Gestão de Segurança da Informação - Parte 3

Prévia do material em texto

- -1
GESTÃO DE SEGURANÇA DA 
INFORMAÇÃO
UNIDADE 3 – RISCOS ASSOCIADOS À 
SEGURANÇA DA INFORMAÇÃO
- -2
Introdução
Caro estudante, a informação tem um valor extremamente importante para pessoas e principalmente para
empresas. Podemos dizer que a informação é elemento essencial na tomada de decisões, na implementação dos
processos gerenciais e na geração do conhecimento. Tamanha a sua importância, é possível afirmar que ela se
tornou, ainda mais atualmente, um bem que necessariamente deve ser protegido e preservado. Como o maior e
mais importante patrimônio das organizações, como elas vão gerir e cuidar das informações vai impactar e fazer
a diferença no ambiente organizacional e no alcance de seus objetivos. Para tanto, é de extrema importância que
as empresas avaliem quais são os riscos, ameaças e vulnerabilidades que podem correr e impactar de forma
negativa o seu negócio.
As empresas devem ter constante preocupação em garantir a segurança das informações. Você sabe qual o
principal objetivo da Segurança da Informação? Ela tem o objetivo de minimizar os riscos das empresas
relacionados aos recursos de informação. E o processo de gestão da Segurança da Informação, nesse sentido, é
um desafio crescente. Você sabe quais são os principais riscos associados à Segurança da Informação? E quais
são as consequências e os impactos que isso pode gerar em uma organização?
Esta unidade tem por objetivo abordar os principais riscos associados à Segurança da Informação. Está pronto
para conhecê-los? Vamos começar? Bons estudos!
3.1 Riscos Ambientais de Tecnologia
Riscos ambientais estão relacionados a agentes físicos, químicos e biológicos que existem ou estão presentes nos
ambientes de trabalho e que, de acordo com a sua natureza, concentração ou intensidade e tempo de exposição,
tem capacidade de afetar e ocasionar danos à saúde do trabalhador (BRASIL, 1978).
Existe uma área responsável pelo estudo dos agentes de riscos ambientais, a Higiene Ocupacional, que, na
legislação brasileira, dá-se através do Programa de Prevenção de Riscos Ambientais (PPRA). O programa tem por
objetivo antecipar, reconhecer, avaliar e, consequentemente, controlar as ocorrências de riscos ambientais que
existem ou que possam vir a existir no ambiente de trabalho.
- -3
Figura 1 - A segurança de sistemas e informações precisa ter a preocupação com diversos tipos de ameaças e 
riscos, entre eles os riscos ambientais de tecnologia.
Fonte: VoodooDot, Shutterstock, 2019.
De acordo com Brasil (1978), um PPRA deve ter a seguinte estrutura: planejamento anual com estabelecimento
de metas, prioridades e cronograma; estratégia e metodologia de ação; forma do registro, manutenção e
divulgação dos dados; periodicidade e forma de avaliação do desenvolvimento do PPRA.
Ainda de acordo com a citação com Brasil (1978), as etapas de prevenção e controle dos riscos ambientais são:
Etapa que envolve a análise de projetos de novas instalações, métodos ou processos de
trabalho ou da modificação dos que já existem, com intuito de identificar riscos
potenciais e introduzir medidas de proteção para que eles sejam reduzidos ou
VOCÊ SABIA?
Risco é uma ocorrência ou circunstância de incerteza que, caso venha a acontecer, pode
provocar impactos positivos ou negativos em algum setor, processo ou projeto de uma
organização. Quando essas ocorrências acarretam impactos positivos, elas representam
oportunidades, ou seja, algo que pode levar à influência benéfica no alcance de algum objetivo
ou na agregação de valores. Já quando acarretam impactos negativos, as ocorrências
representam ameaças, algo que pode influenciar de maneira desfavorável os diversos negócios
da empresa. (BARRETO et al, 2018)
- -4
Antecipação
potenciais e introduzir medidas de proteção para que eles sejam reduzidos ou
eliminados. Trata-se de uma abordagem ideal para a prevenção de riscos, visto que
nela estão incluídas a avaliação dos efeitos sobre a saúde dos trabalhadores e o
impacto ambiental da concepção e instalação do processo/atividade, oferecendoantes
a possibilidade de utilizar tecnologia mais segura e mais limpa, materiais e produtos
menos nocivos e local adequado do ponto de vista ambiental.
