1

SUMÁRIO

1 INTRODUÇÃO..................................................................................... 5

2 SEGURANÇA DA INFORMAÇÃO ....................................................... 6

2.1 Conceito ........................................................................................ 6

2.1.1 Principais ameaças à segurança da informação ............................ 7

2.2 Política de segurança .................................................................... 8

2.2.1 Implementação de uma boa política de segurança ........................ 8

2.3 Mecanismos de segurança ......................................................... 10

2.3.1 Tipos de vulnerabilidade .............................................................. 11

3 SOFTWARES PARA AUDITORIAS DE REDES ............................... 12

3.1 Softwares e auditoria de redes.................................................... 12

3.1.1 Ferramentas generalistas de auditoria ......................................... 13

3.1.2 Ferramentas especializadas de auditoria ..................................... 14

3.1.3 Ferramentas de utilidade geral de auditoria ................................. 15

3.1.4 Softwares de controle das atividades de funcionários ................. 15

3.1.5 Kerberos....................................................................................... 16

3.2 Auditoria por meio de testes........................................................ 18

3.3 Ferramentas de auditoria em redes ............................................ 20

3.3.1 Kali Linux...................................................................................... 21

3.3.2 WhatWeb ..................................................................................... 22

4 CONCEITOS DE SEGURANÇA LÓGICA FÍSICA ............................. 24

4.1 Elementos de segurança lógica física ......................................... 25

4.2 Mecanismos de detecção de intrusão física................................ 27

4.2.1 Fator humano e engenharia social ............................................... 28

2
 5 TECNOLOGIAS PARA A IMPLEMENTAÇÃO DE SEGURANÇA
LÓGICA FÍSICA .................................................................................................... 31

5.1 Fechaduras de pinos ................................................................... 31

5.2 Cofres ......................................................................................... 34

5.3 Código de barras......................................................................... 35

5.4 Cartões com tarja magnética ...................................................... 35

5.5 Smartcards .................................................................................. 36

5.6 RFID ............................................................................................ 36

5.7 Biometria ..................................................................................... 37

6 PLANO DE CONTINGÊNCIA ............................................................ 38

6.1 Características de planos de contingência para incidentes de

segurança...... .................................................................................................... 39

6.2 Construção de planos de contingência para incidentes de

segurança...... .................................................................................................... 42

6.3 Organização de processos de manutenção para planos de

contingência....................................................................................................... 46

7 IDENTIFICAÇÃO E SOLUÇÃO DE PROBLEMAS REAIS ................ 50

7.1 Os problemas de segurança da informação................................ 50

7.2 O fator humano nos ataques ....................................................... 54

7.3 Os testes de segurança da informação ....................................... 57

8 CRIPTOGRAFIA ASSIMÉTRICA....................................................... 61

8.1 Tipos de criptografia .................................................................... 61

8.2 Algoritmos de criptografia assimétrica ........................................ 63

8.2.1 Vantagens e desvantagens da criptografia assimétrica ............... 66

8.3 Unindo criptografia simétrica e assimétrica ................................. 66

3
 9 PROCESSO DE AUDITORIA DE SEGURANÇA DA
INFORMAÇÃO........ .............................................................................................. 67

9.1 Gestão do Projeto ou do Programa de Auditoria ......................... 68

9.2 Decisão sobre o Propósito da Auditoria ...................................... 69

9.3 Identificação de Objetos e Pontos de Controle ........................... 69

9.4 Definição de Técnicas para Obter Evidências e Procedimentos de

Controle.......... ................................................................................................... 71

9.4.1 Definição de Técnicas .................................................................. 71

9.4.2 Preparação ou Seleção de Procedimentos de Controle e Testes71

9.5 Montagem da Roteirização Detalhada ........................................ 73

9.6 Coleta e Registro de Evidências ................................................. 73

9.6.1 Coleta de evidências .................................................................... 73

9.6.2 Papéis de trabalho ....................................................................... 74

9.6.3 Organização da informação ......................................................... 74

9.7 Verificar, Validar e Avaliar Evidências ......................................... 74

9.8 Produção de Pareceres e outros Entregáveis ............................. 75

9.9 Acompanhamento Pós-Auditoria................................................. 75

10 REFERÊNCIAS BIBLIOGRÁFICAS ............................................... 76

4
1 INTRODUÇÃO

Prezado aluno!

O Grupo Educacional FAVENI, esclarece que o material virtual é

semelhante ao da sala de aula presencial. Em uma sala de aula, é raro – quase
improvável - um aluno se levantar, interromper a exposição, dirigir-se ao professor
e fazer uma pergunta, para que seja esclarecida uma dúvida sobre o tema tratado.
O comum é que esse aluno faça a pergunta em voz alta para todos ouvirem e todos
ouvirão a resposta. No espaço virtual, é a mesma coisa. Não hesite em perguntar,
as perguntas poderão ser direcionadas ao protocolo de atendimento que serão
respondidas em tempo hábil.
Os cursos à distância exigem do aluno tempo e organização. No caso da
nossa disciplina é preciso ter um horário destinado à leitura do texto base e à
execução das avaliações propostas. A vantagem é que poderá reservar o dia da
semana e a hora que lhe convier para isso.
A organização é o quesito indispensável, porque há uma sequência a ser
seguida e prazos definidos para as atividades.
Bons estudos!

5
2 SEGURANÇA DA INFORMAÇÃO

Em um mundo cada vez mais conectado, é necessário manter atenção

constante no que se refere à segurança. É preciso ter alguns cuidados quando se
utiliza aparelhos eletrônicos, como notebook, computador, smartphone, etc
(SAGAH,2020).
Atualmente, embora a tecnologia de proteção e defesa tenha avançado
consideravelmente, todo cuidado é pouco, pois existem pessoas especialistas
somente em ataques e roubos de informações por meio de subterfúgios
tecnológicos (SAGAH,2020).

2.1 Conceito

Quando falamos em segurança da informação em uma empresa, pensamos

que se trata de uma competência exclusiva do setor de tecnologia da informação
(TI). Entretanto, a segurança da informação vai muito além do setor de TI, sendo
formada por todas as ferramentas e acessórios responsáveis por proteger e manter,
de forma segura e sigilosa, toda e qualquer informação (SAGAH,2020).
A segurança da informação possui três grandes pilares:

 Confidencialidade: impedir o acesso a informações sigilosas e

críticas por pessoas não autorizadas.
 Integridade: impedir que os dados possam ser manipulados,
excluídos ou modificados de uma forma não permitida pela política
do fluxo de dados da empresa.
 Disponibilidade: segurar o acesso de forma integra e disponível,
sempre que necessário, para as pessoas autorizadas a visualizar e
acessar os dados desejados.

Os três pontos juntos (Figura 1) fornecem a base para a criação e a

implementação de uma política de segurança da informação. Essa política engloba

6
não somente ataques virtuais, como, vírus, spywares, malwares em geral, como
também usabilidade, acessos, contratos e restrições a informações, tanto virtual
como fisicamente (SAGAH,2020).

Figura 01 - Ilustração dos pilares que sustentam a segurança da

informação.

Fonte: Deb SolutionsTI (2015).

2.1.1 Principais ameaças à segurança da informação

A segurança da informação possui inúmeras ameaças, conforme evoluem

os sistemas de segurança, infelizmente, também evoluem os sistemas de ataques
e ameaças. Confira, a seguir, as principais ameaças à segurança da informação.

 Scan: o intruso ao conseguir acesso à rede por meio de backdoors

(brechas implantadas na estrutura da rede) ou de alguma outra forma
ilícita, efetua uma varredura na rede a procura de serviços e
máquinas vulneráveis para explorar essas falhas e conseguir o
acesso a informações de forma ilegal. A melhor forma de evitar esse
tipo de ataque é manter os dispositivos com firmwares sempre
atualizados e utilizar firewalls e políticas de segurança bem
elaboradas.

7
  Fraude: pode-se considerar fraude ou scan vários tipos de ataques,
o mais comum deles é o PHISHING, em que o criminoso cria um site
falso oriundo de um site verdadeiro e envia um link falso para a vítima
que, ao acessar o link pensando ser o site verdadeiro, insere os
dados reais, permitindo o acesso a informações sigilosas por
pessoas mal-intencionadas. Para evitar esse tipo de ataque é
necessário uma conscientização dos usuários para não abrirem e-
mails e nem links estranhos.
 Worm: worms, ou vírus, são softwares desenvolvidos especialmente
com o intuito de causar algum dano ao computador, smartphone,
tablet, etc. da vítima. São criados para monitoramento, espionagem,
roubo de informações e outras infinitas possibilidades. A melhor
forma de prevenção é utilizar um antivírus atualizado e aplicar
políticas de não acesso a programas estranhos.

2.2 Política de segurança

A política de segurança é um documento com uma série de normas e

procedimentos cujo intuito é nortear como devem ser acessados e manipulados os
dados em uma organização para mantê-los seguros contra ameaças
(SAGAH,2020).
Existe inclusive uma norma internacional, chamada ISO 27001, que é
responsável por estabelecer um modelo padrão de implementação, operação e
análise, chamado de sistema de gestão de segurança da informação (SGSI).

2.2.1 Implementação de uma boa política de segurança

Para montar uma boa política de segurança é preciso seguir quatro passos,
conforme você verá a seguir.

8
  Passo 1 — planejamento: é preciso fazer inicialmente um
levantamento de todos os dados e informações que devem ser
protegidos, envolvendo alguns funcionários para o correto
entendimento de todo o fluxo da informação. É importante também
que a diretoria seja notificada e possa acompanhar o andamento da
política de segurança.

 Passo 2 — elaboração: nessa fase, são elaboradas as normas e as

proibições. São desenvolvidas as normas de acessos à internet,
utilização de softwares, acessos a e-mails e aos mais variados
recursos tecnológicos. Nessa fase também são definidos os tipos de
bloqueios e restrições ao acesso à internet.

 Passo 3 — aprovação: nessa fase o documento é enviado ao

departamento de recursos humanos (RH), para que seja analisado
se as normas desrespeitam algum aspecto legal. É também nessa
fase que os líderes e gestores da empresa analisam o documento
para aprovação.

 Passo 4 — aplicação e treinamento das equipes: após a aprovação

é necessário criar canais de comunicação para a correta aplicação
da política de segurança, por meio de treinamentos práticos e
teóricos. É importante deixar uma cópia da política com cada usuário,
para a conscientização sobre a importância da aplicação das normas
contidas na política de segurança.

A Figura 2 apresenta uma ilustração sobre os princípios da elaboração da

política de segurança.

9
 Figura 02 - Ilustração em forma de pirâmide dos principais itens de
elaboração da política de segurança.

Fonte: Adaptada de Dodt (2011).

