Resumo Tópicos de segurança da Informação

Aula 01 – Introdução a segurança da informação.

Classificação dos malwares

Vírus – O vírus de computador se propaga rapidamente. Uma vez em uma rede, consegue
infectar todos os computadores ao mesmo tempo.
Boot – esse tipo de malware se instala na inicialização do computador e grava um pedaço dele
no carregamento da memória. Pode funcionar juntamente com o seu sistema operacional e, muitas
vezes, fica agindo por dias sem ser detectado.
Worm – conhecido também como “verme”, consegue se espalhar automaticamente, faz
autocópias e infecta os computadores de uma rede até mesmo por e-mail.
Rootkit – O rootkit consegue, após a invasão de um computador, se instalar e manter o poder
total de acesso a ele.
Spyware – é um software que faz espionagem em praticamente todas as atividades que são
realizadas no computador. Podemos dividir o spyware em quatro:
Adware: programas que se instalam no browser, retiram a página inicial e abrem pop-ups com
propagandas.

Keylogger: quando infecta o computador, monitora todas as teclas do teclado e envia

tudo o que armazenou por e-mail para o atacante.

••Screenlogger: faz o monitoramento do clique e posicionamento do mouse; é utilizado

principalmente para capturar teclados virtuais utilizados no Internet banking.

••Trackware: um programa que se instala no navegador e rastreia todas as suas

atividades,

Trojan horse – facilita a invasão de alguém mal-intencionado.

Grayware –Quando instalado, inicia a abertura de algumas janelas pop-ups com

propagandas e vendas de produtos.

Ransomware – programa que invade o seu computador e faz uma criptografia de todos
os seus arquivos. Você não tem mais acesso a eles e seu HD é sequestrado. Geralmente
lhe será solicitado para depositar uma quantia em uma conta laranja, ou para comprar a
moeda da Internet, o bitcoin, o que torna quase impossível o rastreamento do criminoso.

A segurança de uma rede é baseada em dois tipos: física e lógica.

Segurança física – um simples cadeado com código de senha numérica, preso em um

notebook ou computador e fixado em algo que seja difícil de quebrar ou derrubar, já é
uma segurança física. Além desses dispositivos, temos também, na parte de segurança
física, firewall em hardware, parafusos que fixam roteadores, switches e dispositivos de
rede com a cabeça lisa (dessa forma, algum criminoso que tenha uma chave phillips ou
uma chave de fenda não poderá usá-la para nada; claro que isso não o impedirá de levar
o dispositivo, mas irá dificultar muito o furto, e talvez até desencorajar o roubo). Quando
a informação é muito valiosa e o dono da empresa exige segurança máxima, existem as
salas-cofre, que garantem a segurança até contra terremotos, enchentes e vários outros
tipos de catástrofes.
Resumo Tópicos de segurança da Informação

Um item de segurança que mistura a parte lógica e a física é a biometria. Ao empregar a

biometria como segurança, podemos utilizar a digital, a face, a íris, a voz ou até mesmo
algo em conjunto

Segurança lógica – assim como o firewall em hardware, temos também o firewall em

software, que impede vários acessos indesejados e também nos permite configurar os
acessos de dentro para fora de uma empresa.
Ter uma política de segurança dentro da empresa também é muito importante, pois cons-
cientizar o usuário do que ele pode ou não fazer é fundamental.
Criar VPN para acesso externo às informações que são internas de uma empresa é uma
alternativa para quem necessita dessas informações a qualquer momento.

Comunicação de dados e segurança da informação (tríade CID)

Dado — são códigos separados que ainda podem se tornar uma informação.
Informação — são os dados tratados após um processamento.
A informação pode ser classificada de três maneiras em relação à sua preservação: vital,
crítica e valiosa.

informação vital é essencial para a sobrevivência da organização.

informação crítica é crucial para a consecução dos objetivos da organização. Perdê-la

pode acarretar em comprometimento das metas

informação valiosa se trata de informação de valor reconhecido para a companhia.

A tríade CID é a base da segurança da informação. A sigla é a abreviação de confidencialidade,

integridade e disponibilidade:

Confidencialidade: a informação deve ser entregue ao destinatário de maneira confidencial

Integridade: a informação deve ser entregue em sua plenitude. Não deve sofrer alterações.

Disponibilidade: é ter acesso à informação em qualquer momento, contínuo, ininterrupto, sendo

ela confidencial e íntegra ou não.

Podemos acrescentar nessa tríade mais dois elementos relacionados à segurança da

informação:
Autenticidade: ocorre quando alguém encaminha uma mensagem, sem nenhum tipo de alteração,
dizendo para alguém o que uma terceira pessoa escreveu (algo semelhante a quando vamos a um
cartório para tirar uma cópia de um documento com autenticação).
Não repúdio: ocorre quando temos certeza de que o destinatário enviou aquela mensagem, porém
ele o nega, dizendo que não foi ele.

A tríade CID mostra a base para a segurança da informação, mas, em contrapartida, podemos citar
os conceitos da insegurança também, como VIRA, sigla para vulnerabilidade, incidente, risco e
ameaça.
Resumo Tópicos de segurança da Informação

Vulnerabilidade: é algo que não fornece segurança para a confidencialidade, a integridade e a

disponibilidade da informação.
••Incidente: é algo que ocorreu com a informação e impossibilita a garantia da tríade da
segurança.
••Risco: quando a ameaça pode se tornar realidade, devido à vulnerabilidade ser explorada para
esse fim.
••Ameaça: pode ser qualquer fator contrário à tríade CID, podendo ser acidental, como uma
enchente, um terremoto, uma falha ou qualquer problema relacionado com a natureza, ou
proposital, como ocorre quando alguém teve a intenção única de prejudicar a informação, tal qual
um espião ou um sabotador.

Aula 02 - Aspectos gerais da segurança da informação

Riscos envolvendo informações

Ameaça: é considerado um evento ou circunstância que, caso se concretize, poderá gerar
impactos muitos negativos sobre algum recurso, sistema ou local que apresente algum tipo de
vulnerabilidade que possa ser explorada por alguma ameaça.
• Impacto: é relacionado quando algum recurso, sistema ou local é afetado com consequências
diretas ou indiretas, desestabilizando ou causando algum dano. •
Vulnerabilidade: pode ser uma falha dentro de um sistema ou um ponto fraco existente em algum
lugar ou recurso. Caso exista uma vulnerabilidade, ela será explorada e poderá causar muito
prejuízo para a empresa.
• Risco: quando existe algo que pode se aproveitar de uma vulnerabilidade de um sistema ou
recurso, partindo com ameaças a fim de causar algum impacto negativo e, com isso, denegrir ou
acabar com a imagem e até mesmo com os negócios de uma organização.

Etapas da análise de risco

Recursos críticos: devemos fazer o levantamento de todos os recursos que existem na empresa.
temos que levar em conta a relevância que eles possuem para os negócios, além de verificar a
facilidade de substituição e o investimento para isso.
• Vulnerabilidades: mapear todas as vulnerabilidades, que podem estar relacionadas a sistemas,
pessoas e ao local da empresa.
• Ameaças: mapear as possíveis ameaças que podem se concretizar e calcular as perdas e os danos
relacionados com essas ameaças efetivas.
• Nível do risco: de acordo com o grau do risco mapeado, deve-se classificar a sua aceitação ou
não aceitação.
• Tratamento do risco: a organização deve decidir como irá tratar os riscos em relação ao seu
nível mais crítico, a fim de rebaixá-lo até um valor aceitável para que a empresa não sofra uma
paralisação crítica nos negócios.
Resumo Tópicos de segurança da Informação

Existem dois fatores que influenciam na análise de risco de qualquer informação. Um deles é o
grau de impacto da ocorrência; o outro é o nível de exposição à ocorrência. Segundo Caruso e
Steffen (2006, p. 72), podemos classificar os graus de impactos da seguinte maneira:
• Alto risco: a organização como um todo, ou parte importante dela, tem suas atividades
fortemente reduzidas a curto ou médio prazo, não permitindo a continuidade normal de suas
atividades, ou até mesmo pondo em risco a sobrevivência da organização.
• Médio risco: as atividades da organização, ou de parte dela, sofrem dificuldades sérias, que
acarretam prejuízos sensíveis, mas que não chegam a afetar a sobrevivência da organização como
um todo.
• Baixo risco: as atividades da organização não são afetadas de forma significativa pela
ocorrência.

