Analise dos impactos gerados por falhas de segurança em

pequenas e grandes empresas

Emerson Santos Guimarães

Centro Universitário Estácio da Bahia (Estácio/FIB)
Salvador, Ba, Brasil
emerson.guimaraes@hotmail.com.br

Resumo. Este artigo analisa algumas falhas de segurança que geram impactos relevantes para
as organizações, sendo estes, impactos financeiros ou a imagem da organização, que por falta
de uma gerencia eficaz e eficiente, traz sérios riscos em todo âmbito da segurança da
informação. A importância de ter e aplicar uma política de segurança, não é somente informar
o que a política ira proteger e sim demonstrar através de normas e procedimentos quais as
melhores práticas para evitar os riscos que cercam a organização. Neste artigo irei demonstrar
algumas falhas que foram exploradas em algumas organizações que tiveram grandes prejuízos,
também irei descrever alguns controles necessários para boas práticas baseadas na norma
ISO 27002.

Palavras chaves: Segurança da Informação, Política de Segurança, Ameaças

1. Introdução
Conforme Dionatan Simioni responsável pelo site diolinux, recentemente saiu uma nova febre
de ataques que está se espalhando pelo mundo e preocupando as empresas que é chamado de
ransomware, o ransomware é um tipo de malware que infecta máquinas de sistemas
operacionais variados e que criptografa arquivos do usuário, os ransomwares possuem
variações, mas este é o tipo mais comum, uma vez criptografados, os ransomwares exibem
mensagens de resgate dos arquivos mediante a pagamento de um certa quantia, comumente em
Bitcoins, mas podem ser utilizadas outras moedas digitais também. (SIMIONI, 2017)

Uma pesquisa realizada no segundo semestre de 2016 com 300 empresas brasileiras
pela Trend Micro empresa especializada na defesa de ameaças digitais, mais da metade das
empresas pesquisadas cercam de 51% disseram ter sido vítimas de um ataque em 2016 e 56%
não contam com tecnologias para monitoramento e detecção de comportamento suspeito na
rede. (SIMIONI, 2017)
Desta forma o artigo está dividido na seguinte forma, na seção 2 é conceituado a
segurança da informação, e os exemplos de ataques, na seção 3 baseada na norma ISO 27002,
e na seção 4 a conclusão.

2. O que é Segurança da Informação

A segurança da informação é a proteção no conjunto de dados, no sentido de preservar

o valor que possui para o indivíduo ou uma organização. As informações são dados tratados,
ou seja, é o processamento, manipulação e a organização dos dados. (FONTE, 2015).
O objetivo de se adotar essas normas é a garantia da confidencialidade, integridade e a
disponibilidade das informações da organização pois a informação tem um grande valor para a
organização no qual se agrega no desenvolvimento da empresa, a falta de segurança desta
informações pode acarreta no mais diversos prejuízos para empresa. O nosso objetivo como
integrantes do setor de T.I, é manter os dados e as informações, sempre disponíveis, íntegros, e
confiáveis. (FONTE, 2015).
 A tecnologia tem um papel muito importante na gestão da segurança, através dela
que todo o processo é executado e podendo ser uma fator determinante para o sucesso da
empresa, a necessidade de obter tecnologias de qualidade e buscar sempre a inovação e a
capacitação dos profissionais responsáveis pela sua gerencia.
O processo são procedimentos, documentação, normas, políticas, para que as
pessoas venha usufruir das tecnologias de forma segura e não venha comprometer a
segurança da informação.
As pessoas são o pilar mais importante, é nesse pilar que temos que nos dedicar de
forma assídua, pois o ser humano é o principal vilão causador de falhas que comprometem
a segurança da empresa, sendo ela física ou na parte logica das tecnologias usadas, para
minimizar esses riscos.

São pilares da segurança da informação:

 Confidencialidade: Limitar o acesso a informação somente as pessoas
autorizadas pela empresa.
 Integridade: Garante que as informações manipuladas mantenham suas
características originais, e as alterações devem ser autorizadas pela empresa.
 Disponibilidade: Garante que as informações sempre estejam disponíveis para
as pessoas autorizadas.

Quanto à segurança, é importante diferenciar dois tipos: (FONTE, 2015).