2.3 Mecanismos de segurança

Mecanismos de segurança são medidas preventivas utilizadas para evitar

que os dados e as informações sejam acessados de forma indevida por pessoas
não autorizadas. Esses mecanismos funcionam de forma física e lógica. Na forma
física, encontram-se toda a infraestrutura responsável pelo fluxo da informação e a
interação dos usuários com essas informações; já na estrutura lógica encontram-se
as medidas para manter a integridade dos dados, impedindo sua manipulação, a
alteração e a exclusão por acessos indevidos. Você pode ver a seguir alguns
exemplos de mecanismos de segurança (SAGAH,2020).

 Criptografia: a criptografia é o meio de conversão no qual a

informação é transformada em um formato indecifrável, a conversão
para o formato normal ocorre por meio de uma chave, que somente
a ponta que deverá realmente ter acesso as informações possuem.

10
  Assinatura digital: a assinatura digital é um meio pelo qual a
informação é criptografada e continua sendo legível, mas não pode
ser modificada.

 Certificação: trata-se de um mecanismo que autentica um arquivo

como uma espécie de atestado de autenticidade.

2.3.1 Tipos de vulnerabilidade

Existem inúmeros tipos de vulnerabilidades, algumas delas serão listadas a

seguir.

 Vulnerabilidade de hardware: os hardwares, embora de maneira

mais difícil, podem sofrer ataques, pois alguns hardwares podem vir
com falhas de fabricação, tornarem-se obsoleto ou até mesmo
sofrerem com a má conservação, possibilitando, assim, a exploração
de algumas dessas características.

 Vulnerabilidade de comunicação: ocorre quando, por meio de um

meio de comunicação dos dados, o invasor consegue achar uma
brecha e a explora, permitindo o acesso não autorizado a
determinadas informações.

 Vulnerabilidade no armazenamento: é fundamental que no local

em que as informações fiquem armazenadas o acesso e a
manipulação sejam restritos, entretanto, pode existir brechas nessa
segurança, permitindo o roubo e o acesso das informações de
maneira não autorizada

11
  Vulnerabilidades humanas: ninguém está 100% seguro quando
lida com informações em meios tecnológicos, pois falhas humanas
podem ocorrer quando um usuário acessa um link suspeito, abre um
e-mail indevido ou, até mesmo de forma intencional, causa uma
quebra de segurança. Sendo intencional ou não, é preciso estar
atento para evitar falhas humanas.

3 SOFTWARES PARA AUDITORIAS DE REDES

3.1 Softwares e auditoria de redes

Com a industrialização mundial, deu-se origem a inúmeras empresas e,

consequentemente, à utilização de tecnologias conectadas em redes. Hoje,
dificilmente os empreendimentos não empregam tecnologia, como computador,
impressora, servidores, tablets ou qualquer outro dispositivo, que não esteja
interligada (SAGAH,2020).
Grande parte da responsabilidade de estabelecer computadores e redes
seguras recai nos administradores de sistemas e redes, que podem implementar
precauções para minimizar o impacto de eventuais falhas (SAGAH,2020).
Os administradores de redes devem conduzir auditorias regulares para
assegurar o cumprimento dos regulamentos dentro de uma organização. Os
profissionais responsáveis por tais auditorias, os critérios que devem ser
observados e sua frequência são definidos por políticas estabelecidas pela
corporação (SAGAH,2020).
Entre as abordagens para testar a segurança da rede, estão as auditorias
de segurança para testar se a rede está em conformidade com um conjunto de
padrões, que variam desde políticas internas até regulamentos federais obrigatórios
(SAGAH,2020).
Muitas empresas realizam auditorias de rede para minimizar o impacto de
mudanças e garantir que a rede é estável e segura (SAGAH,2020).

12
 Uma auditoria de rede eficiente começa com uma análise da documentação
de rede disponível, já que uma boa documentação agiliza a solução de possíveis
problemas. Outro processo de auditoria está relacionado à inspeção da
infraestrutura física, verificando o inventário e o cumprimento dos padrões de rede,
o que inclui roteadores, switches de localização e armários. Se houver alguma
mudança na infraestrutura, a documentação deve ser atualizada (SAGAH,2020).
A auditoria de rede deve incluir a verificação de configurações de hardware
documentada e a medição do desempenho de rede para garantir que os roteadores
e switches estejam trabalhando em potência máxima. Além disso, existem softwares
ou suítes de softwares que auxiliam na auditoria, na criação do inventário e da
documentação, no monitoramento de rede e nos relatórios das ações em rede
(SAGAH,2020).
Softwares de auditoria são instrumentos de que o auditor dispõe para atingir
as metas que define no planejamento de auditoria, independentemente do tipo de
auditoria praticada. Segundo Imoniana (2008) e Lyra (2008), os softwares de
auditoria podem ser classificados em generalistas, especializados e de utilidade
geral (SAGAH,2020).

3.1.1 Ferramentas generalistas de auditoria

São softwares capazes de processar, simular, analisar amostras, gerar

dados estatísticos, sumarizar, apontar duplicidade e outras funções desejadas pelo
auditor.
Algumas de suas vantagens são:

 pode processar diversos arquivos ao mesmo tempo;

 pode processar vários tipos de arquivos em vários formatos;
 permite a integração sistêmica com vários tipos de softwares e
hardwares;

13
  reduz a dependência do auditor em relação ao especialista de
informática.

Porém, como todo software, também apresenta desvantagens:

 como o processamento das aplicações envolve a gravação de dados

em separado para serem analisados em ambientes distintos, seriam
possíveis poucas aplicações em um ambiente online;
 se o auditor precisar rodar cálculos complexos, o software não
poderá dar esse apoio, pois tal sistema, para dar assistência
generalista a todos os auditores, evita aprofundar as lógicas e
matemáticas muito complexas.

As principais ferramentas generalistas são ACL, IDEA e GALILEO.

3.1.2 Ferramentas especializadas de auditoria

Compreendem softwares desenvolvidos especialmente para executar

certas tarefas em uma circunstância defi nida. O software pode ser desenvolvido
pelo próprio auditor, pelos especialistas da empresa auditada ou por um terceiro
contratado pelo auditor. Sua principal vantagem reside no fato de que atende a
demandas mais específi cas, como crédito imobiliário, leasing, cartão de crédito e
outras funções que exijam tarefas especializadas no segmento de mercado. Outra
vantagem é que o auditor que consegue desenvolver um software especializado em
uma área muito complexa pode utilizá-lo como uma vantagem competitiva. Em
relação às desvantagens, podemos citar o valor de investimento, uma vez que seu
uso será limitado a determinado caso, e não de forma genérica (SAGAH,2020).

14
3.1.3 Ferramentas de utilidade geral de auditoria

Outros softwares, embora não específi cos para a atividade de auditoria,

também vêm sendo utilizados com esse propósito, como as planilhas eletrônicas
(por exemplo, Excel), softwares de gerenciamento de banco de dados (por exemplo,
Access e MySQL), ferramentas de Business Intelligence (por exemplo, Business
Objects), softwares estatísticos, etc. Contudo, por não terem sido desenvolvidos
especifi camente para auditoria, esses softwares são utilizados como “quebra-
galho” na ausência de outros recursos (SAGAH,2020).

3.1.4 Softwares de controle das atividades de funcionários

Há softwares específi cos para auxiliar na auditoria, principalmente no que

diz respeito à segurança da informação. São utilizados para controlar as atividades
dos funcionários e permitem o gerenciamento das redes e comunicações, ajudando
a evitar que a empresa seja lesada por espionagem industrial, pela engenharia
social, a partir do envio de informações estratégicas da empresa. Os principais
serviços oferecidos por esses softwares são:

 rastreamento e registro automático tanto de mudanças de

localização quanto de configuração para dispositivos com alertas de
mudanças, criando um rastro preciso;
 auditoria da máquina de usuários remotos por meio de qualquer
conexão IP;
 banco de dados aberto compatível com ODBC que permite fácil
exportação dos dados de auditoria para outras soluções
complementares;
 criação de regras de notificação no caso de uma alteração do
sistema de um computador com agente, tanto na parte de hardware
quanto de software;

15
  acesso a relatórios que mostram o nível de acesso aos
computadores, como horários de logins e logouts.

Algumas ferramentas que podemos citar são:

 Suíte Trauma Zer0;

 MailDetective;
 Velop Escudo.

3.1.5 Kerberos

Trata-se de um protocolo de autenticação e uma suíte de software que

implementa esse protocolo. Kerberos utiliza criptografi a simétrica para autenticar
clientes para serviços e vice-versa (SAGAH,2020).
Kerberos usa o conceito de tíquete como uma ficha que prova a identidade
de um usuário. Tíquetes são documentos digitais que armazenam chaves de
sessão, geralmente emitidos durante uma sessão de login e, depois, podendo ser
usados em lugar de senhas para quaisquer serviços. Durante a fase de
autenticação, um cliente recebe dois tíquetes:

 um tíquete de concessão de tíquete, que atua como um identificador

global para um usuário e uma chave de sessão;
 um tíquete de serviço, que autentica um usuário para um serviço
particular.

Esses tíquetes incluem carimbos de tempo que indicam um horário de

expiração após o qual se tornam inválidos. Esse horário de expiração pode ser
estabelecido por administradores Kerberos, conforme o serviço.

16
 Para realizar uma autenticação segura, o Kerberos usa uma terceira parte
de confiança conhecida como centro de distribuição de chave, formado por dois
componentes, geralmente integrados em um único servidor:

 de autenticação, que realiza a autenticação do usuário;

 de concessão de tíquete, que concede tíquetes para usuários.

O servidor de autenticação mantém um banco de dados que armazena as

chaves secretas de usuários e serviços. Normalmente, a chave secreta de um
usuário é gerada por um hash unidirecional da senha fornecida pelo usuário. O
Kerberos foi projetado para ser modular e usado com diversos protocolos de
encriptação, sendo o AES o criptossistema-padrão. Além disso, visa a centralizar a
autenticação para uma rede inteira (SAGAH,2020).
O Kerberos se baseia em um protocolo concebido por Needham e
Schroeder, para realizar uma autenticação usando encriptação simétrica, conforme
os exemplos a seguir e a Figura abaixo (SAGAH,2020).

Figura 03 - Autenticação Kerberos.

Fonte: Goodrich e Tamassia (2013).