Impactos de incidentes de segurança em empresas

Vamos destacar alguns conceitos necessários sobre incidentes dentro da empresa:
• Incidente: é qualquer acontecimento ou evento que não faz parte do trabalho, serviço ou função
da empresa e que cause interrupção, atraso e falta de qualidade nos negócios.
• Dano: é um prejuízo ou mal ocasionado por um incidente. Esse dano pode ser material ou moral.
Para diminuir os impactos de um incidente dentro da empresa, o melhor é agir rápido para
diminuir os efeitos reais de um incidente, o qual já não é possível defender, levando em
consideração algumas prioridades:
• Vida humana: sempre deverá ser a prioridade da organização.
• Informações sigilosas: é essencial proteger as informações que são primordiais para os
negócios da empresa. Todas as informações são importantes, porém algumas são mais preciosas
que outras.
• Informações comuns: geralmente uma empresa que tem um departamento de informática
tomará as devidas precauções com os backups de informações comuns a todos os funcionários.
Mesmo assim, é bom ter certa prioridade com essas informações.
Hardware: a proteção dos equipamentos e dispositivos de redes deve ter atenção, pois, sem um
roteador, por exemplo, muitas pessoas deixarão de trabalhar.
• Software: um ataque cibernético ou a vulnerabilidade de um software deve sempre estar sob
proteção. Atualização do antivírus e checagens semanais podem evitar tanto problemas maiores
quanto paralisações em uma rede.
• Disponibilidade: uma empresa que dependa da Internet jamais poderá ficar sem conexão; caso
contrário, poderá perder muito dinheiro. A disponibilidade deve ser levada a sério, com hardware,
software, link de Internet, energia elétrica e todos os fatores que podem disponibilizar uma rede.
Podemos tomar algumas providências para conter um incidente ou um dano dentro de uma
rede de computadores. São elas:

 Desconectar todos os equipamentos da rede e voltar a normalizar o sistema aos poucos

Resumo Tópicos de segurança da Informação

 Recriar o sistema do zero: parece assustador recomeçar uma implantação, porém, se a empresa
for de médio porte, às vezes compensa implementar tudo novamente
Gerência de incidentes de segurança da informação
Toda a equipe de TI deve ter acesso fácil a esse plano, pois assim todos saberão exatamente como
proceder. Nesse plano devem ter opções, como:
Avaliação inicial: assim que um incidente ocorrer, um dos membros da equipe de TI deve fazer
uma avaliação inicial do que está ocorrendo.
Comunicação do incidente: após avaliar, deve-se comunicar à equipe que algo de errado está
acontecendo.
• Correção dos danos: tentar corrigir o dano causado e minimizar o risco o máximo possível é
outra etapa importante.
• Identificação: identificar o que causou o dano e a gravidade desse incidente.
• Proteção da evidência: proteger a evidência e buscar o causador é fundamental para se fazer
justiça.
• Notificação aos órgãos competentes: alguns incidentes devem ser notificados aos
departamentos competentes relacionados ao incidente; em um roubo, por exemplo, deve-se ir a
uma delegacia e abrir um boletim de ocorrência.
• Recuperação de sistemas: tentar o máximo possível deixar o incidente transparente aos
usuários é uma tarefa que requer muita atenção e cuidado. Além disso, é preciso recuperar o que
foi atingido, a fim de que todos possam continuar trabalhando.
• Organização dos documentos: documentar todo o ocorrido e depois organizar um memorando
de modo que todos da equipe de TI tenham acesso a todas as informações é uma boa maneira de
aprender com o ocorrido.
• Avaliação dos danos: alguns incidentes podem causar danos, os quais podem ser morais, físicos
e de valores. Quantificar esses danos é importante para saber o prejuízo e planejar uma maneira
de recuperar os valores.
• Atualização do plano: após um incidente, é importante reunir todos os responsáveis por
resolvê-lo e aprender com o incidente. Atualizar o plano pode melhorar quando outra ocorrência
acontecer.
Para uma empresa que leva a sério a segurança da informação e a prevenção de incidentes,
ter uma norma faz todo o sentido para os negócios. A norma está dividida em quatro partes:
1. Detecção de incidentes: após a detecção de um incidente, deve- -se elaborar relatórios sobre
o ocorrido e fazer uma avaliação dos problemas causados.
2. Responder a incidentes: assim que um incidente é detectado, é preciso adotar medidas
adequadas para prevenir, recuperar e reduzir qualquer tipo de impacto.
3. Elaboração de relatórios de vulnerabilidades: é preciso criar relatórios sobre
vulnerabilidades que ainda não foram exploradas, a fim de obter mais informações para
avaliar medidas de prevenção dessas vulnerabilidades.
4. Aprender com incidentes e vulnerabilidades: é importante criar e implementar medidas
que ajudem a melhorar significativamente a abordagem em relação à gestão de incidentes.

Definir as responsabilidades, documentá-las e informá-las a todos da equipe de TI faz parte

de um bom gerenciamento de incidentes.
Resumo Tópicos de segurança da Informação

Aula 03 - Aspectos gerais de segurança lógica

Para administrar a segurança, o responsável pela segurança da informação da empresa pode
planejar algumas ações, como:
Elaborar palestras informativas aos funcionários, separando-os por grupos;
Criar workshops para todos os funcionários;
Ministrar treinamentos para funcionários terceirizados;
Deixar cópias da Política de Segurança da Informação sempre à vista dos funcionários;
Elaborar um plano de comunicação utilizando e-mail, revista digital, mural de informações, etc.;

Fazer gincana com prêmios para quem responder ou souber sobre alguns detalhes acerca da PSI.
(Política de Segurança da Informação)

Gerenciamento de ativos

Os ativos das instituições constituem-se também do capital intelectual, e esse tipo de capital é
geralmente chamado de capital intangível. Dele fazem parte o acervo documental e todos os
documentos que os funcionários criam para os negócios da empresa. Alguns documentos ficam
em salvaguarda devido a leis e comprovações exigidas pelo fisco, incluindo os próprios processos
e os procedimentos produtivos.
A proteção de ativos é cada vez mais necessária em função da concentração de informações
nos computadores, implicando em proteção dos recursos de informações contra ameaças
resultantes de danos ou deturpação de recursos do domínio. As ameaças mais frequentes aos
recursos de um domínio são:
Danos físicos em equipamentos usados para suportar o acervo de informações, que podem
acontecer por ações acidentais ou deliberadas de usuários ou terceiros, ou, ainda, serem causados
por acidentes naturais;
Revelação não autorizada, acidental ou deliberada de informações de natureza confidencial;
Fraudes.

A gestão dos ativos deve sempre ser associada a alguma política de segurança. Essa política deve
impor evidências do uso que permitam a rastreabilidade, ou seja, que deem a possibilidade de
conhecer o histórico de uso de algum ativo, a fim de responder:
a. Quem usou?
b. Quando usou?
c. Por que usou?
d. Quem se responsabilizou?

