ALICIA ANDRADE DE SALVO CASTRO - 1260921913033

THAIS SELYMES SÉRGIO - 1260921611023

VINICIUS LOPES FREIRE DE ALMEIDA - 1260921913016

Manual sobre Segurança e Auditoria em Sistemas de Informação

Desenvolvimento de manual de Segurança e

Auditoria em Sistemas de Informação projeto
apresentado na disciplina de Fundamentos de
Auditoria lecionada pela Profa. Jacqueline
Augusto de Oliveira do curso de Informática
para Negócios da Faculdade de Tecnologia de
São Bernardo do Campo “Adib Moisés Dib”

São Bernardo do Campo – SP

29 de maio de 2021

SUMÁRIO
1. Segurança em Sistemas de Informação e Redes de Computadores do Manual de

Segurança e Auditoria em Sistemas de Informação..............................................................4

1.1. Introdução à Segurança em Sistemas de Informação e Redes de Computadores...4

1.1.1. Ameaças...................................................................................................................4

1.1.2. Riscos.......................................................................................................................4

1.1.3. Vulnerabilidades.....................................................................................................4

1.2. Exemplos de Problemas de Segurança em Sistemas de Informação.........................5

1.2.1. Falha de segurança WhatsApp..............................................................................5

1.2.2. Falha de segurança LinkedIn................................................................................5

1.3. Falhas em Sistemas de Informação..............................................................................5

1.3.1. SQL Injection..........................................................................................................5

1.3.2. Cross-Site Scripting................................................................................................5

1.4. Como Se Proteger..........................................................................................................5

1.5. Terminologia de Segurança..........................................................................................6

1.5.1. Hackers....................................................................................................................6

1.5.2. Crackers..................................................................................................................6

1.5.3. Cyberpunks.............................................................................................................6

1.5.4. Black Hat.................................................................................................................6

1.5.5. Media Whore...........................................................................................................6

1.5.6. Cavalo de Tróia.......................................................................................................7

1.5.7. Vírus.........................................................................................................................7
2. Controles e Política de Segurança do Manual de Segurança e Auditoria em Sistemas

de Informação............................................................................................................................8

2.1. Serviços de Segurança...................................................................................................8

2.2. Controles Gerais de Segurança.....................................................................................8

2.3. Controles de Aplicação de Segurança..........................................................................9

2.4. Política de Segurança...................................................................................................10

2.4.1. Descrição do Sistema............................................................................................10

2.4.2. Requisitos de Segurança......................................................................................11

2.4.3. Plano de Resposta a Incidentes de Segurança....................................................12

3. Gerenciamento de Riscos em Sistemas de Informação do manual.............................13

3.1. Gerenciamento de Riscos em Sistemas de Informação............................................13

3.2. Ataques em Sistemas de Informação e Redes de Computadores............................15

3.3. Mecanismos de Segurança..........................................................................................15

3.4. Prevenção de Riscos.....................................................................................................17

REFERÊNCIAS......................................................................................................................18
1. Segurança em Sistemas de Informação e Redes de Computadores do Manual de
Segurança e Auditoria em Sistemas de Informação
1.1. Introdução à Segurança em Sistemas de Informação e Redes de
Computadores

Pesquisas indicam que o malware e o phishing são os ataques mais frequentes nas
empresas da América Latina. Ataques cibernéticos estão entre as principais preocupações das
companhias, pois as invasões podem acarretar vazamentos de informações privadas. Sem
investir em segurança da informação, a empresa estará vulnerável. Por isso, é importante ter
uma equipe de profissionais preparada para agir contra esses problemas.

1.1.1. Ameaças

Em geral, as ameaças não podem ser controladas. Elas são classificadas como uma
atitude ou evento indesejável que pode remover, destruir ou desabilitar um recurso.
Normalmente, os hackers se aproveitam das falhas de segurança da empresa para explorar
vulnerabilidades específicas.

1.1.2. Riscos

Os riscos, tanto internos quanto externos, podem ser mitigados ou minimizados. Eles
são expressos como eventos que causam impactos na capacidade que a organização tem de
atingir seus objetivos de negócio. É a probabilidade de uma ameaça aproveitar uma
fragilidade ou instabilidade, resultando em uma consequência negativa para a empresa.