17
 O protocolo Kerberos foi projetado para ser seguro mesmo quando usado
em uma rede insegura. Como cada transmissão é encriptada usando uma chave
secreta apropriada, um invasor não consegue forjar um tíquete válido para obter
acesso não autorizado a um serviço sem comprometer uma chave de encriptação
ou quebrar o algoritmo de encriptação em uso, que se assume como seguro. Além
disso, foi projetado para proteger contra ataques de repetição, em que um atacante
espiona comunicações Kerberos legítimas e retransmite mensagens de uma parte
autenticada para realizar ações não autorizadas (SAGAH,2020).
Contudo, ao mesmo tempo que fornece forte segurança, tem algumas
fragilidades, como seu único ponto de falha: se o Centro de Distribuição de Chaves
(KDC) fica indisponível, o esquema de autenticação para toda a rede pode parar de
funcionar (SAGAH,2020).

3.2 Auditoria por meio de testes

Para uma auditoria que garanta a segurança dos seus resultados, podemos
realizá-la por meio de testes, como o conhecido teste de penetração (SAGAH,2020).
Um teste de penetração consiste em uma auditoria prática que objetiva
simular um ataque real. Esses testes podem ser intrusivos em uma organização,
envolvendo exploração de vulnerabilidades e negação de serviço acidental a
usuários. É de extrema importância que os auditores (quem realiza a auditoria)
tenham permissão explícita adequada dentro da organização a respeito do trabalho
em questão, além de explicarem aos usuários da rede os tipos de ataques que serão
efetuados e quais de seus efeitos colaterais são considerados aceitáveis à rede.
Sem autorização, qualquer dano causado será responsabilidade dos auditores
(SAGAH,2020).
Em geral, o processo de teste de penetração pode ser dividido em três
grandes fases:

18
  O auditor deve obter o máximo de informação possível a respeito da
topologia da rede-alvo, uma fase conhecida como descoberta da
rede ou enumeração de host. Auditores podem determinar quais
hosts são acessíveis pela internet, usando técnicas como varredura
de ping (emitindo um comando ping para faixas de endereço IP e
registrando as respostas) e pela investigação da informação de
registro de nomes de domínio e resolução DNS. Nessa fase, é ideal
que os auditores determinem quais hosts podem ser alvos
promissores nos estágios de testes posteriores.

 Após a primeira fase, de coleta de informação, a maioria dos

auditores inicia a segunda fase, com foco na análise de
vulnerabilidade de rede. Durante esse estágio, o testador pode
conduzir varreduras de portas para determinar quais hosts
apresentam portas abertas. Técnicas de “impressão digital” podem
ser usadas para determinar quais sistemas operacionais estão sendo
usados e quais aplicações são acessíveis remotamente. Além disso,
o auditor pode iniciar a pesquisa por vulnerabilidades existentes
nessas aplicações — se houver um host vulnerável, o auditor pode
acessá-lo e conduzir ataques adicionais contra a rede.

 A fase final do teste de penetração típico envolve explorar

vulnerabilidades existentes tentando obter acesso a recursos
internos. Em uma intrusão bem-sucedida, os testadores podem fazer
uma coleta de informação adicional para continuar mapeando a
topologia da rede e identificar alvos adicionais. Frequentemente, um
auditor deve alavancar o sistema comprometido para obter acesso
adicional dentro da rede.

Durante o processo do teste de penetração, deve-se manter uma

documentação detalhada, descrevendo qual informação foi descoberta, quais

19
técnicas foram usadas para atacar a rede-alvo e quais as vulnerabilidades ou más
configurações permitiram ao auditor obter acesso a recursos restritos. Ao fim do
teste, o auditor deve fornecer essa informação aos administradores da rede e
sugerir medidas de mitigação que possam defender contra futuras tentativas de
exploração (SAGAH,2020).
Conforme Lento e Guimarães (2012), a partir do trabalho do auditor,
verifica-se se os processos estão sendo executados correta e constantemente.
Além disso, pode-se verificar se têm sido executados de maneira preventiva ou
corretiva, como também se são independentes.
O objetivo principal do teste de penetração, ou teste de intrusão, consiste
em detectar o grau de vulnerabilidade dos sistemas do cliente e avaliar sua
capacidade de detecção diante de ataques externos. Dessa forma, é possível
avaliar o risco enfrentados pelos sistemas conectados à internet e as possibilidades
reais de acessar, interceptar e modificar a informação crítica da empresa
(SAGAH,2020).
Entre os benefícios diretos desse serviço, podemos destacar:

 descobre novas vulnerabilidades como resultado de mudanças na

configuração;
 detecta a falta de atualizações nos sistemas e aplicações;
 previne de configurações incorretas de routers e firewalls (conjuntos
de regras errôneas);
 comprova o nível de proteção perante a política de segurança atual;
 localiza as vulnerabilidades antes que os hackers o façam.

3.3 Ferramentas de auditoria em redes

Algumas ferramentas auxiliam na descoberta das vulnerabilidades em

redes e dos sistemas que as compõem, conforme descrito a seguir.

20
3.3.1 Kali Linux

Segundo Pritchett e Smet (2013), Kali Linux (Figura 4) é uma distribuição

do Linux baseada no Debian cuja fi nalidade consiste em oferecer ferramentas para
a utilização na auditoria e em testes de invasão, coleta de informações, identifi
cação de vulnerabilidade, exploração e escalação de privilégios. Essa distribuição
é usada para fi ns de testes de penetração; além disso, o Kali dispõe de ferramentas
de análise, fornecendo uma avaliação abrangente e completa da estrutura de
tecnologia da informação do ambiente auditado, por meio da qual podem ser
elencados os itens que representam risco à segurança da informação, ponto em
que o auditor deve oferecer alternativas para ajustá-los (SAGAH,2020).

Figura 04 - Tela da distribuição Kali Linux.

Fonte: Speedy (2011, documento on-line).

21
3.3.2 WhatWeb

Trata-se de uma ferramenta que faz análises e retorna quais são as

tecnologias e detalhes da arquitetura da aplicação, endereço IP e dados referentes
ao administrador do site, e-mails, erros de SQL e localização. Infelizmente, sua
análise é superfi cial, embora o Whatweb (Figura 5) ofereça ao auditor uma visão
global do ambiente, que pode servir como base para uma avaliação mais detalhada,
com foco nas tecnologias presentes. O potencial dessa ferramenta está associado
ao fato de que ataques podem estar vinculados a uma tecnologia específi ca ou
mesmo uma versão de um framework em que foi descoberta uma falha de
segurança (SAGAH,2020).

Figura 05 - Tela da ferramenta WhatWeb.

Fonte: Pentest Geek (2018, documento on-line).

22
Constituem outras ferramentas de auditoria de rede:

 PRTG — roda 24 horas por dia em um computador da rede para

registrar seus parâmetros de uso, armazenando tudo para se possa
acompanhar os processos selecionados para monitoramento. É
possível criar relatórios, fazer gráficos e tabelas com as informações
selecionadas e programar a criação automática dos relatórios —
exportando os logs em diferentes formatos. Ele monitora todos
equipamentos da rede, como os roteadores, os servidores, os
switches e até mesmo a temperatura ambiente de datacenter. Outro
ponto-chave consiste em sua possibilidade multiplataforma, pois ele
roda em iOS, Windows Phone, Android e BlackBerry. Além disso, o
PRTG Network Monitor conta com mais de 200 tipos de sensores
que tornam possível acompanhar todos os serviços de rede para
resolver qualquer tipo de gargalo antes que aconteça. Se alguma
coisa falhar, o software possibilita a configuração de alguns meios de
informar sobre eventos inesperados, por exemplo, por SMS ou e-
mail;

 Monit — software gratuito de código aberto para Linux, gerencia os

processos no próprio sistema. Dispõe de uma ferramenta que tem a
capacidade de lidar com circunstâncias inesperadas. Em caso de
problema com o servidor apache, por exemplo, pode
automaticamente reiniciar o processo e informar sobre o que
aconteceu. Além disso, o Monit gerencia características do processo,
como o uso da CPU e checksum de arquivos. Você também pode
usá-lo por uma interface web de maneira prática e fácil;

 Munin — outro software gratuito de código aberto para Linux,

acessado em interface web. Além do monitorar a rede, gerencia o
sistema do computador e de infraestrutura. Ele oferece um primeiro

23
 alerta para os usuários quando há erro nos servidores, aplicativos,
switches e serviços, e uma segunda notificação quando da resolução
do problema. São em torno de 500 plugins para monitoramento e
uma de suas principais funções é a facilidade em definir o que está
diferente quando aparece um problema de desempenho. Isso
permite ter uma maior visibilidade sobre o que mais importa naquele
momento;

 Ganglia — originado na Universidade da Califórnia, compreende um

sistema de monitoramento disponível para Linux e Windows. Foi
desenvolvido para ser executado em ambientes de computação de
alto desempenho, sendo usado em clusters e grids de vários
tamanhos. Também funciona em interface web e é um software
open-source.

4 CONCEITOS DE SEGURANÇA LÓGICA FÍSICA

Neste capítulo você vai estudar, em linhas gerais, os princípios que

norteiam a segurança lógica física, os mecanismos de detecção no ambiente físico
e alguns exemplos de tecnologias empregadas na segurança dessas dimensões.
Como você verá ao longo deste capítulo, em qualquer organização, o ativo mais
importante a ser protegido é a informação. Sem informação não há vida
organizacional, principalmente no mundo digital atual, sobre o qual incidem,
cotidianamente, ataques de hackers para a obtenção de vantagens indevidas
(SAGAH,2020).

24
4.1 Elementos de segurança lógica física

Quando se fala em segurança digital, não é difícil encarar o assunto pela

ótica integralmente virtual, o que faz sentido, já que um computador é acessado por
meio de login e senha e depende de uma estrutura de rede para se comunicar com
um servidor. Todavia, o fim da linha, inevitavelmente, encontrará algum dispositivo
físico para armazenar esses dados, como uma sala composta por servidores,
switches, nobreaks, entre outros equipamentos. Quando se trata de segurança
digital, sobretudo de informações, é fundamental considerar os aspectos físicos e
lógicos (SAGAH,2020).
O primeiro entendimento a ser trazido acerca da segurança tem base em
Goodrich e Tamassia (2013). Para ele, a segurança física pode ser entendida como
o uso de medidas para que a informação ou valores possam ser protegidos, bem
como a proteção de acesso a recursos considerados restritos. Há várias dimensões
possíveis que caracterizam a segurança física. Uma delas é a proteção da
localização. A sala de servidores é um exemplo notório, pois é lá que reside o
hardware. Atrelada a essa dimensão está a detecção de intrusão física, ou seja, o
acesso não autorizado ao local físico onde o hardware se encontra (SAGAH,2020).
Outra dimensão anexada à proteção da localização e à detecção de
intrusão física é a de ataques ao hardware, que são os ataques físicos que podem
ser promovidos aos discos rígidos, placas de memória, adaptadores de rede etc.
Além dessas, uma dimensão que pode ser usada para explorar uma vulnerabilidade
é o ataque físico de interface, por meio do qual o invasor explora uma fragilidade na
interface física e acaba tendo acesso ao sistema (SAGAH,2020).
Outros elementos caracterizam a segurança física, como os acessos físicos
às instalações. Sem mecanismos de segurança de acesso, intrusos podem circular
livremente pela empresa sem que sejam abordados. Nesse sentido, é fundamental
que todos em uma corporação tenham consciência da importância da segurança e
ajam sempre de forma proativa para resguardar os ativos organizacionais
(SAGAH,2020).