Gerenciamento de ativos – equipamentos e dispositivos de redes

Fazer o gerenciamento de ativos dos dispositivos de rede em uma empresa pequena talvez seja
uma tarefa simples, pois a quantidade de equipamentos influencia diretamente nesse
Resumo Tópicos de segurança da Informação

gerenciamento. Já em uma empresa de médio ou grande porte, pode ser primordial o uso de uma
ferramenta para auxiliar no gerenciamento.
As características de uma boa ferramenta para realizar esse gerenciamento são:
Inventário: algumas dessas ferramentas incluem um inventário. A maioria das empresas tem que
conferir o inventário pelo menos anualmente, e essa ferramenta faz esse trabalho automatica-
mente, quando necessário.
Histórico de ativos: outra característica importante para uma ferramenta de gerenciamento de
ativos é armazenar o histórico dos
ativos. Algumas opções interessantes são o local onde o ativo estava e para onde ele foi. Nesse
caso, conseguimos um mapeamento de quem utilizou o dispositivo.
••Fornecedores e suporte: caso a ferramenta permita, é interessante termos um cadastro dos
fornecedores e do suporte, pois se, por algum motivo, um ativo tiver problemas de hardware ou
de software e conseguir entrar em contato com o suporte do fabricante ou com o fornecedor, pode
economizar um bom tempo.
••Relatórios: a ferramenta deve ser acompanhada por diversos tipos de relatórios. Eles são
importantes na hora de uma decisão da troca do parque tecnológico, quando a garantia do
fabricante já expirou.
••Monitoramento: um recurso importantíssimo em um software de gerenciamento de ativos de
redes é a possibilidade de informar qualquer alteração no status de um equipamento que esteja
conectado à rede. Um exemplo interessante pode ser quando um pente de memória for removido.
Na hora que o software acusar a falta de um módulo de memória é enviada uma mensagem para
o celular ou o e-mail do administrador da rede. Esse recurso pode ajudar em um eventual roubo.
••Acesso remoto: aproveitando um agente que é instalado em cada computador da rede, um
recurso que pode agregar valor ao suporte é o acesso remoto a qualquer equipamento, o que traz
praticidade na hora de fazer algum suporte ou manutenção no sistema.
••Performance da rede: ter um monitoramento para saber se algum dispositivo está consumindo
uma largura de banda alta e deixando a rede lenta é muito interessante, principalmente para ter
um alto desempenho e disponibilidade nas informações.

Controlar protocolo SNMP: o acrônimo da sigla SNMP é Simple Network Management

Protocol, que, em tradução livre, significa “Protocolo Simples de Monitoramento de Rede”. Esse
protocolo é muito importante para quem gerencia uma rede, pois por meio dele é informado tudo
o que acontece com os ativos conectados à rede. Uma impressora pode, por exemplo, acusar falta
de toner: antes mesmo de o usuário pedir para trocá-lo, o administrador da rede pode receber uma
mensagem dizendo que ele está acabando. Dessa forma, consegue-se antecipar um problema.

Gerenciamento de ativos – documentos

Adotar medidas para organizar e fazer a gestão de documentos dentro da empresa significa
melhorar qualquer busca de informações que a empresa produziu e/ou produz. Ao digitalizar
todos os tipos de documentação, além de facilitar a busca por informações, alterações,
compartilhamento e utilização desses documentos, diminui-se também o espaço físico de
armazenamento, como os almoxarifados. Se houver uma infraestrutura para realizar backup e ter
redundância nas informações, o risco de se perder tudo fica minimizado e reduzido a quase zero.
Com a gestão eficiente de documentos, o trabalho dentro de uma empresa se torna mais ágil e,
com isso, se ganha mais tempo na localização e utilização da informação procurada. Isso pode
significar economia em investimentos, melhoria da qualidade de trabalho da equipe e menos perda
da informação.
Resumo Tópicos de segurança da Informação

A gestão de documentos visa o armazenamento de vários tipos de informações, como:

Identificação: registrar e identificar o documento com nomes de fácil associação ao conteúdo a
que se refere.

Armazenamento: armazenar os documentos é uma maneira de garantir agilidade no acesso à

informação. Podemos armazenar um documento por meio de pastas suspensas em armários ou
digitalmente, quando fazemos escaneamento do documento e até microfilmagens.

••Proteção: proteger um documento digital é tão complicado quanto proteger um documento

físico. Manter cópias de segurança é o mínimo que podemos fazer a fim de evitarmos maiores
prejuízos caso aconteça algum incidente.
••Recuperação: para ter acesso a um documento armazenado há alguns meses ou anos, temos
que encontrá-lo o mais rápido possível. Se alguma informação se perder no meio do caminho,
qual o melhor procedimento para a recuperação desse documento? Quem faz o gerenciamento de
documento deve ter a resposta para essa pergunta.
••Retenção: por quanto tempo devemos ter um documento armazenado? Certos órgãos fiscais
estabelecem a guarda e retenção de alguns documentos por pelo menos cinco anos, enquanto
outros exigem a guarda por mais tempo. Identificar e saber por quanto tempo um documento deve
ser retido é responsabilidade de quem está fazendo a gestão dos documentos.
••Disposição: o ato de dispor a informação ou o documento de maneira adequada a quem
realmente deva ter acesso. Se a informação não for mais necessária, nesse caso podemos incinerar,
picotar ou deletar definitivamente o documento.

Direito de acesso e gestão da identidade do usuário

Devemos compreender o direito de acesso e a gestão da identidade do usuário como os passos

iniciais que garantem a rastreabilidade.

Para garantir o acesso e a identidade de quem vai utilizar a informação, existem três modelos
de segurança que podem fornecer e armazenar dados. São eles:
RBAC: Role-Based Access Control. Aqui, as permissões para acessar um sistema estão
fundamentadas em papéis que os usuários podem ou não assumir.
MAC: Mandatory Access Control, em tradução livre, “Controle de Acesso Mandatório”. Esse
modelo está fundamentado em uma administração muito centralizada de segurança, na qual
existem regras para permitir acesso a determinados locais ou pastas, e essas regras são
incontornáveis.
DAC: Discretionary Access Control, em tradução livre, “Controle de Acesso Discricionário”.
Nesse modelo, o proprietário da informação determina quem terá acesso a ela.

Tipos de controle de acesso

Assim como na segurança física e lógica de uma rede de computadores, o controle de acesso
é muito parecido com a parte de segurança física dos computadores. A diferença é que na
segurança física devemos analisar até a força da natureza, fazendo um mapeamento do que pode
Resumo Tópicos de segurança da Informação

ocorrer na região onde estão instalados os dispositivos e os elementos de uma rede. Já no controle
de acesso, devemos pensar, analisar e parametrizar apenas o indivíduo.
Vamos analisar os controles de acesso físico e lógico:
Controle de acesso físico — devemos controlar até onde queremos que um indivíduo chegue
fisicamente dentro da empresa. Um exemplo prático é o acesso à sala de servidores. Nela, somente
o pessoal de TI autorizado pode entrar. Isso pode significar que nem o dono da empresa tenha
acesso à sala sem aviso prévio ou permissão. Percebemos, assim, a importância da segurança da
informação. Quando a PSI for escrita, deverá conter informações de controle de acesso físico e
lógico.
Os funcionários podem ter acesso biométrico em determinados locais; assim, a entrada de
pessoas em áreas que não dizem respeito ao seu trabalho não será permitida. Podemos dividir a
biometria em duas partes:
Biometria fisiológica – esta biometria está relacionada com características do corpo humano:
Reconhecimento da íris;
Reconhecimento facial;
Reconhecimento da retina;
Reconhecimento da arcada dentária;
Impressão digital;

Controle de acesso lógico – quando utilizamos sistemas de informação, temos o controle de

acesso lógico. O ideal é seguirmos o que está escrito na Política de Segurança da Informação,
contudo, como nem todas as empresas possuem uma, alguns administradores fazem o
compartilhamento geral e todos têm acesso a tudo. Isso é péssimo para a área de segurança da
informação e de controle de acesso.
Aula 04 - Aspectos gerais de segurança física

Proteção e monitoramento de perímetro

Temos dois tipos de perímetro relacionado à segurança. Um deles é o perímetro de onde a empresa
está localizada e o outro é o perímetro de segurança da informação relacionada com sistemas de
informação, portanto, temos o perímetro físico e o perímetro lógico.