1.1.3. Vulnerabilidades

As vulnerabilidades internas podem ser protegidas, pois são falhas ou fraquezas de

procedimento, de implementação ou de controles internos de um sistema. Isso permite que o
invasor diminua a garantia da segurança da informação da estrutura.

Dessa forma, podemos dizer que as vulnerabilidades representam a interseção de três

elementos: uma falha ou suscetibilidade do sistema, o acesso do invasor ao problema e a
habilidade dele em explorar o erro.
 1.2. Exemplos de Problemas de Segurança em Sistemas de Informação

1.2.1. Falha de segurança WhatsApp

Uma falha de segurança no WhatsApp permitia que hackers tivessem acesso ao

conteúdo dos smartphones dos usuários com o uso de GIFs maliciosos. Em relatório feito
na plataforma GitHub, é explicado que a invasão poderia ocorrer quando o GIF era
reproduzido no modo de visualização de galeria no app.

1.2.2. Falha de segurança LinkedIn

Michel Rijnders, um recrutador holandês, descobriu que qualquer usuário premium

pode colocar uma vaga no LinkedIn, e fez alguns testes que inclusive se destacaram nas
redes sociais, como a vaga para CEO da Google (cargo atualmente ocupado por Sundar
Pichai) e fez até uma brincadeira criando uma vaga para CEO do próprio LinkedIn.

1.3. Falhas em Sistemas de Informação

1.3.1. SQL Injection

O SQL Injection é uma falha na codificação de uma aplicação qualquer (seja web ou
local) que possibilita a manipulação de uma consulta SQL. Essa manipulação é chamada
Injeção. É uma técnica de ataque baseada na manipulação do código SQL, que é a linguagem
utilizada para troca de informações entre aplicativos e bancos de dados relacionais.

1.3.2. Cross-Site Scripting

O Cross-Site Scripting é normalmente aplicado em páginas que sejam comuns a todos

os usuários, como por exemplo a página inicial de um site ou até mesmo páginas onde
usuários podem deixar seus depoimentos. Para que o ataque possa ocorrer é necessário um
formulário que permita a interação do atacante, como por exemplo em campos de busca ou
inserção de comentários.

1.4. Como Se Proteger

  Utilize navegadores na última versão estável disponibilizada pelo fabricante;
 Mantenha instalado a última versão do software de proteção de acesso à Internet;
 Mantenha sempre ativas as configurações ou softwares Anti-Phishing.

1.5. Terminologia de Segurança

Façam uma descrição dos seguintes termos de segurança em sistemas de informação:

Hacker, Cracker, Cyberpunks, Coders, Black Hat, Carding, Media Whore, Phreaking, Cavalo
de Tróia, Vírus e Worm.

1.5.1. Hackers

Os hackers utilizam seus conhecimentos para melhorar sistemas e encontrar brechas

de segurança para que elas possam ser corrigidas, sem a intenção de prejudicar terceiros.

1.5.2. Crackers

Eles visam burlar a segurança eletrônica para obter alguma vantagem ou prejudicar
pessoas e empresas. São vistos como cyber-criminosos, já que utilizam seu conhecimento de
forma ilegal.

1.5.3. Cyberpunks

Os Cyberpunks fogem dos padrões impostos pela sociedade, com intenção de obter
novos espaços para expressão. É um gênero da ficção científica notado a partir de seu foco,
baixo custo de vida e alta tecnologia. Eles contrariam os padrões impostos pela sociedade e
por isso são taxados como indivíduos rebeldes e vândalos.

1.5.4. Black Hat

São indivíduos que tentam acessar informações ou atingir objetivos sem a autorização
do site ou da empresa em questão, podendo inclusive cometer crimes.

1.5.5. Media Whore

Uma pessoa que tenta se transferir ou transferir de uma indústria de entretenimento

para outra com base apenas na popularidade anterior e não necessariamente no talento
legítimo.
 1.5.6. Cavalo de Tróia

É qualquer vírus ou malware disfarçado de algum programa que a pessoa deseja

utilizar. Enganando usuários sobre sua verdadeira intenção.