25
 Outro elemento que caracteriza a segurança física e que desempenha um
papel primordial no assunto da segurança são os periféricos que podem ser
explorados para roubo de informações. Aqui incluem-se telefones, impressoras e
gaveteiros, os quais precisam ser pensados sob o enfoque da segurança. Armários
que guardam documentos sensíveis ao negócio organizacional, sem a devida
proteção, são um convite aos mal-intencionados (SAGAH,2020).
Talvez o excesso de preocupação possa parecer exagerado, mas um
exemplo interessante quando se fala em segurança pode ser resgatado das ideias
de McCarthy (2014), que afirma que, por ter passado muito tempo nas forças
armadas, vivenciou um universo de planejamentos que é amplamente
desconhecido pela população. Segundo o autor, o fato de se ter um ou muitos
planos prontos não significa necessariamente que eles (ou um em especial) serão
utilizados obrigatoriamente. No entanto, elaborar um plano de respostas para
qualquer incidente significa que, em algum momento, considerou-se, pela
perspectiva do risco, que ele poderia se concretizar (SAGAH,2020).
Outro ponto significativo é que, por mais detalhista que seja o plano, ele
certamente não terá todas as respostas para todas as perguntas. Finalmente, um
ponto muito relevante do plano de segurança é a sua própria elaboração. Por mais
que ele não dê conta de todas as possibilidades de risco, isso não é desculpa para
que não seja elaborado. Aqui é importante termos consciência de que mais
importante do que o planejamento é a execução (SAGAH,2020).
Ao tratar do assunto da segurança, Fontes (2008) enfoca a informação no
ambiente corporativo, defendendo a ideia de que a informação é um recurso
essencial para a organização, independentemente do seu porte e de sua atuação
no mercado. Ela é importante para as decisões diárias da corporação, para a
continuidade dos negócios e, acima de tudo, para a elaboração da estratégia
empresarial. Nesse sentido, é fundamental o entendimento dos três itens listados a
seguir:

26
 1. Confidencialidade da informação (sigilo), ou seja, a garantia de que
os dados são protegidos contra acessos não autorizados, além de
sua privacidade.
2. . Disponibilidade da informação, ou o conceito de que a informação
precisa ser acessível para os que dela precisam. Nesse sentido, é
necessária uma boa política de segurança e de backup dos dados
organizacionais, além de um plano de continuidade.

3. Integridade da informação, ou seja, a informação mantém sua origem

e não pode ser alterada indevidamente.

4.2 Mecanismos de detecção de intrusão física

Segundo Goodrich e Tamassia (2013), sistemas de detecção de intrusão

alertam os proprietários de uma instalação ou um sistema de informação se a
segurança desse recurso foi comprometida. O exemplo mais conhecido de sistema
de detecção de intrusão é o monitoramento por vídeo. Independentemente de ser
um sistema acessado via internet ou via CCTV (closed circuit television ou circuito
fechado de televisão), esse recurso pode monitorar diversos locais ao mesmo
tempo, sendo bastante eficaz para fornecer evidências claras de delitos, pois, além
de filmar, também grava as imagens. É uma opção bastante viável para quando as
consequências diretas de um incidente não são significativas ou para quando se
tem tempo para minimizar o dano esperado (SAGAH,2020).
Em muitas organizações ainda é possível encontrar o sistema de
monitoramento de vídeo sob a supervisão de um operador humano, dependendo
integralmente dele para a identificação de qualquer atividade maliciosa. Todavia,
em sistemas mais avançados, é possível a detecção de movimentos em várias
zonas de câmeras. Alguns sistemas conseguem, mesmo em grandes multidões,
identificar atividades ou padrões incomuns, sendo mais eficazes do que o
componente humano por detectarem, por exemplo, alterações de calor no

27
ambiente. Outros sensores podem fazer uso do ultrassom, emitindo pulsos sonoros
inaudíveis sempre que uma atividade suspeita é confirmada. Há ainda sistemas de
detecção que utilizam alarmes, os quais podem ser sinais de alerta para as equipes
de segurança, podendo, dependendo do protocolo de segurança vigente, ativar
mecanismos de bloqueio para trancar o invasor no local ou para proteger
fisicamente os recursos sob ataque (SAGAH,2020).
Logicamente, qualquer mecanismo de segurança pode falhar. O sistema de
videomonitoramento também não está isento de falhas. Um intruso, se conhecer
bem o funcionamento de tal sistema, pode promover medidas para anular a eficácia
do sistema para ser bem-sucedido na intrusão. O invasor pode, por exemplo, se
manter em uma área fora da cobertura da câmera e até mesmo destruí-la, se for o
caso. Em sistemas que usam sensores infravermelhos de movimento, o invasor
pode usar um material que impeça a dissipação do calor. Já os sistemas que usam
sensores ultrassônicos podem ser anulados com uso de materiais de abafamento
de ruídos (SAGAH,2020).
Como é possível observar, qualquer sistema tem suas fragilidades. Por isso,
uma medida mais segura para tornar a invasão mais difícil é o uso de diversas
tecnologias de segurança combinadas. Contudo, por mais que se utilize dezenas
de combinações de tecnologias de segurança para minimizar os riscos de invasão,
podendo aumentar expressivamente os gastos com esse tipo de sistema em uma
organização, um componente simples pode fazer cair por terra todo o esquema de
segurança: o componente humano (SAGAH,2020).

4.2.1 Fator humano e engenharia social

A ISO/IEC 17799:2005 observa a segurança da informação como um pilar

importante para garantir a continuidade do negócio, potencializar o retorno sobre os
investimentos e ampliar as oportunidades de negócio. Todavia, ainda que a
organização tenha desenvolvido planos detalhados de segurança e tenha investido
pesadamente em tecnologia da informação (TI), o componente humano segue

28
sendo é um fator preponderante, um elo essencial na corrente da segurança
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005).
Os ataques de engenharia social exploram a ingenuidade, ou a confiança,
do usuário para obter informações privilegiadas de acesso a sistemas, dados de
cartão de crédito, login e senha, entre outros dados, para favorecer o intruso em
seu ataque. Os humanos podem ser enganados facilmente em virtude de uma série
de fatores, como falta de treinamento, falta de discernimento, distração e muitos
outros, cujos riscos podem ser minimizados significativamente se a organização
tiver uma política de segurança. Engenheiros sociais têm uma grande capacidade
de persuasão e altíssima facilidade de comunicação, requisitos essenciais para
quem deseja obter informações de forma voluntária, driblando os altos esquemas
tecnológicos de segurança pela exploração do seu componente mais fraco na
cadeia de segurança, que é o fator humano (SAGAH,2020).
Além da segurança lógica e física, a segurança humana não pode, de forma
alguma, ser ignorada. O fator humano é um canal vulnerável e sempre explorado
por engenheiros sociais. Há muitos outros vetores de vulnerabilidade; Peixoto
(2006) destaca, por exemplo, as vulnerabilidades naturais, as de mídia e as de
comunicação. Entretanto, entre as dimensões das vulnerabilidades, o autor destaca
o fator humano como o mais crítico, concordando com a ótica de Goodrich e
Tamassia (2013).
O vetor humano é composto por todos os recursos humanos presentes na
organização, principalmente os colaboradores que têm acesso aos recursos de TI,
independentemente de seu uso (na condição do profissional que mantém a TI
funcionando ou do profissional que utiliza a TI na forma de programas para suas
atividades profissionais). Por isso é fundamental que se entenda o vetor humano
pela perspectiva de risco, como se reage a algum incidente de segurança, ou como
os colaboradores em uma organização são instruídos em segurança da informação.
Se programas de treinamento em segurança são esporádicos ou nunca ocorrem na
empresa, os funcionários certamente serão iscas fáceis aos engenheiros sociais
(SAGAH,2020).

29
 Vazamentos de dados podem acontecer independentemente da ação de
engenheiros sociais, hackers ou espiões industriais. Colaboradores mal instruídos
representam potenciais riscos de vazamento dentro das organizações. Para
endereçar esse assunto, pode ser muito útil um documento que ajuda a minimizar
os usos indevidos dos recursos de TI pelos colaboradores: a norma de utilização de
recursos. Esse documento pode ajudar porque ele conscientiza os funcionários
sobre as boas práticas em suas atividades diárias, por exemplo. Entre essas
práticas destacam-se a não inserção de dados pessoais em mensagens eletrônicas
sem qualquer proteção, ou o envio de anexos de documentos importantes sem
criptografia (SAGAH,2020).
Outro incidente a ser evitado a partir de uma boa prática que está prevista
em uma norma de utilização de recursos é a verificação da lista de destinatários em
mensagens eletrônicas. O recurso de “responder a todos” do e-mail representa um
grande risco, porque a mensagem pode facilmente tomar um rumo ao longo do
tempo na execução do serviço que não justifique mais o uso da mesma lista original
de destinatários. Uma licitação, por exemplo, pode fornecer publicamente dados de
preços e condições de serviço para os concorrentes (SAGAH,2020).
Há ainda outro recurso presente nos programas de correio que deve ser
observado pelo componente humano: o autopreenchimento de e-mails. Se o
remetente não observar com atenção o endereço eletrônico do destinatário, o
vazamento de um segredo de negócio pode ser configurado e a organização ter
sérios problemas para explicar o fato perante o cliente (SAGAH,2020).
Mais um exemplo de incidente causado pelo fator humano que poderá ser
minimizado: a proibição, dentro da norma de utilização de recursos, de instalar
programas não autorizados em notebooks fornecidos pela organização em
esquema de comodato. Normalmente, os prejuízos decorrentes dessa ação são a
instalação de programas maliciosos que podem vir embarcados no aplicativo
instalado, instalação de programas piratas, além de eventuais lentidões causadas
no equipamento após a instalação. Neste caso, o colaborador deve ser
responsabilizado pelo ato (SAGAH,2020).