Perímetro Físico:

Muros e cercas: no Brasil, já temos a cultura de divisão de terreno por meio da colocação de
muros, cercas e arames farpados.

Iluminação ao redor da empresa: ter uma iluminação extra no período noturno nos garante uma
maior visualização do lado de fora, caso alguém faça algum vandalismo com o poste de
iluminação.

Controle de veículos: devemos instalar um sistema com identificação dos carros dos funcionários
e visitantes. Cancela com câmeras. Um controle para o funcionário com o botão pânico.
Resumo Tópicos de segurança da Informação

Segurança em áreas restritas: a maioria das empresas instala os equipamentos de ar-

condicionado, gás encanado, quadro de energia e telefonia e geradores em áreas que qualquer
pessoa pode ter acesso. É fundamental cercar essas áreas, pois elas são primordiais ao
funcionamento da empresa

Entrada e passagem de pessoas: identificação por um documento com foto, digital e a própria
foto da pessoa feita por uma câmera de computador ligada a um banco de dados .

Detector de movimento:
Caso alguém passe em frente à empresa após as 18 horas, uma forte luz irá acender, iluminando
a calçada

Câmera de monitoramento: as câmeras podem nos auxiliar dentro e fora da empresa. Podemos
instalar um circuito interno de TV, com sistemas de gravação de imagens.

Câmera IP: internamente, podemos ainda instalar câmeras IPs. Nesse caso, com a devida
proteção, temos acesso visual interno à empresa, de qualquer lugar do mundo com conexão à
Internet;

Biometria para acesso restrito à sala de servidores: o acesso às informações vitais de uma
empresa só deve ser permitido a quem realmente necessita.
Ter um controle de acesso por meio de biometria ou portas com cartão e senhas é um bom começo.

Perímetro logico:

Planejar a segurança do perímetro lógico é uma tarefa que deve ser realizada por especialistas em
segurança. Como a informação é o maior bem da empresa, deve ser protegida de qualquer
maneira.

Perímetro de rede é considerado a área da informação que conecta a Internet com os computadores
da empresa.
Devemos elaborar a segurança do perímetro de nossa rede. Essa rede pode ser doméstica ou,
principalmente, empresarial
Temos diversas maneiras de proteger o perímetro de uma rede empresarial; uma delas é a
configuração de uma DMZ (sigla para Demilitarized Zone, ou, em tradução livre, “Zona
Desmilitarizada”). É uma área que está entre os computadores da empresa e o acesso à Internet.

Dependendo do investimento da empresa, podemos melhorar bastante o layout de segurança

dentro do perímetro lógico empresarial. Podemos instalar um firewall em cada ponta e um bastion
host, ou, em tradução livre, “computador bastião”. Na gíria brasileira, podemos especificá-lo
como “boi de piranha”, expressão utilizada quando algo ou alguém se sacrifica por um bem maior.
Para melhorar ainda mais a proteção, podemos separar os departamentos com virtual local area
network (VLAN), ou, em tradução livre, “rede de área local virtual”. Com as VLANs, somente
com os roteadores e switches configurados os computadores conseguem se comunicar.

Recomendações sobre projeto de segurança física (CPTED)

CPTED é a sigla em inglês para Crime Prevention Through Environmental Design, ou, em
português, “Prevenção de Crimes Através do Design Ambiental”. A ideia do CPTED é melhorar
e manipular o ambiente físico a favor de produzir um espaço em que as incidências de crimes
sejam desfavoráveis, o que acaba por melhorar a qualidade de vida dos funcionários.
Alguns elementos-chave para a implantação do CPTED especificam que o ambiente físico pode:
Resumo Tópicos de segurança da Informação

Prevenir infrações e pequenos delitos, criando obstáculos e barreiras para dificultar o êxito de um
crime;

Impedir que infratores consigam fugir rapidamente ou se esconder em locais propícios para esse
fim;

Mudar o comportamento dos moradores ao redor do ambiente físico, propiciando ficarem atentos
a qualquer movimentação estranha;

Estruturar os vizinhos com mecanismos de vigilância e controle social para minimizar a

incidência de crimes.

Existem quatro princípios básicos que são utilizados para reduzir a chance de haver um crime
ou um pequeno delito e inibir uma oportunidade de que algo ruim aconteça no ambiente:
Vigilância: proporcionar espaços onde pessoas possam interagir e se ver. Para isso, além de
estratégias como câmeras de vigilância, podemos também podar árvores e melhorar a
iluminação do ambiente. O local deve proporcionar um ambiente agradável e sem locais para
algum criminoso se esconder.

Controle de acesso: para criar caminhos por meio da paisagem, coloque vasos de planta grandes
que formem um caminho atraente para os visitantes. Ao mesmo tempo, controle o acesso interno
com barreiras físicas, como catracas.
Reforço territorial: é sempre recomendado manter um ambiente agradável que estimule a
constante movimentação de pessoas. Locais públicos limpos e com vista para todos os cantos são
menos convidativos a assaltos e criminalidade.
Gestão do espaço: além do reforço territorial, a gestão do espaço com atitudes que deixam o
local agradável ajuda muito a circulação de pessoas com boas intenções. Limpeza local,
tratamento de pichações, consertos de calçadas, estacionamento e bons locais para as pessoas
passearem contam para a boa gestão do espaço.

Segurança física para mídias de armazenamento

A segurança física da maioria das mídias se resume em não deixar cair, roubar, molhar e deletar
o conteúdo que está nela. Uma maneira inteligente de bloquear as mídias de entrarem nos
computadores da empresa é seguir algumas regras e inseri-las na Política de Segurança da
Informação.
Podemos criar polices, que são regras para acessar recursos do computador que podem ser
configuradas por departamentos dentro da empresa. Como exemplo, vamos citar o setor de
atendimento: podemos bloquear a utilização do drive de CD/DVD para que os atendentes não se
distraiam assistindo a um filme ou ouvindo uma música.

Segurança lógica para mídias de armazenamento

Bloquear a utilização dessas mídias é inutilizar o acesso às saídas USB dos computadores da
empresa. Isso pode ser feito por meio de uma política de segurança.

Uma das melhores opções para armazenar informações confidenciais em uma mídia externa ou
um notebook é a criptografia. Existem programas que criptografam o HD inteiro e opções
gratuitas ou pagas. Algumas versões pagas conseguem criptografar pastas e arquivos separados
com chaves desde 40 a 128 bits

Descartar HD ou alguma mídia com segurança e da forma apropriada. (Pagina 15 aula 04)
Resumo Tópicos de segurança da Informação

Aula 05 - Proteções e controles relacionados à privacidade

Configurações e hardening de sistemas operacionais

A maioria das empresas trabalha com redes de computadores e armazena todas as suas
informações em servidores, storages e NAS. A comunicação sempre é feita por um sistema
operacional atrelado a protocolos, cabeamentos e dispositivos de redes, por isso é muito impor-
tante conhecer a técnica de hardening, utilizada para deixar um sistema operacional mais seguro.

Ao utilizarmos as técnicas de hardening, espera-se:

Melhorar o fluxo de informações que trafegam pela rede e ter um maior domínio sobre os sistemas
operacionais dos computadores;
Implementar mais um nível de segurança nos sistemas operacionais, com a finalidade de
minimizar ataques e invasões;
Melhorar e ocultar vulnerabilidades dos sistemas operacionais, diminuindo os riscos e evitando a
coleta de informações por hackers e crackers.

Hardening comum em sistemas operacionais – Linux e Windows

O hardening pode ser iniciado antes mesmo de o sistema operacional estar instalado no HD de
um computador. Uma das primeiras providências a serem tomadas é a partição do disco onde será
instalado o SO. Dependendo do tamanho do HD, podemos separar 40% do espaço para a partição
(onde será instalado o SO) e os outros 60% para os softwares da organização, pastas e arquivos
dos usuários.