1.5.7. Vírus

É um programa ou código malicioso criado para alterar a forma como um computador

funciona e desenvolvido para se propagar de um computador para outro.
2. Controles e Política de Segurança do Manual de Segurança e Auditoria em Sistemas
de Informação
2.1. Serviços de Segurança

 Confidencialidade: Esse aspecto garante que as informações sejam acessadas

apenas por pessoas autorizadas. É implementada usando mecanismos unitários
ou multifatoriais de segurança, como nomes de usuário, senhas, listas de
controle e criptografia. Também é comum que as informações sejam
categorizadas de acordo com o seu nível de criticidade, ou seja, a extensão do
dano que poderia ser causado, caso fossem expostas e em função das medidas
de segurança que precisam ser implementadas conforme essa característica.

 Autenticação: Autenticação é um processo que busca verificar a identidade

digital do usuário de um sistema quando ele requisita um login (acesso) em um
programa ou computador. O processo é realizado por meio de comparação das

credenciais apresentadas pelo usuário com outra já pré-definidas no sistema. 

 Integridade: Esse princípio garante que as informações, tanto em sistemas

subjacentes quanto em bancos de dados, estejam em um formato verdadeiro e
correto para seus propósitos originais.

 Disponibilidade: Esse aspecto garante que as informações e os recursos

estejam disponíveis para aqueles que precisam deles, 24 horas por dia, sete dias
por semana. Essa função é implementada com métodos de manutenção de
hardware, patch de software e otimização de rede.

2.2. Controles Gerais de Segurança

 Controles de Software: Ela é implementada para registrar toda a evolução do
projeto, facilitando o controle do status e andamento das atividades. Também
serve para manter arquivadas as alterações realizadas no código, mas que ainda
são essenciais para o trabalho em equipe na TI.
 Controles de Hardware: A auditoria de controle de hardware visa assegurar que
o hardware seja fisicamente seguro e analisa possíveis defeitos nos
equipamentos que possam comprometer a segurança e disponibilidade das
 informações armazenadas. Os auditores analisam falhas operacionais ou
técnicas, é realizado um estudo de todos os indicadores de uso de hardware.

 Controle de Operações de Computador: O controle de um computador é feito

somente pela CPU, através da unidade de controle que comanda todas as
operações do computador. A unidade de controle é o componente do
processador que direciona e coordena a maioria das operações no computador.
Ela é responsável por interpretar cada uma das instruções geradas por um
programa e, em seguida, inicia as ações apropriadas para executar as
instruções.

 Controles de Segurança de Dados: A segurança de dados nas empresas é tudo o

que envolve a proteção de informações de pessoas físicas e jurídicas, por meio
de mecanismos e ferramentas.
 Controles de Implementação: Planejamento organizacional e todos os métodos
e procedimentos adotados dentro de uma empresa, a fim de salvaguardar seus
ativos, verificar a adequação e o suporte dos dados contábeis, promover a
eficiência operacional e encorajar a aderência às políticas definidas pela
direção, com o objetivo de evitar fraudes, erros, ineficiências e crises nas
empresas.
 Controles Administrativos:  O controle administrativo é o recurso que permite
a você assumir as rédeas do próprio negócio e garantir que as mais diferentes
atividades estejam sempre em conformidade com os seus interesses,
preservando, assim, a fase de planejamento durante o tempo que for necessário.