30
5 TECNOLOGIAS PARA A IMPLEMENTAÇÃO DE SEGURANÇA LÓGICA
FÍSICA

Quando discutimos a segurança da informação, um tema que,

inevitavelmente, orbita o assunto é a forma como a segurança é implementada nos
ambientes físico e digital. Neste tópico serão apresentados alguns exemplos sobre
essas duas dimensões (SAGAH,2020).
Proteger fisicamente um ativo é uma preocupação desde a antiguidade.
Dispositivos mecânicos como portões grandes, pesados e com enormes ferrolhos
eram utilizados para guardar as cidades. As fechaduras continuam a ser utilizadas
até hoje, no entanto, com dispositivos de segurança mais modernos para proteger
locais físicos que guardam mídias digitais e computadores. Veja a seguir alguns
exemplos (SAGAH,2020).

5.1 Fechaduras de pinos

São o tipo de fechadura mais comum, o qual tem um cilindro de fechadura

embutido em uma caixa externa, conforme mostra a Figura 6.

Figura 06 - Fechadura de pinos.

Fonte: Goodrich e Tamassia (2013, p. 55)

31
 Uma fechadura de pinos, quando não está com a chave, representa o
estado (1). As pilhas de pinos são pressionadas pelas molas para o sentido inferior,
evitando que o cilindro da fechadura seja rotacionado. O esquema (2) mostra que
os dentes da chave correta empurram a pilha de pinos, alinhando os cortes das
pilhas de pino com as pilhas de corte, permitindo que o cilindro seja rotacionado e
o cadeado, aberto (3).

 Fechaduras tubulares

São uma variação das fechaduras de pinos e funcionam sob a mesma

premissa. No entanto, a diferença se dá pelo fato de seus pinos serem arranjados
em círculos, em vez de serem alinhados paralelamente ao eixo do cilindro, como
ocorre na fechadura de pino. Suas chaves são de formato cilíndrico. Este tipo de
fechadura é frequentemente encontrado em equipamentos portáteis como
computadores, bicicletas e máquinas de vendas. Acompanhe o esquema mostrado
na Figura 7: a posição (1) representa a fechadura fechada; a posição (2) representa
a fechadura quando a chave correta é inserida; a posição (3) representa a fechadura
aberta.

Figura 7 - Fechadura tubular.

Fonte: Goodrich e Tamassia (2013, p. 56).

32
  Fechaduras de combinação

Este tipo de fechadura é bem conhecido daqueles que viajam bastante de

avião. O dispositivo é aberto quando a sequência correta de números é inserida.
Esta fechadura se caracteriza por ter uma série de discos, que são anexados a um
dial numerado, por isso ela é chamada também de fechadura de dial único
(SAGAH,2020).
Já a fechadura de dial múltiplo, como a exibida na Figura 8, é caracterizada
por uma sequência de discos chanfrados ao redor de um pino dentado. No momento
em que os discos rotacionam para a correta combinação, os entalhes se alinham
com os dentes do pino, permitindo a abertura do dispositivo.

Figura 8 - Fechadura de combinação.

Fonte: Goodrich e Tamassia (2013, p. 57).

 Fechaduras de combinação eletrônica

Neste tipo de fechadura, um mecanismo eletrônico opera a tranca, sendo

ativado por uma série de eventos, como uma sequência de números em um teclado
— veja um exemplo na Figura 9.

33
 Figura 09 - Fechadura de combinação eletrônica.

Fonte: Sompetch Khanakornpratip/Shutterstock.com.

Estabelecimentos que usam este tipo de fechadura são os hotéis, que

fornecem um código quando o hóspede realiza o check-in e, após o check-out e
limpeza do quarto, um novo código é reprogramado para o próximo hóspede. Este
tipo de fechadura aumenta a segurança, pois possibilita registrar quem entrou ou
saiu por tais portas. A facilidade é outra grande vantagem no uso deste tipo de
fechadura (SAGAH,2020).

5.2 Cofres

Valores podem ser protegidos nestes dispositivos, que variam conforme o

tamanho. Eles podem ser encontrados em tamanhos pequenos (como no quarto de
um hotel, por exemplo), até tamanhos maiores, como em bancos. Em sua maioria,
os modelos de alta segurança adotam um dial de combinação com possível
autenticação aditiva de biometria (SAGAH,2020).
Os cofres são classificados por uma entidade mundialmente conhecida: a
Underwriters Laboratories, responsável por certificar produtos de segurança. No

34
caso dos cofres, eles têm suas classificações pautadas quanto ao tempo em que
um especialista necessitaria para abri-lo, considerando abordagens destrutivas e
não destrutivas. Os seus proprietários são alertados para garantir que o tempo
médio de resposta ao alarme do cofre seja bem menor do que o tempo médio
requerido para que um intruso consiga arrombar o dispositivo (SAGAH,2020).
A tecnologia da informação e da comunicação vem, continuamente,
implementando algoritmos de segurança em dispositivos físicos para garantir que
acessos indevidos sejam bloqueados, operações inconsistentes não sejam
efetivadas em nome de terceiros, documentos sigilosos não sejam acessados sem
as devidas permissões etc. A seguir, serão apresentadas algumas dessas
implementações de segurança que versam sobre a autenticação, ou seja, algo que
a pessoa possui (ela prova ser realmente quem afirma ser) (SAGAH,2020).

5.3 Código de barras

Desenvolvidos por volta da metade do século XX para melhorar a eficiência

nos caixas de supermercados, os códigos de barra rapidamente se expandiram para
outras aplicações. Um uso muito frequente de código de barras ocorre no ramo da
aviação, que verificava se o passageiro em processo de embarque é a mesma
pessoa identificada em algum documento pessoal com foto, apresentado ao
pessoal da companhia aérea no portão de embarque. Seu uso também é extenso
na indústria do entretenimento, para evitar que fraudadores possam assistir a shows
ou concertos por meio da apresentação do ingresso (SAGAH,2020).

5.4 Cartões com tarja magnética

Criados no final dos anos 1960, os cartões com tarjas magnéticas têm sido
utilizados em diversas operações financeiras, como débito e crédito, em

35
estabelecimentos comerciais. Os cartões são de baixo custo e são fáceis de ler, por
isso se popularizaram (SAGAH,2020).
Assim como qualquer outro dispositivo, eles também apresentam
vulnerabilidades. Um ladrão pode facilmente clonar um cartão se utilizar um
gravador de tarja magnética para gravar os dados dos cartões que registram as
operações nesse dispositivo. Diversos são os exemplos difundidos na mídia que
relatam esse tipo de crime. Muito embora os cartões de tarja magnética já tenham
sido substituídos por outros cartões mais seguros, eles ainda podem ser usados
para autenticações, como, por exemplo, em empresas, para registrar o ponto de
seus trabalhadores (SAGAH,2020).

5.5 Smartcards

Em virtude da fragilidade dos cartões de tarja magnética, os cartões

inteligentes ou smartcards apresentam um circuito integrado com um
microprocessador embutido, permitindo mecanismos seguros de autenticação e
dificultando sua clonagem. Os cartões inteligentes mais modernos já permitem
operações de débito e crédito sem a necessidade de inclusão em leitores de
cartões, pois utilizam tecnologia de radiofrequência, a qual será descrita a seguir
(SAGAH,2020).

5.6 RFID

A tecnologia radiofrequência, também chamada de RFID (radio frequency

identification), apoia-se em transponders para transmitir informações via ondas de
rádio. Um circuito integrado armazena as informações e uma antena é utilizada para
transmitir e receber os sinais (SAGAH,2020).
Esta tecnologia tem uma grande variedade de aplicações na indústria. Uma
das mais conhecidas é a da logística por grandes players de mercado; porém,

36
pequenos comerciantes também podem usar RFID para acompanhar os produtos
que estão vendendo mais. Empresas também usam esta tecnologia para registrar
seu inventário. Outra aplicação é para rastreamento de documentos dentro das
organizações, dando visibilidade ao seu fluxo entre os setores dentro da empresa
(SAGAH,2020).
Muitas aplicações baseadas em código de barras estão sendo substituídas
por RFID, pois sua grande vantagem sobre é que os chips são muito mais difíceis
de copiar do que a tinta do código de barras no papel (SAGAH,2020).

5.7 Biometria

Este tipo de técnica tem sido utilizado com bastante frequência no campo
da segurança digital, pois utiliza as características biológicas ou físicas da pessoa.
A biometria pode ser usada como um mecanismo de identificação única ou como
um recurso para complementar a identificação de alguém (SAGAH,2020).
De acordo com Goodrich e Tamassia (2013), para uma biometria ser
considerada um recurso de identificação a partir de determinada característica
(impressão digital, por exemplo), existem diversos requisitos a serem atendidos,
listados a seguir:

 Universalidade: quase todas as pessoas precisam ter alguma

característica que seja comum a todos, sendo a mais conhecida a
impressão digital.
 Distinção: as características de cada pessoa devem apresentar
diferenças notáveis, sendo, por exemplo, o DNA e a retina
inconfundíveis.
 Permanência: a característica biométrica não deve se alterar de
forma significativa com o tempo.
 Coletável: a biometria precisa ser determinada e quantificada de
forma efetiva.

37
 Neste capítulo, você viu que o assunto “segurança lógica física” é extenso
e se expande para além da segurança digital. De nada adianta a organização ter
modernos hardwares e softwares de segurança se o componente humano ou os
aspectos físicos não forem observados. A segurança é uma responsabilidade, um
dever de todos em uma organização, e merece ser estudada em profundidade
(SAGAH,2020).

6 PLANO DE CONTINGÊNCIA

Saber conduzir um negócio é sempre um desafio, principalmente porque,

por mais planejamento que uma organização tenha, ela nunca conseguirá garantir
sua segurança integral. Isso ocorre porque há variáveis externas à empresa que
representam ameaças, como pessoas maliciosas que tentarão obter dados
sigilosos de forma ilícita, hackers que tentarão atacar os bancos de dados para
prejudicar a imagem da corporação, demonstrando o quão frágil ela é, ou mesmo a
ocorrência de desastres naturais, impossibilitando que a organização funcione
adequadamente. Para minimizar esses cenários negativos, a empresa precisa ter
sempre um plano B para os assuntos mais críticos (SAGAH,2020).
Se não houver planejamento para o cenário de crise, o resultado será
certamente um caos, pois, sem papéis definidos, o cenário que se desenhará no
desastre será semelhante ao de uma orquestra em que cada um toca seu
instrumento no tom que achar mais adequado à situação. O resultado geral não
será outro a não ser uma dissonância certamente desagradável aos ouvidos. É por
isso que um plano de contingência é necessário (SAGAH,2020).

