entra em campo aqui é o conformismo, pois, com o plano 
pronto, todos os envolvidos na segurança se ocuparão com outras atividades. Com 
o passar do tempo, à medida que a organização e seus processos vão mudando, o 
plano se desatualiza e, quando for invocado, ele de nada servirá (SAGAH,2020). 
Assim, o objetivo de manter o plano de contingência atualizado é assegurar 
que, no momento em que ele for necessário, ele forneça informações seguras para 
garantir sua execução com sucesso. As informações a serem atualizadas e 
mantidas ficam contidas na seção “Estrutura do plano” (citada no tópico anterior) 
em base periódica. Quando da manutenção, é fundamental registrar as lições 
aprendidas na versão subsequente do plano, para que seja possível rastrear o 
caminho da maturidade do plano (SAGAH,2020). 
Outro benefício das lições aprendidas é que elas ensinam como manter o 
plano relevante com o passar do tempo. Segundo McCarthy (2014), as melhores 
práticas da indústria e o PCI DSS (Payment Card Industry — Data Security 
Standard, o padrão de segurança de dados para a indústria de cartões de crédito e 
afins) sugerem que os planos de respostas a incidentes sejam testados em base 
anual, envolvendo todos os participantes previstos, para que, se for necessário 
colocar o plano em prática, ele apresente informações precisas e efetivas com a 
estrutura e a equipe atuais (SAGAH,2020). 
A última parte da manutenção é a seção de recomendação. Nesse tópico 
serão documentadas as sugestões de mudanças. O resultado de que algo não está 
bom não é suficiente — a ideia é a melhoriaconstante. Daí a razão da 
recomendação ser a última parte do plano (SAGAH,2020). 
Entre as muitas informações geradas, como entradas para o processo de 
melhoria, uma que aparece recorrentemente nas discussões sobre o assunto é a 
 
47 
 
contenção funcional, defendida por McCarthy (2014). Para entendê-la, o exercício 
do vírus pode ajudar bastante. Se um vírus se espalhar rapidamente pela Ásia e as 
autoridades de outros continentes desejarem proteger suas populações, a medida 
de contenção seria o rompimento da conexão com o continente asiático, o que tem 
reflexos imediatos nas viagens de avião (SAGAH,2020). 
Com a possibilidade de equipamentos como smartphones e laptops 
individuais acessarem a rede corporativa a partir da rede de casa ou de outros locais 
fora da empresa, as superfícies de ataque se multiplicam consideravelmente. No 
momento em que ocorre uma deflagração de um vírus global, esses dispositivos 
portáteis poderiam ser impedidos de se conectarem à rede como uma medida de 
contenção. Muito embora o bloqueio possa ser fácil de compreender, ele não 
necessariamente será fácil de implementar — e não por conta da tecnologia. Há 
que se considerar, por exemplo, o impacto da contenção, pois o custo da “cura” 
pode ser mais alto do que o da “doença”, dependendo do tempo de retenção 
(SAGAH,2020). 
Naturalmente, o exemplo é um entre muitos inputs para a melhoria de um 
plano de contingência. O plano de resposta a emergências deve ser mantido em 
outras frentes também, como operações de backup, recuperação pós- -desastre 
para sistemas de informação organizacionais, entre outras (BROWN; STALLINGS, 
2014). 
Muito embora a manutenção objetive a melhoria contínua de um plano de 
continuidade de negócios, é fundamental que, após uma crise, haja um 
planejamento para trazer a organização de volta à normalidade. Esse plano é 
conhecido como PRD, ou plano de recuperação de desastres. Neste tipo de 
planejamento estão contempladas catástrofes naturais, problemas derivados de 
manutenção ou ações de hackers. Nesse sentido, há opções como backup para a 
recuperação de dados (SAGAH,2020). 
Quando se fala em backup, é fundamental envolver todos na organização 
para um fato extremamente simples, mas que pode ser fatal na hora de recuperar 
documentos importantes após um desastre: o local de armazenamento nas 
estações locais. Há usuários que insistem em salvar documentos corporativos em 
 