2.3. Controles de Aplicação de Segurança

 Totais de Controle: Permitem a revisão e confronto das contagens de registros
de saída com totais de controle para garantir que os dados não foram inseridos
ou omitidos indevidamente (ex.: uso de totalizadores, batimento do contábil
com o financeiro etc.).
 Verificação de Edição: Preparo de lista de verificação em paralelo com a
análise crítica da documentação, e escreve-os de forma para verificá-los
durante a auditoria em campo. Por exemplo, se a política de cópias de
segurança requer que as cópias sejam feitas a cada 6 horas, então, anotar isto
 em sua lista de verificação, para lembrar-se de verificar se isto está realmente
sendo feito.
 Compatibilização Automática: A compatibilização de projetos erve para
verificar o que foi traçado pelos diversos projetistas, a fim de evitar
interferências. Mais do que isso: a compatibilização integra as soluções.
 Cálculos dos Totais de Controle: Deve ser independente de desenvolvimento
de sistemas, programação e operações. Recebe entradas dos usuários, registra-
as, transfere ao centro de processamento monitora o processo de conversão de
dados, recebe mensagens de erros e promove as de revisões, compara totais de
controle, distribui resultado, e certifica que as correções de erros foram feitas
por usuários.
 Listas de Distribuição de Relatórios: A lista é um instrumento elaborado pela
equipe de auditores com base na documentação (normas, planos, métodos e
manuais) pertinente à unidade, setor ou atividade a ser auditada. Deve-se
ressaltar que a lista de verificação tem o papel de uma "ajuda-memória",
portanto não se trata apenas de uma lista de perguntas, mas de tópicos que
facilitarão e orientarão os auditores na formulação de perguntas durante a fase
de execução da auditoria.

2.4. Política de Segurança

2.4.1. Descrição do Sistema

Os sistemas de informação são compostos por subsistemas que recolhem diversas

informações - estas podem ser utilizadas para controlar compras, estoques, finanças,
departamento comercial, entre outros. Entre as informações coletadas pelo sistema estão os
dados financeiros, como receitas e despesas diárias, horários de turnos de trabalho, entrada e
saída de produtos no estoque e qualidade dos produtos que deixam a linha de produção.Como
disponibilizam informações em tempo real para todos os funcionários com acesso ao sistema,
isso torna mais fácil e rápido identificar as necessidades. A área de produção, por exemplo,
consegue identificar quando o estoque está baixo e resolver a questão antes que se torne um
problema.

O sistema de informação se adapta às necessidades da empresa. Como é modular,

permite contratar determinada quantia de módulos, como finanças, estoque e recursos
humanos e, conforme mudam as necessidades, pode incluir novas funcionalidades, como
marketing e e-commerce.

Os sistemas de informação têm grande importância no crescimento das empresas. Com

o uso destas ferramentas, elas conseguem definir estratégias de crescimento sólido, reduzir as
perdas e projetar ações futuras de grande impacto.

2.4.2. Requisitos de Segurança

 Ameaças à Confidencialidade: Há uma quebra de sigilo de uma determinada

informação (ex: a senha de um usuário ou administrador de sistema)
permitindo que sejam expostas informações restritas as quais seriam acessíveis
apenas por um determinado grupo de usuários.
 Ameaças à Integridade: Ameaças cibernéticas contra a integridade dos dados
são uma preocupação crescente. Os ataques cibernéticos que manipulam ou
destroem dados podem prejudicar os sistemas confiáveis sem o conhecimento
do proprietário e têm potencial para danificar infraestruturas críticas.
 Ameaças à Disponibilidade: Falhas tecnológicas, ameaças de criminosos
virtuais, erros no dimensionamento do projeto de tecnologia e falta de
capacitação dos colaboradores são as principais causas de perda de dados, mas
há inúmeras outras variáveis a se considerar, principalmente quando estamos
falando de ambientes em que o acesso à informação é aberto.
 Possíveis Atacantes: Hackers e Malware Malware e ataques direcionados não
são novidade, mas o seu nível de sofisticação melhora a cada ano que passa.
Essas ameaças enganam os usuários para fazer o download ou abrir arquivos
maliciosos, aproveitando-se de ações de rede e vulnerabilidades de softwares
para infectar e se espalhar.; Computação Móvel, as empresas estão
experimentando novas técnicas para aproveitar a popularidade de dispositivos
móveis com o objetivo de atrair e reter clientes. As empresas estão fazendo
promoção de novos aplicativos móveis ou sites móveis - amigáveis. ; Nuvem
muitos grupos empresariais começaram a utilizar os serviços de nuvem e
aplicativos web para trabalhar com essa tecnologia, sem antes mesmo
conversar com o pessoal da TI; Erros, muitas violações de dados foram
resultado de invasores que descobriram senhas, que eram fracas ou senhas
padrão que nunca tinham sido alteradas; Ameaças Internas, as organizações
 precisam considerar esse dado de ameaças internas entre uma das mais
importantes, pois isso pode ocorrer, por exemplo, quando um empregado está
descontente com a organização e pode sim expor informações ao público ou
levar informações ao concorrente.