38
6.1 Características de planos de contingência para incidentes de segurança

De acordo com a norma NBR ISO/IEC 27002 (ASSOCIAÇÃO BRASILEIRA

DE NORMAS TÉCNICAS, 2005, documento on-line), convém que “[...] planos sejam
desenvolvidos e implementados para a manutenção ou recuperação das operações
e para assegurar a disponibilidade da informação no nível requerido e na escala de
tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos
do negócio”. Complementando essa definição, uma maneira de entendermos o que
vem a ser um plano de contingência é por meio de um exemplo prático, baseado
em McCarthy (2014). Segundo o autor, o exército norte-americano gasta cifras
expressivas de dólares testando planos de contingência para serem implementados
em qualquer lugar do mundo em casos de crise. No plano estão incluídas as
simulações do que fazer a partir de ações de adversários, envolvendo diversos
personagens, que desempenharão papéis diferentes no exercício. O plano de
contingência é avaliado tanto pelas pessoas previstas para a sua execução quanto
pela ótica do próprio plano em si (SAGAH,2020).
Por falta de planejamento, quando um sinistro acontece, muitas vezes
ninguém consegue saber de perto o que está acontecendo. Exatamente pela
insegurança do desconhecido, a resposta natural do ser humano é descobrir
rapidamente o que está acontecendo para que recupere o domínio e a normalidade
da situação. Nesse contexto, também é comum que várias pessoas se apresentem
para fornecer suas opiniões, que podem causar paralisia no processo decisório
(SAGAH,2020).
Por esses motivos é que se justifica a criação e manutenção de um plano
de resposta às crises, ou plano de contingência. Nesse sentido, é mais do que
fundamental saber o que a empresa faz, sua missão, visão, valores, o que a torna
atrativa para os clientes/mercado ou o que é feito que a diferencia das concorrentes.
Ter a capacidade de responder a essas perguntas ajudará a organização a agir em
tempos de crise, pois, certamente, ela saberá o que proteger ou terá uma boa noção

39
de como sua oferta de produtos ou serviços aos clientes será afetada no período da
adversidade (SAGAH,2020).
Adicionalmente, a organização poderá instruir os responsáveis que
combaterão a crise a proteger aquilo que realmente interessa à empresa. Pode ser
a marca da organização ou outros aspectos da propriedade intelectual (uma
patente, por exemplo). Entretanto, um fator muito importante durante o momento da
crise é a unidade de comando. Sem planejamento e com muita gente querendo
tomar a melhor decisão, a organização pode, como já vimos, se paralisar — e pior
do que tomar uma decisão errada é não tomar decisão alguma (MCCARTHY, 2014).
Um princípio sólido da disciplina de gestão da segurança da informação é
que as organizações adotem medidas de proteção, detecção e medidas corretivas
para o resguardo da confidencialidade, integridade e disponibilidade de suas
informações. O planejamento é de suma importância e, para ser eficaz, ele precisa
ser testado e atualizado constantemente (FONTES, 2008). Outro ponto muito
importante a ser destacado é que a segurança da informação é um dever de todos,
e não somente da área de tecnologia da informação (TI). Portanto, o plano de
segurança da informação, bem como o seu plano de contingência, deve ser
conhecido por todos em uma empresa (SAGAH,2020).
Antes de a empresa se dedicar à tarefa de elaboração de um plano de
contingência, é importante verificar qual problema exatamente deseja resolver. Se
um risco ocorrer, quem será afetado dentro da empresa? Qual será o impacto dentro
da corporação, caso não haja uma resposta? Para desenvolver um plano de
contingência, o requisito mais importante é que haja o apoio incondicional da alta
administração. Se a camada executiva não estiver realmente engajada no assunto,
é melhor não seguir em frente, pois certamente será tempo gasto em vão. Nesse
caso, o apoio deve ser do presidente ou do vice-presidente da empresa. No caso
de um plano que envolva violação de dados, certamente outros personagens
entrarão em cena, como o diretor de segurança da informação/ diretor de segurança
e o diretor de informações (SAGAH,2020).
A tarefa é árdua porque, dentro das organizações, há outras prioridades
concorrentes que envolvem o dia a dia da empresa, as atividades que são

40
realizadas para gerar lucro organizacional ou, em casos mais extremos, o apagar
de incêndios com o qual muitos colaboradores se envolvem diariamente. Ademais,
pouca gente enxerga valor em um plano de contingência que só será disparado se
houver um sinistro. Na cabeça de muitos gerentes e até mesmo diretores fica a
pergunta: por que gastar dinheiro em algo que só talvez, algum dia, se houver algum
descuido, acontecerá? Certamente há muitas outras prioridades que merecem
atenção (SAGAH,2020).
Lamentavelmente, grande parte das empresas só enxerga o valor de um
plano de contingência quando o sinistro, de fato, acontece e ninguém sabe o que
fazer. As operações mais importantes da organização param e os prejuízos podem
levar a empresa à falência. Mas depois que a porteira foi arrombada, do que adianta
comprar o cadeado?
O desafio se mostra desde o início do planejamento da contingência, pois,
se os apoiadores são da alta administração, certamente eles terão pouco tempo
para se dedicar à análise de um plano de contingência. Felizmente há uma saída
para isso. Após sensibilizar a camada de governança da empresa para a
necessidade de elaboração de um plano de contingência, será fundamental que
eles tomem conhecimento da evolução da construção do plano ao longo do caminho
de forma frequente. Nesse caso, reuniões serão necessárias, mas aqui o ponto
fundamental é que o tempo gasto nessas reuniões seja breve e investido de forma
sábia (SAGAH,2020).
Um recurso muito utilizado em metodologias ágeis são as stand-up
meetings, ou reuniões em pé. São reuniões curtas, que duram 15 minutos, que
ocorrem todos os dias entre os membros de um time, que permanecem o tempo
todo de pé. Esse princípio pode ser adaptado a qualquer empresa,
independentemente do seu tamanho e área de atuação, e utilizado para tornar os
encontros mais produtivos e o planejamento, mais eficaz. Evitar reuniões em salas
confortáveis, com café e água à disposição, pode ajudar. Pode parecer meio
estranho, mas quando se está em uma cadeira confortável com serviço de copa à
disposição, o risco de se desviar do assunto a ser tratado é grande. O responsável

41
pela elaboração do plano de contingência precisa ser focado e mostrar aos
executivos que suas reuniões, de fato, não são tempo jogado fora (SAGAH,2020).

6.2 Construção de planos de contingência para incidentes de segurança

Se, por exemplo, um vírus atacar um sistema e tornar a TI inoperante

(podendo durar dias), a organização pode perder clientes e ter sua reputação
manchada se não tiver uma noção mínima do que deve ser feito. A organização
deve estar protegida com software antivírus e antimalware; sistemas de prevenção
contra perda de dados (data loss prevention); sistemas de prevenção contra
intrusão de rede; sistemas de proteção contra intrusão de host. Entretanto, de nada
adianta todo esse arsenal se houver falha na configuração desses sistemas, ou se
a manutenção desses sistemas falhar, ou ainda se violações acontecerem pelo lado
humano. É exatamente por isso que uma gestão baseada em riscos ajuda a fechar
tais brechas (SAGAH,2020).
Para evitar dissabores com clientes, a organização deve incluir a segurança
da informação para todos os seus colaboradores, além dos seus fornecedores. Se
isso falhar, o cliente não vai querer saber de quem foi a falha, mas que aquele que
ele contratou é que deve garantir a entrega do serviço como especificado no
contrato (SAGAH,2020).
Muitos executivos não dão a devida importância a um plano de
contingência, pois não querem gastar expressivas cifras em frentes que não trazem
lucros, mas evitam prejuízos. No entanto, um plano de contingência não
necessariamente é um plano reativo. Ele pode ser usado de forma proativa.
McCarthy (2014) relembra um plano bem documentado de resposta a malware.
Sabia-se, antecipadamente, que a empresa em questão representava um potencial-
alvo para uma possível infestação de malware global. O passo seguinte foi garantir
que todas as tecnologias instaladas na organização estivessem devidamente
atualizadas e preparadas para confrontar o vírus.

42
 Os recursos, em sua totalidade, estavam prontos para a resposta em caso
de ataque à rede. De fato, houve o ataque e, como a empresa já estava preparada,
a execução do plano ajudou a organização a lidar com o maior ataque por e-mail
em quase dez anos. Embora seja pouco conhecido das pessoas, esse fato
comprova que um plano de contingência é extremamente útil não somente para a
reação ao sinistro (SAGAH,2020).
McCarthy (2014) introduz ideias relevantes para a construção de um plano
de contingências. A primeira delas é uma discussão sobre os seguintes tópicos:

 Objetivo: em termos gerais, qual é o benefício esperado pela

construção do plano de contingência? Aqui pode ser útil um recurso
como a lista dos 5Ws: who (quem), what (o que), when (quando),
where (onde) e why (por que).

 Escopo: os limites do plano.

 Responsabilidades: quais executivos são responsáveis pelo plano

e seus dados de contato.

 Topologias de execução e comando: esquema visual do plano

para facilitar a comunicação com a camada executiva, conforme
exemplificado na Figura 10.

 Estrutura do plano: considerando que o plano terá uma série de

informações, algumas poderão se desatualizar, como uma lista dos
contatos ou informações que dependem de entidades externas, mas
o plano deve ser razoavelmente atual para ser realmente importante.

43
 Figura 10 - Topologia de execução e comando do plano.

Fonte: Adaptada de McCarthy (2014, p. 126)

Nesta primeira etapa da elaboração do plano, devem estar reunidos todos

os documentos necessários para a resposta a uma crise (estratégia de contenção
e análise de impacto em um plano contra deflagração de malware, por exemplo).
Em ato contínuo da elaboração do plano de contingência, seria relevante que a
organização soubesse identificar o que exatamente se configura uma situação de
crise, assim como uma análise técnica se faz necessária para determinar a
gravidade de uma crise (SAGAH,2020).

44
 Toda essa documentação deve ser examinada pelos especialistas da
organização, que são da área de negócios, pois eles é que são capazes de avaliar
os impactos e suas consequências quando uma ameaça se concretizar. A TI só
implementa, na forma da tecnologia, o desejado pela área de negócios na hora de
dar a continuidade a um serviço quando a ameaça se concretizar. E, quando a
ameaça se concretiza, é fundamental saber quem faz o que e quando durante a
crise. Ao fim da crise, será hora de avaliar o aprendizado, o que saiu bem e o que
não foi exemplar e, a partir dessas entradas, melhorar o plano com as lições
aprendidas (SAGAH,2020).
Mas o que devemos elencar em um plano de contingência? O objetivo do
plano é reduzir ao máximo as consequências negativas para a empresa. Neste
sentido, o risco deve ser quantificado de forma a listar as prioridades a serem
tratadas como preparo à continuidade do negócio. McCarthy (2014) sugere uma
fórmula simples:

Risco = Vulnerabilidade + Ameaça + Consequência

Para quantificar cada um desses itens, especialistas em gestão de riscos,

de TI e da área de negócios, assim como a camada de governança, deverão se
reunir para desenvolver o método de quantificação. É fundamental notar que essa
fórmula é somente uma sugestão. Há certamente outros métodos de quantificação,
e cada organização deverá utilizar o que for melhor para as suas necessidades. Em
alguns casos, a contratação de consultoria especializada pode ser outra alternativa
viável para auxiliar no desenvolvimento de uma metodologia. A vantagem da
contratação de uma empresa especialista é que, certamente, ela oferecerá um
produto que já foi validado em projetos anteriores de outros clientes, conferindo
robustez e confiança no uso do método (SAGAH,2020).