Hardening em sistemas operacionais Linux

No Linux existem dois níveis de acesso com três tipos de permissão cada:
Acessos: dono, grupo e outros.

Permissão: execução, escrita e leitura.

O login de acesso mais poderoso no Linux é o root, A senha dessa conta é a primeira que um
invasor tenta descobrir para ter privilégios de administrador. Por isso, o melhor a ser feito é
desabilitar a conta root e criar outro usuário com superpoderes. Deve-se escolher um nome menos
chamativo para habilitar os poderes que antes eram do root.
O comando utilizado para essa operação é o SUDO, acrônimo de Substitute User Do ou Super
User Do, que, em tradução livre, significa “Usuário Substituto Faça” ou “Superusuário Faça”.
Com esse comando no terminal Linux, conseguimos ativar e desativar o root.

Outro recurso importante para implementar no Linux é a cota. Esse recurso permite que o usuário
tenha limitado o espaço utilizado para o armazenamento dos seus arquivos.
Existem vírus que se multiplicam no HD até desestabilizar e derrubar o sistema com todo o espaço
sendo utilizado.

É importante verificar o arquivo “sysctl.conf” e melhorar a sua configuração. Os pontos que

devem ser checados são:
ativar a proteção contra os ataques IP Spoofing, utilizando um filtro;
Resumo Tópicos de segurança da Informação

desabilitar os pacotes que são roteados na fonte;

ignorar mensagens enviadas através do protocolo ICMP de broadcast;

registrar todos os pacotes que são recebidos na rede, principalmente pacotes vindos da Internet.

O Linux possui algumas ferramentas que devemos utilizar para configurar e checar o SO.
Alguns comandos que podem ajudar no hardening para o Linux são:
Netstat: esse comando apresenta informações sobre os serviços de redes.

Fuser: o pacote psmisc permite a utilização do comando fuser, que verifica cada processo ou
serviço que esteja rodando em cada porta do protocolo.

Lsof: apresenta muitas informações do sistema, como os usuários que estão conectados, arquivos,
processos e conexões.

O Linux possui alguns serviços que não devem ser instalados, mas que podem ser instalados,
desde que com uma restrição na utilização de cada um deles.

Os serviços que devem receber uma atenção especial são:

rsh (remote shell): esse serviço habilita a conexão remota com outro computador Linux;

rlogin (remote login): a utilização desse serviço permite realizar o login em outro computador
remotamente;

rwho (remote who): esse serviço permite saber qual o usuário que está logado na rede;

telnet (protocolo de comunicação): esse protocolo permite acessar outro computador

remotamente;

ftp (file transfer protocol): esse protocolo permite a cópia de arquivos e deve ser desabilitado;
identd (identidade): esse comando permite a identificação de um usuário que está conectado à
rede.

Um hacker pode tentar acessar remotamente um computador com o sistema operacional Linux e
utilizar os serviços e programas para controlar, invadir e roubar informações de uma rede.

Hardening em sistemas operacionais Windows

A primeira etapa a se fazer para proteger um sistema Windows na máquina do usuário é realizar
a atualização de correção de erros encontrados. Essa opção é nativa de todos os sistemas
operacionais Windows.
Essa tarefa é rápida e simples de se realizar em pequenas redes, de uma até cinco máquinas.
Para redes maiores, o Windows Server possui um recurso que se chama WSUS. Permite ao
administrador do sistema configurar para que todos os computadores se atualizem quando a rede
não estiver sendo utilizada, como nos finais de semana ou de madrugada.
A preocupação com a atualização de correção não deve se dar apenas nos sistemas operacionais;
outros programas e plug-ins devem ser atualizados também.

Alguns protocolos devem ser desativados no painel de controle e registro do Windows, tais
como:
IPv6: caso a rede em que o protocolo esteja instalado não utilize roteadores, switches e o próprio
protocolo configurado, o melhor é desabilitá-lo.
Resumo Tópicos de segurança da Informação

IGMP (Internet Group Management Protocol): serve para o multicast em uma rede; deve ser
desabilitado.
Porta 1900 UPnP: a porta 1900 Universal Plug N’ Play, ou, como o próprio nome diz, plug n’
play universal, conecta dispositivos automáticos em uma rede e envia mensagens para todos os
equipamentos. Alguns ataques DDoS (Distributed Denial of Service, ou, em tradução livre,
“Negação de Serviço Distribuído”) utilizam essa porta para indisponibilizar o sistema.

É recomendado que se utilize um sniffer para verificar quais portas estão abertas; além disso, a
configuração de um firewall deve ser feita do zero.
Criptografia de disco

No Windows 10, temos um recurso chamado BitLocker que poucos usuários utilizam. Ele está
presente na família Windows da Microsoft desde a versão do Windows Vista e, agora, mais
aprimorado.
Com o BitLocker instalado, você consegue configurar uma opção de acessar o sistema
operacional após digitar um PIN, como se fosse uma senha de cartão de crédito com chip, ou com
a utilização de um pen drive que contenha uma das chaves de criptografia. Após digitar esse PIN
ou inserir esse pen drive, o usuário consegue acessar todas as informações que estão no HD. Isso
evitará que, caso o computador seja roubado, o bandido acesse as informações que estão no HD.
Após a configuração correta do BitLocker, todo volume do HD será criptografado, incluindo os
arquivos do usuário e do sistema. A proteção das informações inclui também os softwares
proprietários, dessa maneira, o assaltante não conseguirá saber nem o que estava instalado no HD.
Mesmo que o HD seja removido desse computador e instalado como um segundo HD, ele não
terá acesso ao conteúdo do mesmo jeito.

No Linux existem alguns utilitários e pacotes que fazem a mesma função que o BitLocker
mostrado anteriormente. O comando para habilitar a criptografia no Linux é o seguinte:
sudo apt-get install ecryptfs-utils: após digitar esse comando em um terminal do Linux, devemos
instalar a criptografia no HD.
ecryptfs-setup-private: esse comando executa uma rotina que irá criar uma partição totalmente
protegida e privada com uma senha que você deverá especificar no momento que instalar

Protocolos de segurança para comunicação de dados

Alguns administradores de redes ignoram os protocolos AAA (Authentication, Authorization

and Accounting). Cada um deles executa uma função importante na comunicação.
Protocolo de autenticação: esse protocolo verifica a identidade digital do usuário de dentro de
um sistema em uma rede de computadores.
Protocolo de autorização: com a utilização desse protocolo, o usuário dentro de uma rede só
conseguirá acessar os recursos aos quais tem autorização.
Protocolo de auditoria: esse protocolo consegue coletar todas as informações em uma rede sobre
qualquer usuário que utiliza os recursos, além de armazenar horário, tentativas de logon, sistemas
que utilizou e demais informações utilizadas.

Radius (Remote Authentication Dial In User Service): esse protocolo é utilizado em um

servidor que trabalha em conjunto com outros protocolos na rede. Atua na camada de aplicação e
utiliza para transferência o protocolo UDP. Para a autenticação, utiliza as portas 1645 ou 1812, já
Resumo Tópicos de segurança da Informação

para auditoria de rede utiliza as portas 1646 ou 1813. Pode trabalhar tanto no Windows como no
Linux.
Especificamente para o Linux, o protocolo TACACS (Terminal Access Controller Access-
Control System), que utiliza a porta 49 UDP, é utilizado para autenticação, autorização e
auditoria. É também utilizado como um servidor junto com outros protocolos de rede. O TACACS
permite a um servidor que acesse remotamente com outro servidor de autenticação. Com o login
e a senha, é permitido ou negado o acesso às informações do servidor.