2.4.3. Plano de Resposta a Incidentes de Segurança

 Planejamento de Resposta à Incidentes: Incidente de segurança é uma violação

da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda,
a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais
transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
 Pontos de Contato: Preparação, nesse momento, deve ser abordado a
comunicação externa e interna, bem como realizar a documentação dos
incidentes; Identificação, monitoramento e dar as respostas certas aos
incidentes de segurança; Contenção, esse é o momento de se preocupar em
conter a ciberameaça; Erradicação, a empresa define o que deve ser realizado
para garantir a continuidade de seus negócios. A erradicação visa restaurar
todos os sistemas corporativos que foram afetados pelo incidente; Recuperação,
nesse momento, é preciso definir o que precisa ser feito para restabelecer a
normalidade de todo o sistema. A empresa deve realizar uma varredura para
identificar quais foram as perdas e como recuperar os dados perdidos.
 Resposta à um Incidente: Resposta a Incidentes é o processo que descreve
como uma organização deverá lidar com um incidente de segurança de TI, seja
ele um ataque cibernético, uma violação de dados, a presença de um aplicativo
malicioso (como um vírus), uma violação das políticas e padrões de segurança
da empresa, dentre outros exemplos. O objetivo é minimizar os danos que
poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de
recuperação.
3. Gerenciamento de Riscos em Sistemas de Informação do manual
3.1. Gerenciamento de Riscos em Sistemas de Informação

 Erro humano: Uma boa parte das violações de dados ainda se deve a erros
básicos dos usuários, seja por ignorância, inocência ou negligência. Para evitar
esse tipo de problema, é comum o investimento em treinamentos para propagar
boas práticas. Ainda, uma outra maneira de reduzir as incidências de erro
humano pode-se realizar testes de segurança. Esses testes também podem
ajudar, revelando aos usuários suas próprias vulnerabilidades e permitindo que
as empresas identifiquem alvos fáceis e contas privilegiadas que precisam ser
monitoradas constantemente. 

 Falha de hardware: Duas falhas significativas relacionadas à hardware são

conhecidas como Meltdown e Spectre. A primeira, permite que hackers
contornem a barreira de hardware entre aplicativos executados pelos usuários e
a memória principal do computador. O colapso, portanto, requer uma mudança
na forma como o sistema operacional lida com a memória para corrigir, o que
estimativas de velocidade iniciais podem afetar a velocidade da máquina em
certas tarefas em até 30%. Já a Spectre afeta a maioria dos processadores
modernos feitos por uma variedade de fabricantes, incluindo Intel, AMD e
aqueles projetados pela ARM, e potencialmente permite que os hackers
enganem os aplicativos livres de erros para que eles forneçam informações
secretas.

 Falha de software: Listadas pela SANS como uma das falhas frequentes, as
falhas de autorização são erros críticos que permitem o acesso e intervenção de
usuários não autorizados a dados e funcionalidades restritas. É o caso de
empresas que possuem um sistema com especificações de acesso por grupo de
funcionários, sendo que cada grupo possui permissão para acessar
determinados dados. Quando essa autorização é falha e permite que áreas
restritas sejam acessadas por grupos não autorizados, temos um legítimo erro
de autorização. Buffers são áreas destinadas à memória do software ou
aplicação. Geralmente, possuem um limite, e quando ocorre uma tentativa de
armazenamento de dados além dos limites do Buffer, acontece o que
 chamamos de “estouro”, ou Buffer Overflow. O envio proposital de dados em
excesso pode causar esse estouro fazendo com que o software se comporte de
maneira instável e inesperada. Para prevenir esse tipo de falha é preciso
assegurar que o sistema faça as validações adequadas. E, apesar de já existirem
técnicas de prevenção para esse tipo de erro, ele ainda é apontado como
comum e preocupante.