48 
 
seus discos locais (C:) ou em pen drives, por exemplo, em vez de os salvarem nos 
sistemas corporativos que estão cobertos pelo backup. Todos os usuários devem 
ter ciência desse ponto — do contrário, a organização pode perder ativos de 
informação importantes se sofrer um desastre. Por isso a segurança é assunto de 
todos. Ignorar ações simples, como esse exemplo pode trazer consequências 
expressivas para a empresa (SAGAH,2020). 
Nos casos de sinistros, o backup precisa ser recuperado rapidamente para 
que a organização possa voltar a funcionar em pouco tempo. Em algumas 
organizações, é uma prática guardar as mídias de backup fora da organização (em 
guarda externa). Para implementar uma política de recuperação de desastres, há 
que se pensar em ferramentas adequadas para o sucesso do projeto. Para 
recuperação de desastres em ambientes físicos e virtuais, a organização precisa 
considerar, por exemplo, o arquivamento de suas cópias na nuvem, reduzindo 
custos com servidores locais. Uma grande vantagem da nuvem é evitar que os 
dados estejam vulneráveis às ocorrências de desastres naturais ou sinistros que 
possam acontecer dentro da organização (SAGAH,2020). 
Dependendo da criticidade do negócio, a antecipação é um fator mais do 
que essencial. A contratação de um serviço de recuperação de desastres para o 
caso de ataque de hackers pode ser a solução para garantir que a recuperação seja 
imediata, além de garantir que todos os dados sejam recuperados e minimizar os 
impactos negativos (SAGAH,2020). 
Muitos são os desafios para garantir que os dados possam ser recuperados 
no menor tempo possível. Um deles, por exemplo, envolve a aquisição de um 
gerador de energia capaz de manter a organização funcionando em casos de queda 
de energia. Para evitar problemas com operadoras de internet, a contratação de 
duas operadoras é outro, pois se o serviço com uma operadora estiver indisponível, 
a outra deve suprir a comunicação. Data centers, por exemplo, podem estar em 
outro local geograficamente distante, para que a empresa tenha uma estrutura que 
a atenda em situações de emergência. Neste ponto, a solução de cloud computing 
(computação em nuvem) pode oferecer uma infraestrutura de TI on-line, segura e 
com alta disponibilidade, para minimizar a obsolescência em ambientes cada vez 
 
49 
 
mais complexos e que demandam recuperação em tempos cada vez menores 
(SAGAH,2020). 
A obsolescência é um tema constante em TI. Por isso, uma análise profunda 
de sua estrutura, de forma proativa, se faz necessária (estrutura de bancos de 
dados, rede, equipamentos, etc.). Se a TI estiver desatualizada, ela não performará 
no momento em que se fizer necessária. Por outro lado, há um custo de manter a 
TI sempre atualizada com a última geração de sistemas e infraestrutura. Uma 
análise de riscos sensata parece ser a opção mais razoável para que a TI esteja 
pronta sem exigir, por parte da organização, um extremo esforço financeiro. 
Para que não haja dúvida, é importante que se diferencie o PCN (plano de 
continuidade de negócios) do PRD (plano de recuperação de desastres). O PCN 
trata das contingências, dos caminhos alternativos a serem seguidos no caso de 
uma crise, ou seja, ele é tratado antes do desastre. Já o PRD toma as medidas 
necessárias para que a normalidade seja retomada enquanto a crise está em curso. 
Para garantir um modelo sólido computacional, é essencial garantir as 
propriedades de segurança que deverão ser asseguradas, antecipar os tipos de 
ataque que poderão ser lançados e, então, desenvolver defesas específicas 
(GOODRICH; TAMASSIA, 2013). Nesse sentido, é fundamental considerar também 
a perspectiva do risco, pois um plano de contingência, em alguns casos, acaba por 
ser uma extensão mais do que natural da gestão de riscos. Perceba que o 
gerenciamento de riscos engloba a identificação daquilo que pode, em algum 
momento futuro, afetar a organização. Entretanto, como é conhecido, várias 
empresas não realizam a gestão de riscos e acabam por ter de lidar com os 
desastres da forma mais traumática. 
Há várias formas de tratar o risco, como as listadas a seguir: 
 
 prevenir ou evitar o risco, eliminando a possibilidade de ele ocorrer; 
 mitigar o risco, reduzindo a chance de ele ocorrer; 
 transferir ou terceirizar o risco para outra pessoa; 
 ignorar o risco, aceitando que ele pode ocorrer. 
 
 
50 
 
 
Como pode ser percebido, um plano de contingência, apesar de ser simples 
de entender, é difícil de elaborar e manter, pois envolve expressivos recursos dentro 
da organização. É fundamental que haja o apoio incondicional da alta administração 
para a sua criação; se ela realmente não se engajar no assunto, todo e qualquer 
movimento em relação a um plano de continuidade de negócios será em vão. 
 
7 IDENTIFICAÇÃO E SOLUÇÃO DE PROBLEMAS REAIS 
Atualmente existe grande preocupação, por parte das organizações, com 
relação a problemas e incidentes causados por falhas na segurança da informação. 
Isso porque qualquer descuido pode gerar prejuízos, que podem ser enormes, 
ocasionando desde a perda de informações importantes até a perda financeira, de 
reputação e de imagem da empresa (SAGAH,2020). 
 
7.1 Os problemas de segurança da informação 
A área de segurança da informação dispõe de ferramentas e técnicas que 
têm o propósito principal de preservar as organizações de quaisquer 
vulnerabilidades e ataques que possam se concretizar e fazer com que as 
informações