 Segurança Física: pode-se dizer que aquilo que pode danificar os
equipamentos, impossibilitando o acesso às informações como: acesso de
pessoal não autorizado no setor. Mudanças na natureza: como relâmpagos,
alagamento, incêndio, curto circuito-elétrico.
 Segurança Logica: Utilização de políticas de segurança, sistema de bloqueios e
restrições, monitoramento dos ativos de rede, atualizações, (confidencialidade,
integridade, autenticidade) das informações.

Dessa maneira, definimos que a segurança da informação é m processo organizacional que

tem por objetivo permitir e possibilitar que a organização alcance seus objetivos, no que
depender da informação e dos recursos de informação. (FONTES, 2015).

3. Exemplos de ataques
Os ataques a grandes empresas tem-se intensificado cada vez mais, e razão desses ataques é
uma maneira do hacker se beneficiar financeiramente ou para ter prestigio entre eles, e o ataque
pelo ransomware é dos principais meios que os hackers estão usando no qual estão deixando
várias vítimas não só no Brasil, mas no mundo todo, principalmente bancos, e instituições como
por exemplo empresa de telecomunicações Telefônica a Prefeitura do Município de Japorã
sofreram ataques, e no dia 12 de maio de 2017 conforme a publicação do G1 site de notícias da
globo, empresas de ao menos 72 países foram alvos de um ciberataques de grande escala, entre
os países atingido está o Brasil, que por sua vez teve empresas como a Petrobras, INSS, TJ-SP,
Ministério público de São Paulo, IBGE, Itamaraty sofreram com essa onda de ataques
direcionados. (GLOBO, 2017).
São exemplos destes ataques:

 A Telefónica, maior empresa de telecomunicações da Espanha e dona da Vivo no

 Brasil, é uma das principais afetadas. Por falta de atualização do sistema operacional
do parque de máquinas incluindo desktops e servidores cercam de 85% dos
computadores que possuíam o sistema operacional Windows e que não estão com a
correção de uma vulnerabilidade disponibilizada pela Microsoft foram infectados.
Neste caso dá para se observar que a falta de atualização dos sistemas operacionais
é o principal motivo da infecção. (GLOBO, 2017)

Foram impactos deste ataque a interrupções de serviços que afetaram muitos

clientes, gerando uma imagem negativa a empresa, até então o que foi divulgado,
mas isso poderia ser bem pior, como exposição de dados dos clientes, como se trata
de uma empresa de telecomunicações e a mesma possui contratos com clientes
jurídicos poderia causar multas contratuais para a empresa. (GLOBO, 2017)

 Na Prefeitura de Japorã em Mato Grosso do Sul, foram atacadas por duas vezes no
mesmo ano o município ficou parado pois os pagamentos de impostos, as cobranças
de taxas, as financias ficaram parados, a prefeitura realizou o pagamento do resgate
para ter os dados liberados, o mesmo não possuía backup das informações, um dos
principais erros que as empresas cometeu foi a falta de uma política de backup.
(GLOBO, 2017)
Os impactos decorrente ao ataque foi a interrupção de todos os arquivos da
prefeitura foi criptografado, sistema financeiro inoperante, folha de pagamentos dos
servidores públicos e dos prestadores de serviços não foram efetuados, o comércio
no município foram afetados pois não conseguiram liberar as mercadorias devido a
fiscalização que dependem na prefeitura para a liberação. (GLOBO, 2017)

 O Instituto Nacional do Seguro Social (INSS), foi outra vítima dos ataques que foi
disparado em grande escala afetando diversas empresas e órgãos público. O INSS
por sua vez determinou que todos os computadores e servidores na sede do órgão
que fica lotada em Brasília, fosse desligado na sexta-feira do dia 12 de maio de 2017
e que nas unidades que apresentaram ataques confirmados segue a mesma
orientação. Em uma foto enviada por alguém que estava em uma das agência do
INSS para a redação de jornalismo da globo, é possível ver a tela de aviso do
ransomware (vírus de resgate), a janela mostra em português o pedido de resgate no
valor de $300 em moeda eletrônica (bitcoin) para a liberação da máquina.
(RODRIGUES, 2017)