 Espionagem: Sem proteger os dados de forma correta, as empresas podem

sofrer espionagem industrial. Assim, hackers ou concorrentes podem se
apropriar de informações valiosas. Isso inclui rede de fornecedores, projetos,
planejamento, sistemas de vendas, engenharia de linha de produção, entre
outros. Para evitar a espionagem industrial, é essencial investir em estratégias
modernas de segurança da informação. Outra modalidade de espionagem é o
roubo e o sequestro de dados, e usa-se diversos programas maliciosos para a
prática. Entre eles podemos citar os spywares que têm como principal objetivo
monitorar, secretamente, o comportamento do usuário no uso de dispositivos.
As informações coletadas são enviadas para servidores específicos controlados
por hackers.

 Vandalismo: Quando o desenvolvimento de malware começou, a maioria dos

vírus de computador e cavalos de Troia eram criados por alunos habilidosos
que acabam de dominar o uso de uma linguagem de programação podem ter
vontade de testar suas habilidades ou provar como são espertos. Felizmente,
muitos desses criadores de malware na verdade não distribuem seus
programas. Eles preferem enviar o vírus ou worm para uma empresa de
antivírus. Além dos alunos, programadores espertos capazes de inventar novos
métodos de infectar computadores, mascarar a infecção e resistir às ações dos
softwares antivírus também podem praticar vandalismo. O objetivo do
programador é pesquisar o potencial da "fauna de computadores". O
programador pode optar por não propagar suas criações, mas sim promover
ideias ativamente pelos numerosos recursos da Internet dedicados à criação de
vírus de computador. Essas ideias e "vírus de pesquisa" podem ser usados por
indivíduos ou criminosos mal-intencionados.
  Engenharia social: este tipo de falha pode acontecer por vaidade pessoal e/ou
profissional pois o ser humano costuma ser mais receptivo a avaliação positiva
e favorável aos seus objetivos, aceitando basicamente argumentos favoráveis a
sua avaliação pessoal ou profissional ligada diretamente ao benefício próprio
ou coletivo de forma demonstrativa. Ou ainda, pode ocorrer através da
persuasão que compreende quase uma arte a capacidade de persuadir pessoas,
onde se busca obter respostas específicas. Isto é possível porque as pessoas
possuem características comportamentais que as tornam vulneráveis a
manipulação.

3.2. Ataques em Sistemas de Informação e Redes de Computadores

Os ataques à segurança da informação e redes de computadores são problemas muito

graves nas empresas. Afinal, a área está envolvida com a proteção de todos os dados
fundamentais de uma organização, como relatórios, informações de clientes, dados fiscais,
planejamentos, entre outros. Para ter um bom desempenho, a segurança precisa se basear em
quatro pilares: disponibilidade, integridade, autenticidade e confidencialidade. Existem
diversos motivos por que um invasor ataca um sistema ou a rede. Entre elas podemos citar
ataques para obtenção de informações estratégicas de uma companhia concorrente, por
exemplo, e obter vantagem; os ataques de negação de serviços que se trata de uma tentativa de
tornar os recursos de um sistema inacessíveis a usuários que necessitem o mesmo. Isso pode
ocorrer através do desligamento de dados sistemas da rede, ou através de um
congestionamento dela, ou de uma saturação em recursos específicos que fazem parte de
algum serviço; e ataques no nível da aplicação. As aplicações web são o principal alvo de
ataques de Agentes Maliciosos (hackers ilegais e crackers), devido à possibilidade de alcance
rápido de altos ganhos, e ao baixo risco de exposição do criminoso. A maior parte das páginas
web são naturalmente vulneráveis devido às tecnologias adotadas em sua concepção, à forma
como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da
integração de outros sistemas, na medida em que são priorizados os aspectos funcionais que
atendem a área de negócios, enquanto os requisitos de segurança ficam em segundo plano.