Identificação
/reconhecimento
A identificação dos riscos é uma etapa bastante primordial na prática de higiene do
trabalho, uma vez que possibilita o planejamento de avaliações confiáveis e a definição
das melhores estratégias de controle. A etapa está focada em reconhecer os agentes
ambientais que afetam a saúde dos trabalhadores, implicando no conhecimento dos
produtos envolvidos no processo, métodos e fluxos de trabalho, das instalações,layout
número de trabalhadores expostos, entre outros. Nesta etapa ocorre, também, a
compreensão do planejamento da abordagem do ambiente a ser estudado e a seleção
dos métodos de coleta e dos equipamentos de avaliação.
Avaliação
Trata-se do processo que realiza a medição, o dimensionamento e a avaliação dos
riscos presentes no ambiente para a segurança e saúde dos trabalhadores,
possibilitando inferir a exposição e chegar a conclusões sobre o nível de risco para a
saúde humana. A avaliação é considerada uma análise sistemática de todos os aspectos
relacionados ao trabalho. Permite identificar fatores que são suscetíveis à causa de
lesões ou danos, a possibilidade de eliminação dos perigos e a implementação de
medidas de prevenção e proteção para controlar os riscos.
O propósito da etapa de avaliação é a determinação da magnitude, frequência e duração da exposição dos
trabalhadores a agentes de riscos e, consequentemente, da ação preventiva ideal na fonte geradora desses riscos.
Importante ressaltar, portanto, o papel primordial da avaliação no sentido de obter informações para projeção e
mensuração da eficiência das medidas de controle adotadas.
Prevenção e
controle
Esta etapa comporta o desenvolvimento e a implementação de medidas e estratégias de
eliminação ou redução, a níveis aceitáveis, da presença de agentes de riscos ambientais no
local de trabalho. Existem fatores prioritários na hora de implementar medidas de controle
dos riscos, devendo-se levar em consideração as consequências da exposição, o número de
trabalhadores expostos e os fatores administrativos que podem ajudar – ou dificultar – os
esforços de prevenção.
3.2 Riscos relacionados a Aplicação
A possibilidade de um software apresentar erros acarreta ameaças aos sistemas de informação das organizações
e pode levar, com isso, a possíveis perdas e prejuízos graves. Laudon e Laudon (2009) relatam que os softwares
comerciais, em muitos casos, apresentam, além de problemas relacionados a desempenho, falhas que permitem
a invasores o acesso às redes. Assim, explorando essas vulnerabilidades, conseguem penetrar pelasmalwares
barreiras antivírus.
Boa parte dos já tentou explorar vulnerabilidades no sistema operacional Windows e em outrosmalwares 
produtos do pacote Microsoft, e os que atacam o sistema operacional Linux estão se expandindo. Para que essas
falhas identificadas sejam sanadas, os desenvolvedores e fornecedores criaram outro software denominado 
- -5
falhas identificadas sejam sanadas, os desenvolvedores e fornecedores criaram outro software denominado 
 (remendo), a fim de realizar o “conserto” da falha sem colocar em prejuízo o funcionamento dopatches
programa.
3.2.1 Vulnerabilidades do Sistema Operacional
Para Basta, Basta e Brown (2014) a segurança das aplicações executadas em um computador depende, em parte,
da segurança do sistema operacional principal. Atualmente, os sistemas operacionais mais usados são o
Microsoft Windows, o Mac OS e o Linux. Em servidores maiores, os sistemas operacionais mais frequentes são as
várias versões de UNIX.
A Microsoft tem sido alvo de hackers há́ um bom tempo, e existem muitas razões para isso. Entre as motivações
principais, citam-se as diferenças políticas relativas às regras de propriedade intelectual. Outro grande motivo é
que as primeiras versões do Windows eram menos seguras, dada a filosofia originalda Microsoft de que suas
máquinas seriam dispositivos autônomos e com apenas um usuário, como torradeiras ou aparelhos de televisão.