Aula 06 - principais ataques virtuais e suas contramedidas

Perfis de atacantes

O perfil atual de um hacker pode ser definido, em sua maioria, como homens com idade entre
12 e 28 anos. Dentre esses hackers existe uma classificação, apresentada a seguir:
Script kiddies: geralmente são adolescentes que cometem pequenos delitos de invasão,
utilizando ferramentas prontas dos verdadeiros hackers.
Cyberpunks: o perfil dos cyberpunks é de um indivíduo com bastante experiência que invade
apenas para provar que o sistema tem vulnerabilidade e depois avisa a empresa do erro para que
seja corrigido.
Insiders: talvez um dos perfis de atacantes mais difíceis de encontrar, pois se trata de pessoas que
trabalham no local do ataque; são funcionários, ex-funcionários ou alguém que de alguma forma
consegue se infiltrar dentro das organizações com o auxílio interno de algum funcionário. É muito
complicado se proteger desse tipo de atacante, pois isso envolve a relação de confiança entre os
profissionais e a empresa

• Coders: são os hackers que fazem as codificações dos programas que podem ser
utilizados tanto para o bem quanto para o mal. O perfil dos coders é fundamentado em
programação avançada e codificação dos códigos em várias linguagens.

• White hat: são conhecidos também como “hackers do bem” ou “hackers éticos”;
utilizam suas habilidades, experiências e descobertas para colaborar com o
desenvolvimento de novas técnicas de segurança. Assim que descobrem alguma
vulnerabilidade, divulgam nas redes para que todos se mobilizem para fechar a brecha de
segurança.

• Full fledged: talvez um dos perfis de atacante que mais destroem pessoas inocentes,
por isso são conhecidos como ciberterroristas. Eles são os invasores que se utilizam de
conhecimentos avançados para invadir sistemas e roubar informações das organizações.
Geralmente, tentam vender as informações, faltam a ética e alguns fazem parte de
organizações criminosas.

Perfis falsos ou de araques

Os atacantes criam perfis falsos ou de araque para fazer suas outros usuários.
Passar-se por outra pessoa é crime de falsidade ideológica e consta no artigo 299 do Código
Penal Brasileiro, com pena de um a cinco anos de reclusão.
Na Internet, passar-se por outra pessoa é ser conhecido como “fake” e ocasiona a quem criou o
perfil a mesma pena e crime do artigo 299, mesmo que não exista prejuízo para quem teve os
dados utilizados.

Principais ataques e contramedidas

Resumo Tópicos de segurança da Informação

Um problema muito sério na era da informação e comunicação é como se proteger dos criminosos
da Internet que tentam conseguir os dados das pessoas para serem utilizados de forma ilícita e
maliciosa.
Existem várias categorias de software que podem roubar dados e informações confidenciais de
pessoas e empresas. O mais popular entre eles é o vírus, ou o vírus de computador, mas existem
outros que realizam as mesmas funções ou ainda com técnicas mais sofisticadas

Malware
Infecta uma rede de computadores, computadores
pessoais e servidores, causando instabilidade e abrindo
brechas para que hackers consigam ter acesso às
informações pessoais ou da empresa.

Antivírus atualizado e firewall.

Bomba lógica
É um trecho de um código de um sistema que realiza
uma função maliciosa para atender alguma situação
específica.

Antivírus atualizado, firewall

E sistemas operacionais
Atualizados.

Botnet/
Storm Worm
É muito difícil de ser detectado e analisado, pois se
reconfigura rapidamente e pode ser transmitido por
meio de links que apontam para endereços “IP” de sites
infectados.

Antivírus e sistemas
Operacionais atualizados,
Softwares proprietários com
Atualização de patches de
Correções de vulnerabilidades,
Firewall e monitoramento de
Portas.

Hoax
Mensagem que atua como um boato, tentando convencer
o usuário de sua veracidade e persuadi-lo no repasse para
outras pessoas (por exemplo, correntes).

Filtro de e-mail e firewall.

Phishing
É uma forma de fraude eletrônica, caracterizada por
tentativas de adquirir informações sigilosas, tais como
senhas e números de cartão de crédito, ao se fazer passar
como uma pessoa confiável ou uma empresa enviando
uma comunicação eletrônica oficial.

Cuidado ao abrir e-mails e

Resumo Tópicos de segurança da Informação

jamais clicar em links que

estão na mensagem

Rootkit
É o nome dado ao conjunto de ferramentas utilizado
por um hacker após obter acesso remoto, tornando o
computador instável.

Antivírus e firewall.

Spam
É uma mensagem eletrônica não solicitada enviada em
massa, que pode trazer junto um vírus ou worm.
Ela também pode trazer links de acesso.

Antispam.

Spyware
Consiste em um programa automático para computador,
que recolhe informações sobre o usuário e seus
costumes na Internet, transmitindo essa informação para
outra pessoa (hacker).

Antispyware.

CVE

O CVE (Common Vulnerabilities and Exposures), ou, em tradução livre, “Exposições e

Vulnerabilidade Comuns”, é uma lista ou dicionário alimentado por grandes empresas do
mercado de tecnologia que fornece nomes comuns para as vulnerabilidades e exposições de
produtos e tecnologias relacionados à segurança da informação.

Vulnerabilidade: é um erro de software que pode ser usado diretamente por um hacker para obter
acesso a um sistema ou rede.

Exposição: é um problema de configuração do sistema ou um erro no software que permite o

acesso a informações ou recursos que podem ser usados por um hacker como um trampolim para
um sistema ou rede e para a violação de uma política de segurança.
O propósito do CVE é elaborar um dicionário e criar um padrão comum para as
vulnerabilidades e exposições encontradas. O seu papel é:
Elaborar um nome para uma vulnerabilidade ou exposição encontrada;
Descrever de maneira padrão cada vulnerabilidade ou exposição;
Criar um dicionário em vez de inserir informações dentro de um banco de dados para futura
pesquisa;
Padronizar as descrições de todas as vulnerabilidades e exposições encontradas;
Fazer a interoperabilidade entre as vulnerabilidades e exposições encontradas;
Criar uma base para a avaliação entre as ferramentas e bases de dados;
Resumo Tópicos de segurança da Informação

Permitir a qualquer pessoa ou empresa efetuar o download gratuito da lista de vulnerabilidades e

exposições.

Política de uso aceitável de recursos corporativos

O uso aceitável de recursos corporativos deve ser um dos itens da política de segurança da
empresa

O consumo de banda de Internet pelas empresas é cada vez mais alto. Isso impacta em um
custo maior da empresa para contratar um link com mais velocidade, por isso, capacitar e educar
os funcionários para uma boa utilização dos recursos de acesso e utilização da Internet é muito
importante para que não haja desperdício de recursos.
Outro recurso corporativo que os funcionários muitas vezes não utilizam com racionalização é o
e-mail. Na política de segurança, deve haver um tema bem específico para a utilização do e-mail
da empresa. Bloquear servidores como Hotmail, UOL, Terra, entre outros que oferecem recursos
de e-mail, é uma das medidas para que vírus não tenham acesso à rede. A mesma medida é válida
para a utilização de mensageiros instantâneos, como Skype e seus similares

Por isso, criar uma política de segurança e implementar as regras para a utilização dos recursos
que a empresa disponibiliza para o trabalho de seus funcionários são ações sempre bem-vindas.

Aula 07 - Ferramentas e testes de segurança

Compliance

Compliance é derivado da palavra em inglês “comply”, cuja tradução significa “obedecer”. No

sentido literal, podemos dizer que é “agir de acordo com regras”. O compliance dentro de uma
empresa significa que ela está em sintonia com as normas ou regras que existem para o seu
negócio.