3.3. Mecanismos de Segurança

 Senha: Uma senha, ou password, serve para autenticar uma conta, ou seja, é
usada no processo de verificação da sua identidade, assegurando que você é
 realmente quem diz ser e que possui o direito de acessar o recurso em questão.
É um dos principais mecanismos de autenticação usados na Internet devido,
principalmente, a simplicidade que possui. Se outra pessoa souber a sua conta
de usuário e tiver acesso à sua senha ela poderá usá-las para se passar por você
na Internet e realizar ações em seu nome. Uma senha boa, bem elaborada, é
aquela que é difícil de serem descoberta (forte) e fácil de ser lembrada. Não
convém que você crie uma senha forte se, quando for usá-la, não conseguir
recordá-la. Também não convém que você crie uma senha fácil de ser
lembrada se ela puder ser facilmente descoberta por um atacante.

 Criptografia: Podemos conceituar a criptografia como um conjunto de

técnicas desenvolvidas com o objetivo de proteger a informação de modo que
apenas algumas pessoas, que possuem uma “chave”, possam obter acesso aos
dados. A criptografia trata da codificação de informação, transformando dados
em códigos que dificultam a leitura por pessoas não autorizadas. Desta maneira
apenas quem envia e quem recebe tem acesso ao que está escrito em uma
determinada mensagem, ou apenas quem tem a “chave” pode realizar a leitura
de um documento. Existem diversas aplicações que podem ser dadas a
criptografia, porém alguns usos são mais comuns. Entre eles podemos citar a
proteção pessoal ou empresarial — a utilização de técnicas de criptografia para
a proteção de computadores pessoais e empresariais e as informações contidas
neles por meio de um controle de acesso.

 Assinatura digital: A assinatura digital nada mais é do que uma ferramenta de

segurança da informação, e ela garante 2 princípios básicos: a autenticidade e a
integridade dos documentos. Isso é realizado em função de um processo
altamente capaz de autenticar a autoria de determinado documento em meio
eletrônico. Também chamada de assinatura eletrônica, ela não pode ser
confundida com o termo “digitalização”, que se refere à transferência de
determinado conteúdo do papel para o meio eletrônico. A assinatura digital
pode ser utilizada para autenticar documentos eletrônicos, como arquivos em
PDF, por exemplo. Com ela é possível garantir a mesma segurança e validade
jurídica de um documento autenticado em cartório a um arquivo eletrônico em
PDF, DOC ou outros formatos
 Firewall: Firewall é um mecanismo de segurança para redes de computadores.
Implementado em hardware e/ou software, atua basicamente como um filtro de
proteção entre duas ou mais redes de forma a controlar o fluxo de dados entre
elas e com isso evitar que acessos nocivos ou não autorizados aconteçam. Uma
vez escolhido o firewall, ele precisa ser instalado: se for um hardware, como
um roteador com firewall embutido, basta ativá-lo; caso contrário (software), a
instalação deve ser feita impreterivelmente no computador que está fisicamente
conectado à outra rede (ou Internet) e que compartilha sua conexão com os
demais computadores da rede interna. Se possível, utilizar ambos.
 3.4. Prevenção de Riscos

É importante tomar alguns cuidados, para se prevenir de ataques virtuais. Existem

diversas maneiras de fazê-lo, afinal, existem também diversas causas de risco em sistemas de
informação.

Investir em programas de conscientização e educação aos usuários é um dos passos

mais importantes da segurança da informação. Afinal, de nada adianta investir em hardwares
e softwares profissionais se os usuários não estão corretamente treinados a utilizá-los.

Uma boa equipe na gestão de TI também é imprescindível para a segurança da

informação. Apenas uma equipe profissional e especializada pode identificar possíveis falhas
nos hardwares e softwares adquiridos pela companhia, e quais são as melhores práticas a
serem adotadas para minimizar os impactos dessas falhas.

A adoção de uma política de compliance também pode ajudar na defesa dos dados e
informações. Afinal, um programa de compliance bem construído aplica treinamento e
desenvolvimento sobre ética organizacional, explicita códigos de ética e conduta, define
níveis de confidencialidade, combatendo então os riscos da engenharia social.