No entanto, talvez a maior razão para o nível de interesse em hackear a Microsoft seja sua grande fatia de
mercado. Com os recursos de interface gráfica do usuário dos sistemas operacionais Windows e os eficazes
instrumentos de marketing da Microsoft (em comparação com o estilo em geral acadêmico adotado por outros
provedores de sistema operacional), o Windows se tornou rapidamente o padrão de milhões de PCs, tendência
ainda evidente. Aqueles que são capazes de encontrar explorações significativas em sistemas da Microsoft estão
aptos a ganhar grande reconhecimento na comunidade hacker. (BASTA; BASTA; BROWN, 2014)
3.2.2 Vulnerabilidades de Aplicações Web
Existem alguns fatores recorrentes, segundo Basta, Basta e Brown (2014), que levam à vulnerabilidade de
aplicações e dados na web.
VOCÊ QUER LER?
“Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados” (CABRAL;
CAPRINO, 2015) é um livro com diversos artigos inéditos de profissionais destacados na área
de segurança no Brasil e em outros países, mostrando que a questão da segurança e da
proteção de informações está intimamente ligada à análise dos riscos durante todo o percurso,
dependendo das necessidades de cada organização. Cabe a ela, nesse contexto, escolher a
melhor “trilha” ou criar a sua “trilha” própria.
- -6
Figura 2 - Muitos são os fatores que podem levar a vulnerabilidades de aplicações web, como as senhas fracas e 
repetidas escolhidas pelos usuários.
Fonte: Valentin Drull, Shuterstock, 2019.
• Senhas fracas
Usuários podem ter dificuldades ao realizar a verificação de um site no que se refere ao sistema de
controle de senhas mais seguro e robusto. Para que tenham um certo nível de segurança, é recomendável
escolher um de senhas fortes, já que trabalhar com várias é sempre melhor do que com apenasconjunto
uma – como fazem, aliás, muitos usuários na hora de acessar diferentes sites, assumindo riscos. Frases
de segurança também podem ser utilizadas para cada aplicação. Assim, se uma frase, por acaso, ficar
comprometida, ela era utilizada somente para determinada aplicação, não afetando os demais serviços,
como cartão de crédito, e-mail e redes sociais. A possibilidade de ter uma combinação de palavras
juntamente com caracteres especiais auxilia na memorização. Um exemplo de boa frase de segurança é
“G0od$ecur1ty!”.
• Configurações inseguras de software
Há certo tempo, os servidores web da Microsoft chegavam ao usuário com uma configuração padrão
instalada, possibilitando a utilização de diversos serviços prontamente disponíveis. Entretanto, versões
mais atuais, em alinhamento com o Apache, exigem que o administrador decida e implemente apenas os
serviços desejados. Uma das dificuldades esbarra no conhecimento geral limitado para a implementação
de configurações de sistemas, de modo que os servidores trabalhem de forma mais segura.
•
•
- -7
• Facilidade na distribuição de informações sobre novas vulnerabilidades descobertas e suas respectivas
formas de exploração
Profissionais de segurança em rede e informação e hackers desenvolvem e descobrem, a cada dia,
ferramentas e métodos inovadores de ataques, aplicando-os a novos recursos de software e sistemas de
segurança. Com sofisticadas ferramentas e técnicas, são capazes de monitorar constantemente a
internet, em busca de novas conexões. Sistemas recém-conectados muitas vezes não estão configurados
corretamente, tornando-se suscetíveis a ataques maliciosos.
• Disponibilidade de ferramentas de hackeamento
A internet é uma das principais fontes de distribuição de informações de maneira rápida – e possibilita
estar atento às notícias de novas explorações e vulnerabilidades recentemente descobertas, de forma
ampla e global. Na internet, é possível encontrar grupos de usuários e chats nos quais hackers e
interessados se juntam para compras, vendas e compartilhamentos de recursos de seus negócios.
• Aumento de oportunidades para atividades criminosas na internet
A internet cresce cada vez mais. O acesso crescente a dispositivos móveis contribui para o crescimento
de usuários, juntamente com a disponibilidade de conexão pública. Entretanto, cresce também owireless
número de usuários com capacidade de exploração das vulnerabilidades dos sistemas. Os ataques mais
VOCÊ QUER VER?