Com a adoção do compliance, a empresa conseguirá desenvolver papéis fundamentais para o

seu crescimento. Com essa ferramenta, podemos:
Fazer a análise dos riscos operacionais e de informações;
Elaborar e gerenciar os controles internos, utilizando normas e políticas;
Trabalhar com projetos de melhoria contínua e adequá-los às normas técnicas de cada setor
específico;
Fazer a prevenção de fraudes analisando todos os ambientes e setores;
Monitorar e adotar medidas de segurança para a área de TI;
Realizar auditorias em diversos setores da empresa;
Trabalhar com diversos setores da empresa, para elaborar em conjunto manuais de conduta e de
segurança da informação;
Fazer palestras ou workshops para disseminar e implantar a cultura de compliance dentro da
empresa;
Fiscalizar a implantação das normas nos diversos setores da empresa;
Interpretar as leis e fazer a implementação e adequação nos setores da empresa.
Resumo Tópicos de segurança da Informação

Toolkits (ferramentas de teste)

Os toolkits fazem esse trabalho para ajudar os administradores de redes.

Cada ferramenta é utilizada para uma necessidade específica: algumas verificam as portas que
estão abertas no roteador e no computador, outras conseguem detectar os IPs que estão conectados
em portas e acessando informações no computador. Temos ainda ferramentas que monitoram a
rede para verificar qual recurso ou equipamento está utilizando mais largura de banda.
Muitas dessas ferramentas são gratuitas para testar e saber se realmente servem para ajudar a
proteger a rede.

Testes internos e externos (diferentes tipos de auditores de qualidade)

A utilização das ferramentas de testes pode ser realizada de duas formas: interna ou
externamente.
Testes internos: são realizados nos computadores, servidores e demais equipamentos do lado
de dentro da empresa, ou seja, são testados os ambientes internos da organização.
Testes externos: são realizados utilizando a Internet para tentar acessar serviços e recursos da
rede por fora da empresa.

A auditoria da qualidade tem por objetivo adequar, avaliar e verificar se as ações de segurança da
informação que foram implementadas na empresa estão adequadas e em conformidade com o
planejamento e a implantação dos sistemas de proteção

Fornecer confiança aos diretores e donos da empresa em relação aos acontecimentos;

Oferecer confiança aos clientes, fornecedores e terceiros;
Descobrir e verificar problemas que ocorrem na segurança da informação;
Corrigir possíveis falhas no planejamento da segurança da informação;
Melhorar a qualidade de todas as etapas da implementação da segurança da informação.
Na auditoria da qualidade, podemos citar os seguintes tipos de auditores:

Auditoria de adequação: nesse tipo de auditoria é determinado se o planejamento e a

documentação que estão representados pelo manual da qualidade se encontram totalmente
adequados às normas aplicadas para a segurança da informação.
••Auditoria de conformidade ou de implementação: nessa auditoria acontece uma análise da
documentação e da maneira como foi implementada a segurança da informação.
••Auditoria externa: ocorre quando a empresa contrata um auditor de qualidade de fora da
empresa para fazer uma verificação de diversos itens sobre a segurança da informação que foi ou
que será implementada.
••Auditoria interna: ocorre quando a empresa tem o seu próprio auditor interno e realiza todas
as atividades e procedimentos para determinar se o que foi implementado está adequado.

Controle de configurações e gestão de mudanças (GMUD/ITIL)

Resumo Tópicos de segurança da Informação

A sigla GMUD significa Gerência de Mudança, a qual é responsável por planejar e definir
todos os papéis e responsabilidades de cada setor e cada atividade relacionada com mudanças
realizadas no ambiente de trabalho ou na produção da empresa. A GMUD tem como objetivo
garantir que toda e qualquer mudança realizada na organização seja detalhadamente especificada
e planejada antes de sua implementação definitiva, garantindo que a mudança seja completada
com sucesso.
Para que a GMUD tenha sucesso, alguns passos devem ser seguidos:
1. Planejamento: deve ser realizado um planejamento antes de qualquer mudança em qualquer
processo.
2. Avaliação: antes de realizar qualquer mudança, deve ser feita uma avaliação de tudo o que
se deseja mudar.
3. Autorização: antes da implantação, deve ser autorizado pela cúpula da empresa. Com essa
atitude, tem o aval dos executivos da organização.
4. Implantação: com a autorização, avaliação e o planejamento prontos, a etapa a seguir é a
implementação da mudança.
5. Revisão: depois da implantação, tudo o que foi realizado de mudança deve ser revisto e ser
adequado novamente, caso seja necessário.
6. Documentação: tudo deve ser documentado, para que qualquer executivo ou gestor da área
tenha acesso a tudo o que foi realizado.
7. Finalização: depois de tudo pronto, pode-se finalizar o projeto GMUD.
O ITIL é composto por alguns processos e funções, cujo foco é ajudar a área de TI com os
negócios da empresa. Tem como objetivo desenvolver o trabalho com mais qualidade e
agilidade e garantir o melhor preço do produto final. Empresas de qualquer porte podem
implementar o ITIL, pois ele está alinhado a uma biblioteca de boas práticas. O ITIL está
agrupado em cinco volumes, cada um deles representando uma boa prática:
I. Estratégia de serviço
II. Desenho de serviço
III. Transição de serviço
IV. Operação de serviço
V. Melhoria contínua do serviço

Todos esses volumes são compostos de mais 26 processos e 4 funções.

Testes White-Box, Gray-Box e Black-Box

Não devemos confundir teste de invasão com teste de vulnerabilidade. São funções totalmente
distintas. Enquanto um teste de vulnerabilidade verifica o que pode ter de errado na configuração
da rede e dos sistemas que estão nela, o teste de invasão é uma tarefa mais invasiva, em que o
objetivo é quebrar todas as barreiras de segurança que estão implementadas dentro da empresa.
Existem três tipos de testes de invasão:
White-Box: nesse tipo de invasão traduzida como Caixa Branca, o administrador da rede deve
passar todas as informações ao consultor ou especialista. Dados como topologia de rede, estrutura
física, marcas dos equipamentos e vulnerabilidades que não foram corrigidas devem ser
informados para facilitar o teste e tornar a busca por possíveis riscos mais objetiva.
Resumo Tópicos de segurança da Informação

••Gray-Box: conhecido também como Caixa Cinza ou Caixa Cinzenta, esse teste é mais leve e
serve apenas para verificar se os usuários conseguem acessos a outras pastas ou serviços de
servidores que não poderiam ter. O consultor, com um usuário e senha, realiza os testes se
passando por um funcionário que não tem permissão a determinados locais lógicos dentro da rede.
••Black-Box: traduzida como Caixa Preta, nesse tipo de invasão o consultor ou especialista que
foi contratado para invadir não deve ter nenhum conhecimento sobre a arquitetura ou os
dispositivos de rede. Para esse teste, o administrador da rede apenas informa o nome do servidor
e deixa o consultor em um ponto de rede. A partir desse momento, inicia todos os testes para
invadir um servidor específico. Esse tipo de teste de invasão pode demorar um bom tempo, por
falta de conhecimento de toda a infraestrutura de rede.

Produção de relatórios e evidências de auditoria

Um bom relatório de auditoria deve ter alguns tópicos obrigatórios:

Introdução: deverá ser abordada a introdução do relatório de auditoria; deve ser realizada durante
o processo de auditoria ou no final.
Objetivo: motivo pelo qual foi realizado o relatório de auditoria.
Considerações: nesse tópico, podem ser apresentadas algumas informações, como testes de
vulnerabilidades que foram realizados anteriormente e outras informações necessárias.
Metodologia: quais as ferramentas utilizadas para a realização do relatório de auditoria.
Resumo: pode ser apresentado um resumo com o conteúdo e as estatísticas do relatório.

Auditoria: nesse tópico, devem ser considerados os diversos setores da empresa, o que foi
auditado, o que foi encontrado de conformidade e inconformidade, além de estatísticas, evidências
de erros, vulnerabilidades ou qualquer fato que se concretize em problema para o planejamento
da segurança da informação. Aqui está a essência do relatório de auditoria, o qual deve conter
todas as informações com as evidências e o que deve ser feito para corrigir os problemas.