4.
 REFERÊNCIAS

https://itforum.com.br/noticias/brasil-amplia-em-cerca-de-12-investimentos-em-
seguranca-da-informacao/ Acesso em: 18 mai. 2021

https://www.techtem.com.br/seguranca-da-informacao-riscos-vulnerabilidade-e-
ameaca/ Acesso em: 18 mai. 2021

https://www.uol.com.br/tilt/noticias/redacao/2019/10/02/falha-de-seguranca-no-
whatsapp-permitia-invasao-a-smartphones-por-gifs.htm Acesso em: 18 mai. 2021

https://canaltech.com.br/seguranca/falha-no-linkedin-traz-risco-a-seguranca-dos-
usuarios-145141/ Acesso em: 19 mai. 2021

https://computerworld.com.br/seguranca/10-grandes-falhas-da-tecnologia-nos-ultimos-
anos/ Acesso em: 19 mai. 2021

https://www.tecmundo.com.br/tecmundo-explica/113195-sql-injection-saiba-tudo-
ataque-simples-devastador.htm Acesso em: 19 mai. 2021

https://brasilescola.uol.com.br/informatica/cyberpunk.htm Acesso em: 20 mai. 2021

https://br.norton.com/internetsecurity-malware-what-is-a-computer-virus.html Acesso
em: 20 mai. 2021

https://www.techtem.com.br/autenticacao-autorizacao-e-auditoria-em-seguranca-da-
informacao/or Acesso em: 20 mai. 2021
https://gaea.com.br/conheca-5-ferramentas-de-controle-de-versao-de-software Acesso
em: 20 mai. 2021

https://www.trabalhosfeitos.com/ensaios/Auditoria-De-Controle-De-Hardware-
e/171050.html Acesso em: 22 mai. 2021

https://www.integrasul.com.br/blog/2019/07/17/confidencialidade-integridade-e-
disponibilidade-os-3-pilares-da-seguranca-da-informacao/ Acesso em: 22 mai. 2021

https://blogbrasil.comstor.com/bid/385437/as-5-principais-amea-as-ao-sistema-de-
seguran-a-de-uma-empresa Acesso em: 22 mai. 2021

https://blog.nec.com.br/resposta-a-incidentes#:~:text=Resposta%20a Acesso em: 22

mai. 2021
 https://olhardigital.com.br/2020/05/15/noticias/hackers-invadem-sistema-do-exercito-
e-vazam-supostos-exames-de-bolsonaro/ Acesso em: 30 mai. 2021

https://www.portnet.com.br/seguranca-da-informacao-reduza-o-impacto-das-falhas-
humanas/ Acesso em: 30 mai. 2021

https://secureway.com.br/meltdown-e-spectre-as-duas-falhas-de-hardware-que-afetam-
a-seguranca-dos-sistemas.php Acesso em: 30 mai. 2021

https://blog.convisoappsec.com/as-3-falhas-de-seguranca-mais-comuns-nos-softwares/
Acesso em: 30 mai. 2021

https://www.inlearn.com.br/seguranca-da-informacao-principais-ameacas/ Acesso em:

30 mai. 2021

https://www.kaspersky.com.br/resource-center/threats/computer-vandalism Acesso
em: 30 mai. 2021

https://www.ufrgs.br/dequi/wp-content/uploads/2019/07/Engenharia-Social.pdf
Acesso em: 30 mai. 2021

https://www.gta.ufrj.br/grad/10_1/sdi/ataques.html Acesso em: 30 mai. 2021

https://blogdoaftm.com.br/senha-um-dos-elementos-fundamentais-da-seguranca-da-
informacao/ Acesso em: 30 mai. 2021

https://www.strongsecurity.com.br/blog/criptografia-de-dados-importancia-para-
seguranca-da-empresa/ Acesso em: 30 mai. 2021

https://blog.validcertificadora.com.br/assinatura-digital-tudo-o-que-voce-precisa-
saber/ Acesso em: 30 mai. 2021