O filme , de Alex Gibney (2013), retrata aNós roubamos segredos: A história do WikiLeaks
história da WikiLeaks, organização que teve acesso a um grande volume de segredos de
empresas mundiais e, sobretudo, de organizações governamentais. No ano de 2013, foi
elaborado um documento que demonstra como Julian Assange conseguiu acesso a cerca de
250 mil informações que eram sigilosas, realizando, depois, a divulgação delas em seu site, o
WikiLeaks. No documentário de Alex Gibney, aborda-se o fato de que grandes empresas,
organizações e governos têm problemas de segurança e não estão imunes à atuação de hackers
e ao vazamento de informações sigilosas. (BARRETO et al, 2018)
•
•
VOCÊ O CONHECE?
Kevin David Mintnick é um conhecido hacker nos Estados Unidos, que começou a cometer
delitos a partir de 1990. Ele conseguiu invadir diversos computadores de operadoras de
telefonia celular, empresas de tecnologias e empresas provedoras de internet. Ficou na prisão
entre 1995 e 2000 e, depois, mais três anos em liberdade condicional, sem poder ter acesso à
internet. Hoje, trabalha como consultor de segurança na web. (LAUREANO, 2012)
•
- -8
número de usuários com capacidade de exploração das vulnerabilidades dos sistemas. Os ataques mais
populares na internet são os feitos através de e vírus. Hackeamentos mais graves e prejudiciaisworms
ainda são raros, sendo geralmente trabalhos internos às corporações. Como consequência, o aumento no
número de em busca de formas de explorar as fragilidades de novas aplicações eleva a pressãocrackers
– e a demanda – sobre as empresas de desenvolvimento de software.
Diante do exposto, pode-se perceber que dificilmente existe aplicação ou sistema de informação que não possua
alguma vulnerabilidade, seja aplicação ou aplicação web. Muitos são os problemas relacionados àdesktop 
segurança de aplicações web, tornando-se uma questão central para muitos usuários individuais ou coletivos,
que precisam se precaver a respeito.
3.3 Riscos relacionados a malwares
Os softwares são normalmente desenvolvidos para a realização de tarefas uteis e benéficas. No entanto, nem
sempre isso acontece. Alguns softwares são desenvolvidos com o objetivo justamente ao contrário, sendo
capazes de se infiltrar em computadores, seguindo instruções de um intruso ou atacante, e de causar diversos
danos.
Você sabe como são chamados esses softwares? São os softwares maliciosos ou . Vamos abordar, amalwares
partir de agora, os riscos a eles relacionados.
VAMOS PRATICAR?
No cinema mundial, inúmeros são os filmes que retratam histórias de grandes organizações,
privadas ou governamentais, que tiveram problemas de Segurança da Informação. Sua tarefa é
escolher um filme de sua preferência e, após assisti-lo, identificar os problemas enfrentados
pelas corporações e destacar possíveis soluções para resolvê-los.
VOCÊ SABIA?
Existem dois termos importantes na Segurança da Informação, os hackers e os , comcrackers
habilidades e funções diferenciadas. Os hackers, em teoria, fazem uso do seu conhecimento
para a elaboração, modificação e melhoria de softwares, de forma legal, sem invasão de
sistemas com o propósito de prejudicar ou gerar danos. Já os têm atuação voltada aocrackers
propósito de quebra de segurança de um sistema de informação e utilizam seu conhecimento
de forma ilegal e maliciosa, roubando, modificando e até excluindo informações
intencionalmente, gerando danos e prejuízos.
- -9
3.3.1 Tipos de malware
Um é desenvolvido com o intuito de realizar danificações e corromper os sistemas. São diversos osmalware
efeitos e consequências advindasde um , como computador lento, falhas e roubo de informaçõesmalware
importantes, como números de cartões de crédito. A infecção de um pode se dar através da navegaçãomalware 
pela internet, pesquisando e fazendo download de arquivos, músicas e vídeos. Normalmente, a infecção ocorre
no computador do usuário sem o seu conhecimento.