O impacto gerado pelo a interrupção forçada dos servidores e máquinas dos

funcionários refletiu em todo o pais, pois o site do INSS ficou indisponível o próprio
sistema que o instituto necessita para trabalhar ficou fora do ar, e com isso os
atendimentos foram suspensos e reagendados para outra data devido a medida
tomada para prevenir outros danos maiores que poderia ocorre. (RODRIGUES,
2017).
 Hospital de Câncer de Barretos considerado referência em tratamento e prevenção
de câncer no Brasil, também foi vítima do ransomware, todas as unidades dos
hospitais teve seu atendimento prejudicado, as informações ficaram indisponível
para todos os usuários, e alguns computadores e servidores foi criptografado e
alguns dados ficaram indisponíveis. Uma parte dos atendimentos dos pacientes
foram interrompidos, os pacientes que tinham consultas ou sessões de radioterapia
agendadas não puderam dar continuidade no tratamento, segundo informações
passadas pelo hospital cerca de 350 pacientes não puderam ser atendidos, conformes
 o diretor clinico do hospital, Pulo de Tarso, os dados dos pacientes estão seguros no
sistema do hospital. (INGIZZA, 2017).

Os incidentes da segurança da informação a cada dia que passa é uma preocupação que
todos da área de tecnologia e principalmente os grandes executivos tem que ter, pois a
disparidade que evolução tecnológica com segurança da informação está muito distante, a
segurança da informação não acompanha os mesmos passos dos avanços tecnológicos devido
a diversos fatores, um deles é a capacitação e remuneração dos profissionais.

 O sumiço de notebooks e discos rígidos da Petrobras, em 2008, deixou o Brasil com a

pulga atrás da orelha. O que, a princípio, parecia ser um furto comum foi dado como
um caso preocupante já que o material perdido continha informações sigilosas da
Petrobras sobre as descobertas do pré-sal. A Polícia Federal prendeu quatro suspeitos
que trabalhavam no terminal de contêineres na zona portuária do Rio. O caso trouxe à
tona ocorrências mais antigas de roubos de equipamentos e computadores da Petrobras.
Vários laptops com informações importantes da Petrobras foram roubados das casas de
engenheiros e outros profissionais. (TORRES, 2015)

Impacto, vazamento de informações, espionagem industrial, comercialização das

informações contidas nos discos. (TORRES, 2015)

 No ano de 2001 a empresa Procter&Gamble uma empresa global que oferece produtos
de bens de consumo nas áreas de higiene pessoal, beleza, limpeza doméstica e etc,
contratou uma empresa especializada em investigação para obter informações
confidenciais sobre os negócios da empresa Unilever nos Estados Unidos, a P&G queria
ter mais informações sobre os projetos voltados para cuidados com os cabelos. A
espionagem foi descoberta depois que um do detetives da empresa de espionagem foi
pego revirando o lixo da Unilever em busca de dados secretos da empresa. Para evitar
um processo na justiça, a P&G teve que aceitar um acordo com a Unilever e pagar uma
indenização de 10 milhões de dólares. (LUCIANA, 2012)
 No ano de 2014 a empresa Sony Pictures, teve seus dados comprometidos pois os
sistemas da empresa resultou na exposição de dados confidenciais e propriedade
intelectual, os vazamentos ocorrido na empresa incluem diversos filmes e produções
cinematográficas, e-mails confidenciais da alta gestão, calendário de produções, entre
outros. A própria Sony foi alertada três dias antes do ataque por e-mail pelos invasores,
os mesmos ameaçaram a Sony mais uma vez no natal, caso a empresa exibisse seu novo
filme “A entrevista”, que teria sua estreia em 25 de dezembro. O filme relata um plano
fictício da CIA de assassinar o líder da Coreia do Norte. Os impactos gerados nesse
ataque foi estimado em US$ 100 milhões de dólares, e a mesma empresa um pouco
antes teve os dados de seus funcionários hackeados, e os funcionários processaram a
companhia. (IT FORUM 365, 2014).