Todas as informações que forem coletadas jamais devem ser irreais ou manipuladas

Aula 08 - Principais aspectos de segurança jurídica para ambientes computacionais

corporativos

Papel do CSO e do CISO

O CSO é um executivo que cuida de toda a segurança da empresa. Essa segurança diz respeito às
partes físicas e lógicas de uma rede de computadores. Envolve também a proteção das
informações digitais e confidenciais da organização.

O CSO geralmente atua como um líder de negócios dentro da empresa e é também responsável
pelo desenvolvimento, implementação e gestão estratégia de programas de segurança corporativa
da organização. Geralmente, tem uma equipe capacitada para lidar com a segurança da
informação. Essa equipe deve estar preparada para:
Desenvolver programas para ajudar na segurança da informação;
Implementar recursos, aplicativos e sistemas de proteção em segurança;
Gerenciar e fazer manutenção em toda a parte física e lógica de uma rede de computadores.
Resumo Tópicos de segurança da Informação

O CISO (No Brasil, ele é considerado um diretor de segurança sênior. ) exerceu o cargo de
diretor de segurança durante bastante tempo e, com a experiência adquirida no cargo anterior,
conseguiu evoluir e chegar a um patamar mais alto. O CISO tem uma responsabilidade maior,
pois deve cobrir todas as áreas envolvidas em segurança da informação de uma empresa.
Suas responsabilidades incluem:
Gerenciar a equipe de resposta a incidentes;
Gerenciar a equipe de emergência;

Recuperar desastres;
Fazer a gestão da continuidade de negócios;
Gerenciar a identidade de acesso;
Cuidar da privacidade da informação da organização inteira;
Fazer a gestão de riscos da informação;
Planejar e gerenciar a segurança da informação, tanto física quanto lógica;
Controlar todas as tecnologias envolvidas dentro da empresa, como mobile, tablet, computadores,
notebooks e demais dispositivos que acessem a rede ou a Internet;
Gerenciar a equipe de investigações de TI, assim como a equipe forense digital;
Adquirir e planejar toda a arquitetura envolvida na segurança da informação.

Esses cargos são bem distintos em alguns países. No Brasil, ainda temos em mente que o CSO
deve fazer tudo relacionado à segurança da informação. Muitas vezes, ele acumula outras funções
até mais técnica do que somente a gestão de segurança. No entanto, tanto o CSO quanto o CISO,
para desenvolver plenamente suas funções, devem estar a par das leis relacionadas aos crimes
cibernéticos e também ao Marco Civil da Internet.

Marco Civil e leis relacionadas

Projeto de Lei Azeredo – 84/1999

No início desse projeto, eram previstos 22 artigos, porém, após discussões, o projeto foi reduzido
para apenas quatro artigos, os quais tipificavam crimes cometidos com a utilização de um
computador.

A aprovação que passou pela Comissão de Ciência e Tecnologia basicamente inseriu no Código
Penal através do Decreto-Lei 2.848/40 e no Código Penal Militar Decreto-Lei 1001/69 as
condutas criminosas que fossem praticadas por usuários que utilizam a Internet, tais como a
utilização de informações de cartões de débito ou de crédito sem a prévia autorização do dono ou
sua utilização de maneira indevida.

Lei Carolina Dieckmann – 12.737/2012

A Lei Carolina Dieckmann (Artigo 154 A) foi acrescida no código penal de 1940 — Decreto-Lei
2.848, de 7 de dezembro de 1940 — com quatro tópicos:

Invasão de dispositivo informático;

Resumo Tópicos de segurança da Informação

Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de

informação de utilidade pública;
Falsificação de documento particular;
Falsificação de cartão.
Podemos destacar os ataques DoS (Denial of Service, ou, em tradução livre, “Negação de
Serviço”), DDoS e seus derivados, que interrompem serviços em servidores e hoje são
considerados crimes informáticos pela Lei 12.737/2012.

Marco Civil da Internet – 12.965/2014

A lei do Marco Civil estabelece vários princípios, além de algumas garantias, direitos e deveres
para a utilização da Internet em nosso país. Está dividida em cinco capítulos, quatro seções e três
subseções, conforme abaixo:
Capítulo I – Disposições preliminares
Capítulo II – Dos direitos e garantias dos usuários
Capítulo III – Da provisão de conexão e de aplicações de Internet Seção I – Da neutralidade de
rede
Seção II – Da proteção aos registros, aos dados pessoais e às comunicações privadas

Subseção I – Da guarda de registros de conexão

Subseção II – Da guarda de registros de acesso a aplicações de Internet na provisão de
conexão
Subseção III – Da guarda de registros de acesso a aplicações de Internet na provisão de
aplicações

◦◦Seção III – Da responsabilidade por danos decorrentes de conteúdo gerado por terceiros
◦◦Seção IV – Da requisição judicial de registros

••Capítulo IV – Da atuação do poder público

••Capítulo V – Disposições finais

Podemos destacar alguns pontos importantes na lei do Marco Civil: o capítulo I é constituído
de seis artigos, nos quais constam informações como: os direitos e os deveres para a utilização da
Internet; a proteção da privacidade; a preservação da estabilidade; a segurança e a funcionalidade
da rede; o direito de acesso à Internet a todos; e a importância da Internet para o desenvolvimento
humano, econômico, social e cultural.
O capítulo II possui dois artigos que abordam os direitos e as garantias dos usuários ao acessarem
a Internet. Um ponto importante, como a qualidade de contratação da conexão à Internet, é
abordado nesse capítulo. Sabemos que alguns provedores de Internet cobram valores exorbitantes
para conexões velozes, porém, no contrato, se reservam no direito de liberar no mínimo 30% do
que foi contratado, portanto, o usuário paga pela conexão que contratou, e não a que está
recebendo. Inviolabilidade da intimidade e da vida privada, sigilo do fluxo de comunicação pela
Internet, não fornecimento de dados para terceiros, garantia do direito à privacidade e à liberdade
de expressão, entre outros direitos dos usuários, também são abordados no capítulo II.

No capítulo III, os 13 artigos, 25 incisos, três seções e mais três subseções abordam,
principalmente, a provisão de conexão e de aplicações da Internet. Alguns pontos importantes
Resumo Tópicos de segurança da Informação

tratados é que a provedora de acesso deve tratar de maneira isonômica quaisquer pacotes de dados
que são transmitidos, e também o arquivamento de informações dos registros de acesso a
aplicações de Internet. Esse ponto é bastante polêmico e só deve ser utilizado caso a provedora
seja acionada judicialmente.
O capítulo IV tem mais cinco artigos que abordam como o poder público deve atuar com os
vários meios de comunicação, permitindo a troca de informações entre entidades como Comitê
Gestor da Internet no Brasil, Distrito Federal, municípios, entre outras instituições.
No último capítulo, temos os quatro últimos artigos, que tratam sobre o controle de acesso de
navegação de crianças e de adolescentes, e a promoção da educação relacionada com a Internet.

Investigações e perícia forense

A perícia forense relacionada com o mundo digital está, portanto, associada aos crimes que são
cometidos por meio de dispositivos informáticos,

A perícia forense é iniciada por meio de uma investigação. A investigação serve para elucidar
os fatos que estão relacionados a algum fato ocorrido que pode ter sido ocasionado por um crime
ou algum ato de conflito de interesse.
Podemos destacar as seguintes fases de uma investigação:
Coletar os dados;
Manter a integridade de tudo o que está sendo investigado;
Identificar todas as evidências;
Documentar as evidências, de preferência na ordem cronológica da investigação;
Examinar todos os dados e informações;
Utilizar ferramentas e softwares;
Entrevistar pessoas que estão relacionadas ao crime.

Após realizar toda a investigação, o perito forense deve elaborar um relatório de tudo o que foi
encontrado, fazer análise de todas as informações que conseguiu capturar, interpretar tudo o que
foi investigado e manter a imparcialidade em tudo o que foi coletado, examinado e encontrado.