De acordo com Kim e Solomon (2014), existem duas categorias principais de : os programas demalwares
infecção e os programas de ocultação.
Os programas de infecção realizam cópias de si mesmo para os demais computadores. Seu objetivo principal está
na execução de instruções de atacantes em novos computadores ou dispositivos. Vírus e vermes ( ) sãoworms
tipos de da categoria programas de infecção.malwares
Já os programas de ocultação ficam escondidos no computador, executando as instruções do atacante enquanto a
detecção é evitada. Cavalos de Tróia, e programas espiões são exemplos de do tipo programasRootkits malwares
de ocultação.
3.3.2 Vírus
Um vírus de computador funciona de forma semelhante a um vírus biológico. Os vírus de computador são
programas de software que conseguem se anexar a outros programas ou arquivos com o intuito de se executar,
normalmente sem o conhecimento e o consentimento do usuário. Eles conseguem realizar a infecção de um
programa hospedeiro e fazer com que esse programa seja replicado a outros computadores. Vírus de
computador necessitam de um hospedeiro para se espalhar a outros de forma infecciosa.
VOCÊ SABIA?
O Adware é um software semelhante a um programa espião, mas que não realiza a transmissão
de informações identificáveis pessoalmente – PII, de – ouPersonally Identifiable Inforrnation
então, se as realiza, o autor se compromete em não fazer a venda. PIIs são informações que
conseguem identificar uma pessoa específica, como número de identidade, número de CPF e
número de cartão de crédito. (KIM; SOLOMON, 2014)
- -10
Figura 3 - A segurança de sistemas e informações pode ser seriamente afetada por vários tipos de diversas 
ameaças, entre elas os malwares.
Fonte: Amir Kaljikovic, Shutterstock, 2019.
Segundo Kim e Solomon (2014), o principal objetivo dos vírus é conseguir enganar o computador para que siga
instruções não estabelecidas pelo desenvolvedor original do programa. Inúmeras são as ações que os usuários
realizam com cópias em rede de arquivos infectados de outro computador, através do uso de pen-drive ou de
outras atividades online. Alternativamente, podem transportar vírus de casa e do trabalho em seus
computadores portáteis com acesso à internet e a outros serviços de rede.
3.3.3 Worms
Vermes – ou, como mais conhecidos, no original em inglês – são programas de computador que atuam deworms
forma independente e realizam a cópia de si mesmos de um computador para outro através de uma rede.
Diferentemente dos vírus, eles podem e conseguem funcionar sozinhos, não sendo necessário se anexar a outros
arquivos. A disseminação ocorre mesmo sem a ação do usuário.
Kim e Solomon (2014) relatam que o objetivo de um pode ser a redução da disponibilidade, fazendo usoworm
da largura de banda da rede, ou realizar outras ações condenáveis. Uma diferença significativa entre vírus e 
 é que o segundo não necessita de programa hospedeiro para infectar. Age como se fosse um programaworm
isolado.
3.3.4 Cavalos de Tróia
Um malware do tipo Cavalo de Tróia pode se parecer, primeiramente, com um programa útil e benéfico, fazendo
uso da sua “aparência” externa para enganar o usuário e ser por ele executado (KIM; SOLOMON, 2014). O que
seria essa aparência externa? É fazer parecer, à primeira vista, que realiza tarefas úteis – por trás de códigos
maliciosos.
Basta, Basta e Brown (2014) apontam alguns meios através dos quais os Cavalos de Tróia são disseminados
(clique nas setas para ler):
Anexos de e-mail enviados por um amigo (que deve ter pensado que o programa anexo poderia ser útil ou
interessante) ou por um verme que se propagou em máquinas não corrigidas e vulneráveis.
Scripts em e-mails HTML com execução autorizada automaticamente: se o e-mail estiver definido para exibir o
HTML, ele automaticamente executará o código .JavaScript
Arquivos em servidores FTP, relativamente fáceis de hackear – de modo que mesmo sites legítimos se tornam
- -11
Arquivos em servidores FTP, relativamente fáceis de hackear – de modo que mesmo sites legítimos se tornam
fontes potenciais de Cavalos de Tróia.