Diante das informações apresentadas de casos reais sobre as falhas de segurança da

informação em grandes empresas tanto nacional quanto internacional, ficou claro que as
organizações tiveram um impacto significativo e danos causados por intrusões, roubos e
alterações de dados, imagine nas pequenas e medias empresas, que muitos dos incidentes
ocorridos não são divulgados, pois o vazamento dessas informações pode destruí a imagem das
empresas, ficou claro também a importância de seguir normas e procedimentos adotados na
política de segurança da informação para diminuir ou a extinguir os riscos nas empresa.
4. Recomendações baseadas na ISO 27002

Analisando alguns itens que ajudam a proteger os dados das empresas, todos baseados na NBR
ISO/IEC 27002 SET 2013 (ISO 27002, 2013):

A Segurança Lógica contempla ações como (ISO 27002, 2013):

a) Atualização e Ativação
 Manter todos os S.O atualizados tanto os clientes e os servidores.
 Verificar se as atualizações feitas implicam no desempenho e funcionalidade
das máquinas.
 Antes de atualizar um servidor, verificar se o mesmo pode ser reiniciado.
 Manter todos os computadores e notebooks ativados.
b) Documentação e Informações do Setor
 Manter as informações sobre o setor sempre disponíveis para as pessoas
autorizadas.
 Toda e qualquer informação referente ao setor, tem que estar disponível em um
lugar de fácil acesso e sempre atualizado.
 Manter todos os seriais em um local reservado e manter atualizado as planilhas
do qual estão sendo utilizadas as chaves.
 Todos os usuários que utilizam recurso da informação devem conhecer a
política de segurança da informação na hora de sua contratação.
 Manter as documentação sempre atualizada e disponível.
 As informações sobre as estruturas lógicas e físicas da rede devem ser
armazenadas em documentos separados.
o Essas informações tem que ser guardadas e mantidas em um local
seguro, contendo informações da rede como: topologia da rede,
endereços dos equipamentos.
 Seguir sempre os procedimentos do setor em caso sugestão avisar para que
possa ser verificada e aprovador pelo setor.
 Não passar informações referentes ao setor para outros setores.
 A troca de informações de um setor para o outro, pode ser interpretado por má
índole, e falta de ética profissional.
c) Senhas e Autenticações
 Alterar as senhas periodicamente.
 As senhas tem que ser alteradas com certo período, e utilizando letras, números
e caracteres especiais.
 As senhas utilizadas não deve ser uma senha utilizada anteriormente.
 Não passar sua senha pessoal para outra pessoa.
 Como é de inteira responsabilidade dos usuários, as senhas de acessos tem que
ser de uso pessoal e intransferível, para terceiros.
 Não passar a senha da rede sem fio para os usuários.
o Quando passamos a senha da rede sem fio para os usuários, qualquer
um que tiver posse pode se conectar a qualquer dispositivo que ele
possua, e levar risco a empresa, que porventura pode hospedar software
malicioso e de origem desconhecida.
 Utilizar a conta padrão para o uso das tarefas rotineiras.
 Alterar as senhas dos servidores periodicamente e ficar restrito aos
administradores de rede.
d) Backup
 O Backup garante a recuperação dos dados em caso de acidentes.
 Manter todos os backup atualizado e restaurar com um período determinado.
 As informações importantes das atividades exercidas relacionadas as suas
atividades devem ser armazenadas no servidor da rede, de forma que sejam
realizados backup das mesmas.
 As informações existentes nas estações de trabalho são de responsabilidade do
usuário.
 As mídias de backup devem ser armazenadas em lugar seguro e com proteção
com incêndios ou ações da natureza, e de preferência armazenar em um local
diferente da empresa onde está lotada.

e) Configuração
 Todos os servidores e equipamentos de rede deveram está com data e horas
sincronizadas.
 Manter todos os computadores e notebook no padrão de formatação.
f) Software
 Manter o antivírus instalado e atualizado em todos os computadores da rede.
 Não permitir o uso de software não homologado pela empresa nos
computadores.
o O uso de software de origem desconhecida e sem licença, pode
ocasionar risco a segurança da informação na empresa, e gerar prejuízo
por não possuir licença para o grupo.
 Verificar periodicamente os softwares de monitoramento e segurança da rede,
seu real funcionamento.
g) Permissão e compartilhamento
 Não compartilhar arquivos em máquina de usuários.
 O compartilhamento de arquivos em máquinas que não seja o servidor de
arquivos pode descentralizar as informações, e pode ter perda dos dados por se
tratar de compartilhamento sem backup, ocasionando tempo perdido e prejuízo
para empresa.
 Não da permissão administrador a usuários.
o Usuários com acesso administrador nas máquinas, pode ter acesso a
funcionalidades a ele restrito, e fica vulnerável a hospedagem de
software mal-intencionado por ele ter acesso ao registro do sistema.