45
6.3 Organização de processos de manutenção para planos de contingência

Uma as tarefas mais desafiadoras de um plano de continuidade de negócios

é sua manutenção e melhoria constantes. O problema residente em planos de
contingência é que os planos são escritos e colocados “congelados” em um local
dentro da empresa (em uma biblioteca, se impresso, ou em uma intranet, se
eletrônico). A palavra que entra em campo aqui é o conformismo, pois, com o plano
pronto, todos os envolvidos na segurança se ocuparão com outras atividades. Com
o passar do tempo, à medida que a organização e seus processos vão mudando, o
plano se desatualiza e, quando for invocado, ele de nada servirá (SAGAH,2020).
Assim, o objetivo de manter o plano de contingência atualizado é assegurar
que, no momento em que ele for necessário, ele forneça informações seguras para
garantir sua execução com sucesso. As informações a serem atualizadas e
mantidas ficam contidas na seção “Estrutura do plano” (citada no tópico anterior)
em base periódica. Quando da manutenção, é fundamental registrar as lições
aprendidas na versão subsequente do plano, para que seja possível rastrear o
caminho da maturidade do plano (SAGAH,2020).
Outro benefício das lições aprendidas é que elas ensinam como manter o
plano relevante com o passar do tempo. Segundo McCarthy (2014), as melhores
práticas da indústria e o PCI DSS (Payment Card Industry — Data Security
Standard, o padrão de segurança de dados para a indústria de cartões de crédito e
afins) sugerem que os planos de respostas a incidentes sejam testados em base
anual, envolvendo todos os participantes previstos, para que, se for necessário
colocar o plano em prática, ele apresente informações precisas e efetivas com a
estrutura e a equipe atuais (SAGAH,2020).
A última parte da manutenção é a seção de recomendação. Nesse tópico
serão documentadas as sugestões de mudanças. O resultado de que algo não está
bom não é suficiente — a ideia é a melhoria constante. Daí a razão da
recomendação ser a última parte do plano (SAGAH,2020).
Entre as muitas informações geradas, como entradas para o processo de
melhoria, uma que aparece recorrentemente nas discussões sobre o assunto é a

46
contenção funcional, defendida por McCarthy (2014). Para entendê-la, o exercício
do vírus pode ajudar bastante. Se um vírus se espalhar rapidamente pela Ásia e as
autoridades de outros continentes desejarem proteger suas populações, a medida
de contenção seria o rompimento da conexão com o continente asiático, o que tem
reflexos imediatos nas viagens de avião (SAGAH,2020).
Com a possibilidade de equipamentos como smartphones e laptops
individuais acessarem a rede corporativa a partir da rede de casa ou de outros locais
fora da empresa, as superfícies de ataque se multiplicam consideravelmente. No
momento em que ocorre uma deflagração de um vírus global, esses dispositivos
portáteis poderiam ser impedidos de se conectarem à rede como uma medida de
contenção. Muito embora o bloqueio possa ser fácil de compreender, ele não
necessariamente será fácil de implementar — e não por conta da tecnologia. Há
que se considerar, por exemplo, o impacto da contenção, pois o custo da “cura”
pode ser mais alto do que o da “doença”, dependendo do tempo de retenção
(SAGAH,2020).
Naturalmente, o exemplo é um entre muitos inputs para a melhoria de um
plano de contingência. O plano de resposta a emergências deve ser mantido em
outras frentes também, como operações de backup, recuperação pós- -desastre
para sistemas de informação organizacionais, entre outras (BROWN; STALLINGS,
2014).
Muito embora a manutenção objetive a melhoria contínua de um plano de
continuidade de negócios, é fundamental que, após uma crise, haja um
planejamento para trazer a organização de volta à normalidade. Esse plano é
conhecido como PRD, ou plano de recuperação de desastres. Neste tipo de
planejamento estão contempladas catástrofes naturais, problemas derivados de
manutenção ou ações de hackers. Nesse sentido, há opções como backup para a
recuperação de dados (SAGAH,2020).
Quando se fala em backup, é fundamental envolver todos na organização
para um fato extremamente simples, mas que pode ser fatal na hora de recuperar
documentos importantes após um desastre: o local de armazenamento nas
estações locais. Há usuários que insistem em salvar documentos corporativos em

47
seus discos locais (C:) ou em pen drives, por exemplo, em vez de os salvarem nos
sistemas corporativos que estão cobertos pelo backup. Todos os usuários devem
ter ciência desse ponto — do contrário, a organização pode perder ativos de
informação importantes se sofrer um desastre. Por isso a segurança é assunto de
todos. Ignorar ações simples, como esse exemplo pode trazer consequências
expressivas para a empresa (SAGAH,2020).
Nos casos de sinistros, o backup precisa ser recuperado rapidamente para
que a organização possa voltar a funcionar em pouco tempo. Em algumas
organizações, é uma prática guardar as mídias de backup fora da organização (em
guarda externa). Para implementar uma política de recuperação de desastres, há
que se pensar em ferramentas adequadas para o sucesso do projeto. Para
recuperação de desastres em ambientes físicos e virtuais, a organização precisa
considerar, por exemplo, o arquivamento de suas cópias na nuvem, reduzindo
custos com servidores locais. Uma grande vantagem da nuvem é evitar que os
dados estejam vulneráveis às ocorrências de desastres naturais ou sinistros que
possam acontecer dentro da organização (SAGAH,2020).
Dependendo da criticidade do negócio, a antecipação é um fator mais do
que essencial. A contratação de um serviço de recuperação de desastres para o
caso de ataque de hackers pode ser a solução para garantir que a recuperação seja
imediata, além de garantir que todos os dados sejam recuperados e minimizar os
impactos negativos (SAGAH,2020).
Muitos são os desafios para garantir que os dados possam ser recuperados
no menor tempo possível. Um deles, por exemplo, envolve a aquisição de um
gerador de energia capaz de manter a organização funcionando em casos de queda
de energia. Para evitar problemas com operadoras de internet, a contratação de
duas operadoras é outro, pois se o serviço com uma operadora estiver indisponível,
a outra deve suprir a comunicação. Data centers, por exemplo, podem estar em
outro local geograficamente distante, para que a empresa tenha uma estrutura que
a atenda em situações de emergência. Neste ponto, a solução de cloud computing
(computação em nuvem) pode oferecer uma infraestrutura de TI on-line, segura e
com alta disponibilidade, para minimizar a obsolescência em ambientes cada vez

48
mais complexos e que demandam recuperação em tempos cada vez menores
(SAGAH,2020).
A obsolescência é um tema constante em TI. Por isso, uma análise profunda
de sua estrutura, de forma proativa, se faz necessária (estrutura de bancos de
dados, rede, equipamentos, etc.). Se a TI estiver desatualizada, ela não performará
no momento em que se fizer necessária. Por outro lado, há um custo de manter a
TI sempre atualizada com a última geração de sistemas e infraestrutura. Uma
análise de riscos sensata parece ser a opção mais razoável para que a TI esteja
pronta sem exigir, por parte da organização, um extremo esforço financeiro.
Para que não haja dúvida, é importante que se diferencie o PCN (plano de
continuidade de negócios) do PRD (plano de recuperação de desastres). O PCN
trata das contingências, dos caminhos alternativos a serem seguidos no caso de
uma crise, ou seja, ele é tratado antes do desastre. Já o PRD toma as medidas
necessárias para que a normalidade seja retomada enquanto a crise está em curso.
Para garantir um modelo sólido computacional, é essencial garantir as
propriedades de segurança que deverão ser asseguradas, antecipar os tipos de
ataque que poderão ser lançados e, então, desenvolver defesas específicas
(GOODRICH; TAMASSIA, 2013). Nesse sentido, é fundamental considerar também
a perspectiva do risco, pois um plano de contingência, em alguns casos, acaba por
ser uma extensão mais do que natural da gestão de riscos. Perceba que o
gerenciamento de riscos engloba a identificação daquilo que pode, em algum
momento futuro, afetar a organização. Entretanto, como é conhecido, várias
empresas não realizam a gestão de riscos e acabam por ter de lidar com os
desastres da forma mais traumática.
Há várias formas de tratar o risco, como as listadas a seguir:

 prevenir ou evitar o risco, eliminando a possibilidade de ele ocorrer;

 mitigar o risco, reduzindo a chance de ele ocorrer;
 transferir ou terceirizar o risco para outra pessoa;
 ignorar o risco, aceitando que ele pode ocorrer.

49
 Como pode ser percebido, um plano de contingência, apesar de ser simples
de entender, é difícil de elaborar e manter, pois envolve expressivos recursos dentro
da organização. É fundamental que haja o apoio incondicional da alta administração
para a sua criação; se ela realmente não se engajar no assunto, todo e qualquer
movimento em relação a um plano de continuidade de negócios será em vão.

7 IDENTIFICAÇÃO E SOLUÇÃO DE PROBLEMAS REAIS

Atualmente existe grande preocupação, por parte das organizações, com

relação a problemas e incidentes causados por falhas na segurança da informação.
Isso porque qualquer descuido pode gerar prejuízos, que podem ser enormes,
ocasionando desde a perda de informações importantes até a perda financeira, de
reputação e de imagem da empresa (SAGAH,2020).