Scripts em sites fraudulentos.
Scripts em sites legítimos hackeados.
Oportunidades de download em sites.
Arquivos oferecidos em informativos e fóruns.
Engenharia social, tal como ligar para um administrador de rede se passando por um usuário legitimo e
convencê-lo a carregar um arquivo escolhido por quem ligou.
3.3.5 Rootkits
Os são um novo tipo de . Eles modificam ou substituem um ou mais programas existentes paraRootkits malware
ocultar vestígios de ataques (KIM; SOLOMON, 2014). Embora normalmente alterem partes do sistema
operacional para esconder sinais de sua presença, eles podem existir em qualquer nível — desde instruções de
partida ( ) de um computador até aplicativos que são executados no sistema operacional.boot
Uma vez instalados, os fornecem a atacantes acesso fácil a computadores comprometidos, permitindoRootkits
que lançam ataques adicionais. Se um for detectado em um sistema, a melhor opção na maioria dosRootkit
casos, como solução, é a restauração do sistema operacional a partir da mídia original, o que implica em realizar
a recriação dos dados do usuário e dos aplicativos a partir de cópias de segurança (se elas existirem).
Para Kim e Solomon (2014), um (espião) é um tipo de que ameaça especificamente aspyware malware
confidencialidade de informação. Ele quer obter informações sobre o usuário por meio de uma conexão de
Internet sem que a vítima saiba. Um programa espião, às vezes, é agrupado como um componente de programas
livres ( ) ou compartilhados ( ) e baixados pela internet, semelhantes a Cavalos de Tróia.freeware shareware
Também pode se espalhar via troca de arquivos. Uma vez instalado, monitora as atividades de um usuário na
internet e pode colher informações como endereços de e-mail e até mesmo senhas e números de cartão de
crédito. O repassa esses dados ao autor do programa, que pode usá-los simplesmente para fins despyware
propaganda e marketing ou empregá-los para facilitar o roubo de identidade.
3.3.7 Procedimentos de Combate ao Malware
A preocupação com a segurança das informações precisa ser constante, seja em rede pessoal ou em rede
corporativa. Os diferentes tipos de possibilitam a ocorrência de ataques. Portanto, cuidados para quemalwares
isso não aconteça devem ser implementados efetivamente. Como diz o ditado popular: é melhor prevenir do que
remediar.
Kim e Solomon (2014) descrevem seis etapas gerais para impedir o :malware
Criar um programa educativo para impedir que usuários instalem malwares em seu sistema.
Postar espécies de boletins frequentes sobre problemas ocasionados por malwares.
Nunca realizar transferência de arquivos de fonte desconhecida ou que não apresente confiabilidade, salvo se a
máquina possui uma ferramenta de proteção instalada.
Testar programas novos ou abrir arquivos suspeitos em uma máquina que não possua conexão com nenhuma
parte da rede, antes de realizar a introdução no ambiente computacional.
Instalar um programa antimalware, certificando-se de que esteja sempre atualizado e configurado para
varreduras constantes, de modo a impedir que usuários mal-intencionados consigam infectar o sistema e a
detectar malwares já existentes.
Utilizar um processo seguro de controle de acesso e autenticação.
Além disso, é sempre importante se manter atualizado sobre o desenvolvimento e a ação dos ,malwares
- -12
Além disso, é sempre importante se manter atualizado sobre o desenvolvimento e a ação dos ,malwares
acompanhando as informações mais recentes sobre o tema. (KIM, SOLOMON, 2014)
3.3.8. Proteção do Sistema com Firewalls
Pode-se dizer que o é um software ou dispositivode hardware capaz de restringir o acesso de usuários afirewall
ambientes que possuem controle e impedir a entrada de possíveis invasores a pontos aos quais não possuem
autorização. O pode ser instalado no enlace que interliga a rede local interna com a internet.firewall
Figura 4 - Um importante aliado na Segurança da Informação são os firewalls, que controlam o fluxo de entrada e 
saída da rede, bloqueando ou autorizando o acesso.
Fonte: Lightspring, Shutterstock, 2019.