h) Dispositivo Removível e Hardware

 Não permitir o uso de dispositivo removível nos computadores.
 A colocação de algum dispositivo removível nas maquinas, tem que passar
pelo setor de T.I. e ser avaliado a devida necessidade de seu uso.
 Não colocar nenhum dispositivo na rede sem autorização previa.

i) Arquivos
 Deverá ser removido dos servidores, os arquivos que não sejam mais
necessários ou que não sejam assuntos de trabalho.
o Os arquivos obsoletos que não será mais de uso da empresa, ou que não
contenha valor para a empresa, deverão ser verificados e removidos
para a fim de liberação de espaço.
 j) Acesso Externo, Segurança na Rede e Computador Móvel
 Liberação externa como VPN e acesso Remoto, tem que ser avaliada pelo setor
de T.I.
 Sempre fazer o logoof nos computadores ao sair.
 Deixar o firewall pessoal ativo.
 O computador móvel requer cuidados especiais, uma vez que o equipamento
possui valor físico e o valor das informações.
 Os computadores móveis deverão usar uma criptografia nos dados em uma
partição separada.

k) Plano de contingência.
 Os planos de contingência devem ser testados e reavaliados periodicamente.
 O departamento de T.I. devem manter atualizados os procedimentos do plano
de contingência.
 A disponibilidade dos serviços críticos para o funcionamento das atividades da
empresa, devem ser assegurados por um plano de contingência.

l) Treinamentos
 Treinamento a equipe do setor de T.I sobre qualquer alteração na rede.
m) Desligamentos de Usuários.
 É de inteira responsabilidade do recurso humano, informar o desligamento de
qualquer colaborador, informando o nome completo, setor, unidade.
 Ao desligar um funcionário, o setor de T.I tem que desativar a conta de
domínio, excluir ou redirecionar os e-mails de acordo com o gestor do setor,
excluir o usuário do sistema de telefonia, alterar o nome da máquina em caso
de mudança de usuário.
 Ao ser desligado um funcionário do setor de T.I, tem que alterar alguns itens,
como mudança de senha dos servidores, mudança de política de segurança de
controle de acesso, alteração de ip de acesso externo.

São itens considerados como Segurança Física que devem ser seguidos (ISO 27002,
2013):

a) Acessos de pessoas ao departamento de t.i.

 É proibido o acesso de pessoas não autorizadas entrar no CPD e se forem
autorizadas sempre acompanhar o início e o término dos procedimentos que
irão seguir.
 O acesso à pessoa não cadastrada no sistema de controle de acesso deverá ser
autorizado pelo departamento de T.I., o mesmo deverá o livro de controle de
acesso.

b) Obras
 Qualquer obra deverá ser previamente acordada com o departamento de T.I.,
para que sejam avaliados os riscos da operação, e depois ser decidida a
interrupção dos serviços e recursos disponíveis para a empresa.
 Em caso de execução de obras, os equipamentos deveram ser previamente
desligados, para que não haja falha na sua inicialização.
  A obra deverá sempre ser acompanhada por um responsável do departamento
de T.I.

c) Ativos
 No caso de desparecimento ou danos em algum equipamento, por negligência
ou por não-cumprimento da norma, por parte de algum funcionário, o mesmo
será responsabilizado e estará sujeito a ações administrativas.
 A planilha de inventário deverá ser atualizada pelo pessoal autorizado, quando
for necessária a colocação ou retirada de qualquer material da sala onde guarda
os materiais.
 Qualquer mudança que for feita em um dos nossos servidores, verificar a
importância do mesmo, realizar o backup, e verificar o que implicara na falta
dele.
 Não deixar exposto peças e periféricos no setor de T.I.