Kim e Solomon (2014) definem como:firewall
um programa ou dispositivo de hardware dedicado que inspeciona o tráfego que passa por ele e
nega ou permite esse tráfego com base em um conjunto de regras que o administrador da rede
determina durante a configuração. Sua tarefa básica é regular o fluxo ou tráfego entre redes de
computadores de diferentes níveis de confiança, por exemplo, entre o Domínio de Internet e o
Domínio de LAN (Local Area Network). (KIM; SOLOMON, 2014, p. 88)
VAMOS PRATICAR?
Atualmente, inúmeras opções de soluções de estão disponíveis no mercado. Dentrefirewall
- -13
Pode-se dizer que o é um recurso capaz de limitar o acesso ao ambiente computacional e de redefirewall
impedindo a entrada de intrusos, ou seja, quaisquer usuários que não possuam permissão/autorização para
acessar as funcionalidades dos dispositivos de tecnologia de informação. O tem a capacidade defirewall 
comparar as informações enviadas e recebidas com as informações estabelecidas pelo responsável nas
configurações, fazendo o bloqueio ou a liberação do fluxo de pacotes.
O caso prático mostra que a empresa se preocupou em implantar uma política de segurança consistente para
garantir que a rede não fosse acessada por estranhos, mas apresentou fragilidade em outros aspectos, como na
falta de treinamento adequado às pessoas envolvidas nas operações. O atendente deveria ter levantado mais
informações para ter certeza se quem estava do outro lado da lista era de fato funcionário de outra unidade, e
não um invasor.
Síntese
Finalizamos aqui os estudos da unidade sobre riscos associados à Segurança da Informação. Podemos pode
perceber que se trata de tema bastante amplo e complexo, em função dos inúmeros riscos, ameaças e
vulnerabilidades que rondam as organizações. Nesse sentido, a análise e a gestão de ricos e ameaças deve ser
preocupação e desafio constantes para que ela se mantenha atuante e competitiva no mundo dos negócios de
Atualmente, inúmeras opções de soluções de estão disponíveis no mercado. Dentrefirewall
elas, podemos citar Cisco Systems, SonicWALL, Dlink, Check Point, ZyXEL e Nortel. Pesquise
duas delas e procure notar semelhantes e diferenças nos serviços oferecidos.
CASO
Determinada empresa, após vários meses de trabalho com a equipe técnica responsável pela
segurança e proteção dos servidores e da rede, implementou a sua primeira política de
segurança. Para testá-la, contratou uma consultoria externa. A consultoria começou os
trabalhos e, passada uma semana, ainda não tinha conseguido entrar no ambiente de rede. O
prazo acordado estava finalizando sem que conseguissem quebrar a segurança.
Até que um dos consultores, certo dia, esqueceu o crachá da organização e ficou aguardando
na recepção da empresa. Ele percebeu que não havia recepcionista e que os visitantes, quando
chegavam, consultavam uma lista de ramais e ligavam para a área desejada. Um funcionário,
então, vinha até a recepção buscar o visitante.
O consultor olhou a lista e encontrou os ramais do setor Help Desk de todas as unidades da
empresa. Ligou para o setor de Help Desk de outra unidade e se passou por um funcionário
solicitando uma nova senha. O atendente perguntou a unidade – e porque não ligava para a
própria unidade. O consultou deu a desculpa de estar viajando; não tinha contato com a sua
unidade, em manutenção na central. O atendente acabou aceitando a explicação e forneceu
uma nova senha. Com o acesso válido, acessou a rede e trocou a senha descartável. O consultor
havia se passado por um funcionário importante: o administrador da rede.
- -14
preocupação e desafio constantes para que ela se mantenha atuante e competitiva no mundo dos negócios de
forma eficiente e eficaz.
As organizações, independentemente de setor e tamanho, necessitam conhecer e mapear os riscos e as ameaças
de modo a mitigá-los, para que seu maior patrimônio, as informações, sejam bem protegidas. Portanto, a
Segurança da Informação é uma questão estratégica da gestão de negócios: a forma como a empresa lida com a
Segurança da Informação vai impactar nas operações diárias, nos objetivos e até na sobrevivência.