5. Conclusão

A gestão da segurança da informação está associada a 3 pilares (tecnologia, processo

e pessoas), esse tripé tem que funcionar em conjunto, para que o objetivo seja alcançado,
que é minimizar ou extinguir os riscos relacionado a segurança da informação.
As empresas devem investir em treinamentos, capacitações, matérias impressos e
digital sempre buscando esclarecer a importâncias de seguir os procedimentos adotados pela
empresa no que se diz respeito a segurança da informação, e o mais fiscalizar e fazer cumprir
as normas e procedimento adotadas.
Quando começamos a explorar um determinado ativo e que nesse ativo tem uma
fragilidade e não temos um controle de correção isso pode gerar prejuízo a empresa, o modo
dos dirigentes enxergarem vai ser diferente, pois tudo só é tomado certas providencia
quando o pior acontece, por que esperar acontecer, se podemos prever e ter controles
preventivos e que não acarretarão prejuízos a empresa. Por esse motivo que a política de
segurança entra em ação, prevenindo as brechas de segurança.
A proteção da informação é uma responsabilidade da organização e pela atuação dos
gestores dessa organização. A segurança da informação existe para proteger os recursos de
informação, que possibilitam a organização atingir seus objetivos. O uso da norma na
organização possibilitara em uma diminuição dos riscos inerentes a empresa, se as empresas
citadas acima estivesse colocado em prática as normas e os procedimento descritos, os
impactos que foram causados pelos ataques poderia ser minimizado ou extinguido.
REFERENCIAS

Torres, Sthefane. 6 casos reais de falhas de segurança em grandes empresas. Disponível

em: <https://www.trustsign.com.br/blog/6-casos-reais-de-falhas-de-seguranca-em-grandes-
empresas/index.html>. Acesso em: 29 jun. 2017.

Gusmão, Gustavo. As 17 maiores falhas de segurança de 2014. Disponível em:

<http://exame.abril.com.br/tecnologia/as-17-maiores-falhas-de-seguranca-de-2014/>. Acesso
em: 27 jun. 2017.

Simioni, Dionatan. Ransomware ataque como se proteger. Disponível em:

<http://www.diolinux.com.br/2017/05/ransomware-ataque-como-se-proteger.html> Acesso
em: 27 jun. 2017.

Redação E-Commerce News. 51% das empresas brasileiras foram vítimas de ataques
ransomware no ano passado. Disponível em:
<https://ecommercenews.com.br/noticias/pesquisas-noticias/51-das-empresas-brasileiras-
foram-vitimas-de-ataques-ransomware-no-ano-passado>. Acesso em: 27 jun. 2017.

Tecnologia e Games. Ciberataques em larga escala atingem empresas no mundo e afetam

Brasil. Disponível em: <http://g1.globo.com/tecnologia/noticia/hospitais-publicos-na-
inglaterra-sao-alvo-cyber-ataques-em-larga-escala.ghtml>. Acesso em: 27 jul. 2017

Rodrigues, Mateus. INSS desliga sistemas no DF e libera servidores por ameaça de

invasão hacker. Disponível em: http://g1.globo.com/distrito-federal/noticia/inss-desliga-
sistemas-no-df-e-libera-servidores-por-ameaca-de-invasao-hacker.ghtml. Acesso em: 28 jul.
2017

Fantástico. Hackers invadem computadores e celulares e sequestram dados. Disponível

em: <http://g1.globo.com/fantastico/noticia/2015/10/hackers-invadem-computadores-e-
celulares-e-sequestram-dados.html>. Acesso em: 22 jul. 2017

Ingizza, Carolina. Novo ataque cibernético atinge empresas no Brasil; Hospital do Câncer
suspende atendimentos. Disponível em:
<http://www.correio24horas.com.br/noticia/nid/novo-ataque-cibernetico-atinge-empresas-no-
brasil-hospital-do-cancer-suspende-atendimentos>. Acesso em 28 ago. 2017

IT FORUM 365. 10 ataques cibernéticos mais trágicos de 2014. Disponível em:

<https://itforum365.com.br/seguranca/ameacas/10-ataques-ciberneticos-mais-tragicos-de-
2014>. Acesso em 28 ago. 2017

Fontes, Edison Luiz Gonçalves. Políticas de Segurança da Informação. Rio de Janeiro:

RNP/ESR, 2015

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 –

Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de
segurança da informação. ABNT, 2013.