Ao longo de nossos estudos, conhecemos alguns dos mais importantes – e perigosos – riscos em um ambiente de
Segurança da Informação, entre eles os riscos ambientais de tecnologia, os riscos relacionados à aplicação e os
riscos relacionados aos .malwares
Nesta unidade, você teve a oportunidade de:
• acompanhar a evolução do setor de segurança ligado às informações.
• contribuir na busca de soluções para diferentes tecnologias de redes de computadores.
• analisar os riscos relacionados às tecnologias, aos processos e às pessoas.
• planejar um ambiente seguro de forma a permitir que a empresa tenha um controle melhor de suas 
informações.
Bibliografia
BASTA, A.; BASTA, N.; BROWN, M. São Paulo: CengageSegurança de computadores e teste de invasão. 
Learning, 2014.
BARRETO J. S. et al. . Porto Alegre: SAGAH, 2018., Fundamentos de segurança da informação
BRASIL. Portaria n. 3.214, de 08 de junho de 1978 Aprova as normas regulamentadoras que consolidam as leis
do trabalho, relativas à segurança e medicina do trabalho. Disponível em: <https://www.camara.leg.br
/proposicoesWeb/prop_mostrarintegra;jsessionid=9CFA236F73433A3AA30822052EF011F8.
proposicoesWebExterno1?codteor=309173&filename=LegislacaoCitada+-INC+5298/2005>. Acesso em: 24/09
/2019.
CABRAL, C.; CAPRINO, W. (org.) : caminhos e ideias para a proteção de. Trilhas em Segurança da Informação
dados. Rio de Janeiro: Brasport, 2015.
GALVÃO, M. C. São Paulo: Pearson, 2015.Fundamentos de Segurança da Informação.
GIBNEY, A. : a história do WikiLeaks. Direção: Alex Gibney. Produção: Alex Gibney,Nós roubamos segredos 
Alexis Bloom e Marc Schmuger. Elenco: Julian Assange, Adrian Lame, Daniel Domsch, Michael Hayden e Robert
Manne. Cor (129 min.) Estados Unidos, 2013.
IMONIANA, J. O. . São Paulo: Atlas, 2016.Auditoria de Sistemas de Informação
KIM, D.; SOLOMON, M. G. . São Paulo: LTC, 2014.Fundamentos de segurança de sistemas de informação
LAUDON, K. C.; LAUDON, J. P. . São Paulo: Pearson, 2009.Sistemas de informação gerenciais
LAUREANO, M. A. P. . Curitiba: Livro Técnico, 2012.Segurança da Informação
•
•
•
•
https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=9CFA236F73433A3AA30822052EF011F8.proposicoesWebExterno1?codteor=309173&filename=LegislacaoCitada+-INC+5298/2005
https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=9CFA236F73433A3AA30822052EF011F8.proposicoesWebExterno1?codteor=309173&filename=LegislacaoCitada+-INC+5298/2005
https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=9CFA236F73433A3AA30822052EF011F8.proposicoesWebExterno1?codteor=309173&filename=LegislacaoCitada+-INC+5298/2005
https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=9CFA236F73433A3AA30822052EF011F8.proposicoesWebExterno1?codteor=309173&filename=LegislacaoCitada+-INC+5298/2005
	Introdução
	3.1 Riscos Ambientais de Tecnologia
	3.2 Riscos relacionados a Aplicação
	3.2.1 Vulnerabilidades do Sistema Operacional
	3.2.2 Vulnerabilidades de Aplicações Web
	Senhas fracas
	Configurações inseguras de software
	Facilidade na distribuição de informações sobre novas vulnerabilidades descobertas e suas respectivas formas de exploração
	Disponibilidade de ferramentas de hackeamento
	Aumento de oportunidades para atividades criminosas na internet
	3.3 Riscos relacionados a malwares
	3.3.1 Tipos de malware
	3.3.2 Vírus
	3.3.3 Worms
	3.3.4 Cavalos de Tróia
	3.3.5 Rootkits
	
	3.3.7Procedimentos de Combate ao Malware
	3.3.8. Proteção do Sistema com Firewalls
	Síntese
	Bibliografia