7.1 Os problemas de segurança da informação

A área de segurança da informação dispõe de ferramentas e técnicas que

têm o propósito principal de preservar as organizações de quaisquer
vulnerabilidades e ataques que possam se concretizar e fazer com que as
informações organizacionais sejam modifi cadas, perdidas ou roubadas, trazendo
prejuízos dos mais variados tipos para a organização e suas partes interessadas,
como explicam Albuquerque e Ribeiro (2002).
Apesar de todos os esforços empreendidos na segurança da informação
das organizações, todo profissional que trabalha na área tem o entendimento de
que é impossível eliminar totalmente as vulnerabilidades, as ameaças e as
possibilidades de concretização dos ataques. É de conhecimento geral que a
ocorrência de ataques bem-sucedidos a organizações vem crescendo e que, na

50
maioria das vezes, eles acontecem por falhas na codificação ou outros tipos de
vulnerabilidades nos sistemas e serviços e, principalmente, por falhas humanas.
Isso se deve ao fato de que os sistemas são utilizados e desenvolvidos por
pessoas, então, se a preocupação com a segurança da informação não for levada
em consideração desde o momento da elaboração dos sistemas, a tendência é que
as falhas abram portas para possíveis ataques bem-sucedidos (SAGAH,2020).
Uma vulnerabilidade, seja qual for o seu tamanho ou a sua origem, seja
humana, tecnológica, financeira, ou de processos, possibilita que as falhas
aconteçam e que, por consequência, indivíduos mal-intencionados consigam atacar
as organizações e disponham das informações organizacionais da forma como
desejarem. Vários são os tipos de prejuízos causados para a organização, que
podem envolver desde a modificação, a perda ou o roubo de informações sigilosas,
até prejuízos financeiros ou de imagem perante as suas partes interessadas
(SAGAH,2020).
São incontáveis os casos de ataques bem-sucedidos feitos diariamente
contra organizações de todos os setores e portes. Esse tipo de fato transmite, para
todas as partes envolvidas com uma organização, um sentimento de insegurança e
descrédito, algo como se a empresa não se preocupasse com as informações que
mantém em seu poder. Por causa dessas inúmeras tentativas de ataques é que
existe a necessidade de se conhecer todos os pontos de vulnerabilidade e riscos
existentes. O objetivo desse levantamento é mitigar o risco de ocorrerem invasões,
roubo de informações e prejuízos para as empresas (SAGAH,2020).
As alternativas para tratamento das vulnerabilidades que permitem as
invasões às organizações tendem a ser padronizadas, uma vez que as causas dos
ataques giram em torno de causas humanas, como a engenharia social, as falhas
na codificação de sistemas, as configurações indevidas de serviços e controles de
acesso, entre outras. A Figura 11 mostra os incidentes de segurança da informação
mais frequentes no ano de 2014, conforme Faria (2016).

51
 Figura 11 - Incidentes de segurança da informação mais frequentes em
2014.

Fonte: Adaptada de Faria (2016).

Os principais problemas reais de segurança da informação enfrentados

atualmente pelas organizações são listados a seguir, conforme Faria (2016):

 Ataques de vírus: quando um ataque por vírus é bem-sucedido,

pode danificar bancos de dados, trazer insatisfação por parte dos
clientes, gerar prejuízos financeiros, retrabalho e muitos outros tipos
de incômodos para as organizações.

 Roubos de informações: quando uma tentativa de roubo de

informação se concretiza, podem ser roubadas informações sigilosas
como números de cartões de crédito, de documentos, endereços,
números de telefone, entre tantas outras. Existe uma preferência dos
indivíduos maliciosos para invadir as pequenas e médias empresas,
porque as grandes corporações normalmente possuem mais
recursos para a segurança das suas informações. Existe também
uma grande possibilidade de as informações sigilosas vazarem de
dentro da empresa, com o auxílio de seus próprios colaboradores.

52
  Indisponibilidade de serviços: quando esse tipo de ataque
acontece, os serviços disponibilizados on-line, ou constantemente,
pela empresa, ficam indisponíveis para os usuários. Com isso,
podem ficar indisponíveis serviços como comércio eletrônico,
instituições financeiras e governamentais ou até mesmo servidores
locais, quando não estiverem protegidos adequadamente.
Dependendo do ataque, a credibilidade e a imagem da empresa são
diretamente atingidas, principalmente se o caso vier a público antes
que a organização tome conhecimento e consiga tomar alguma
medida para sanar o problema.

Para evitar e solucionar os problemas ligados à segurança da informação,

é interessante ter conhecimento de algumas das principais causas ligadas às falhas
de segurança, ainda conforme Faria (2016):

 Falta de sigilo: envolve a exposição de informações sigilosas,

muitas vezes pela utilização inadequada de criptografia. Isso
demonstra desprezo da organização com relação à
confidencialidade, o que pode prejudicar a imagem da empresa.

 Falta de ferramentas de segurança atualizadas: envolve a

utilização de antivírus e ferramentas de firewall desatualizadas, o que
expõe a rede a todo tipo de ataques e ações maliciosas.

 Falta de backup e plano de continuidade de negócio: envolve o

descuido com relação à guarda das informações e a falta de um
plano de continuidade de negócio, que pode ser utilizado para que a
recuperação dos dados seja rápida e eficiente e para que os
processos de negócio não sejam interrompidos por muito tempo. Um
plano de continuidade de negócio é fundamental para que todos

53
 saibam como agir em caso de incidentes de segurança e para que
as operações da empresa sejam retomadas o mais rápido possível.

 Falha de controle de acesso: envolve a ausência de definição de

perfis e níveis de acesso para cada usuário que acessa as
informações da empresa. O controle de acesso deve ser
estabelecido levando-se em conta a atividade e o cargo
desempenhado pelos usuários.

 Falta de restrição de dispositivos de armazenamento e acesso a

sites: envolve o fato de a empresa não impedir a utilização de
pendrives e outros dispositivos, que permitam a cópia de
informações e a instalação de aplicativos na rede da empresa, bem
como o acesso a sites proibidos durante o horário de expediente, o
que expõe a empresa a todo tipo de ataque de invasores.

 Falta de política de segurança de informação: envolve o

desconhecimento de todos os colaboradores e demais envolvidos
acerca da preocupação da organização com relação à segurança de
suas informações. Sem uma política de segurança da informação, as
pessoas não saberão como proceder em caso de incidente, nem
mesmo a forma como devem agir em seu cotidiano para evitar a
exposição das informações a possíveis ataques.

7.2 O fator humano nos ataques

Como vimos, a quantidade de tentativas de invasões e de ataques bem-

sucedidos às informações privadas e de organizações vem crescendo muito nos
últimos anos, principalmente pelo fato de que nunca antes um número tão
expressivo de pessoas lidou com dispositivos de informática, tanto para seu

54
divertimento quanto para atividades que envolvem fi nanças e dados sigilosos
(SAGAH,2020).
As pessoas representam o fator essencial para que a segurança da
informação de uma organização seja bem-sucedida. A tecnologia existente para a
proteção dos dados e das informações traz a possibilidade efetiva de diminuição de
ameaças e vulnerabilidades, mas o que vai assegurar que se tire proveito do que a
tecnologia proporciona são os usuários (SAGAH,2020).
Existem alguns motivos, elencados por Fontes (2006), que explicam por que
é tão importante considerar o fator humano na segurança da informação das
organizações:

 as organizações são comandadas por pessoas, que vão definir qual

será o nível de prioridade dado para a proteção das informações na
organização;

 os sistemas informatizados são desenvolvidos por pessoas;

 os sistemas informatizados são operacionalizados por pessoas;

 os indivíduos mal-intencionados vão transformar as pessoas da

organização em alvos, pois elas representam uma porta de entrada
para supostos ataques;

 as políticas e regulamentos da organização são colocados em

prática por pessoas, ou deixam de ser, caso não haja
conscientização suficiente.

Os ataques se tornam bem-sucedidos à medida que a rede utilizada

apresenta muitas vulnerabilidades e falhas, mas nem sempre se relacionam com a
política de segurança da informação implementada pela empresa, dizendo respeito
a atitudes humanas frente à utilização dos sistemas e dispositivos (SAGAH,2020).

55
 A prática de um invasor ou de um indivíduo mal-intencionado envolve
encontrar falhas em computadores, em redes ou em sistemas, para que ele possa
entrar no ambiente e dispor das informações da forma que melhor lhe convier. O
fato é que essa atividade se torna muito mais fácil quando ele consegue enganar
os usuários que estão por trás dos computadores e dos sistemas. É por conta disso
que pode se observar nos últimos anos um aumento considerável nos ataques, ou
nas tentativas de ataques, que envolvem engenharia social. Por meio dela, o invasor
convence o usuário a executar alguma ação que lhe vai possibilitar a entrada na
rede, a infecção das máquinas com programas maliciosos e a exposição das
informações guardadas (SAGAH,2020).
É provável que, durante um ataque que envolve características de
engenharia social, o usuário nem fique sabendo que as suas ações causaram algum
dano e permitiram o ataque, pois o criminoso explora a inocência e a ingenuidade
da sua vítima, que entende estar agindo por bem, e nunca para causar algum mal
à empresa ou a si própria (SAGAH,2020).
A estratégia mais comum utilizada pelo engenheiro social é obter, antes do
ataque, informações sobre a sua suposta vítima, como local de trabalho, idade,
gostos, instituição bancária do qual é cliente, opções de lazer, entre outras. Partindo
disso, o invasor encontra motivos para tentar um contato com o usuário escolhido,
seja por telefone, e-mail, mensagem de texto, ou outro meio que a criatividade do
invasor permitir (SAGAH,2020).
No contato estabelecido, o invasor pode inventar para a sua vítima o
recebimento de algum brinde, super descontos em lojas de seu interesse, a
desatualização de algum programa utilizado no seu computador, a inclusão do seu
nome no cadastro de devedores, apenas para citar alguns exemplos do que pode
ser feito (SAGAH,2020).
O usuário, interessado em alguma vantagem oferecida, ou com medo de
que algo sério possa acontecer, quando o contato é feito por um órgão
supostamente oficial, cede às instruções do invasor, expondo informações que, em
outro contexto, não seriam divulgadas, ou ainda instalando programas em seu
computador que, caso a vítima refletisse um pouco mais, não seriam instalados.

56
 Por mais que os usuários saibam que os ataques maliciosos às informações
estão cada vez mais comuns na atualidade e por mais que sejam cuidadosos na
maior parte do tempo, eles são humanos. Por isso, muitas vezes são movidos pela
emoção, pelo cansaço e pelo excesso de atividades do dia, ficando suscetíveis e
expostos a ataques, conforme expõem Albuquerque e Ribeiro (2002)
(SAGAH,2020).
Por conta disso, a área de segurança da informação das organizações
precisa, cada vez mais, de rigidez na sua estrutura, de um inventário das ameaças
e vulnerabilidades envolvendo seus processos, sistemas e rede, de medidas
capazes de identificar e-mails e sites falsos e, também, de uma definição concreta
dos níveis e dos perfis de acesso às informações organizacionais sigilosas
(SAGAH,2020).
Entretanto, acima de todas essas necessidades, está talvez a principal, que
é a de conscientizar os usuários acerca dos riscos e das ameaças de golpes e
invasões, e dos prejuízos financeiros e de imagem que podem ser experimentados
pela empresa, caso ocorra um ataque. É preciso elaborar campanhas educacionais
sobre a utilização dos recursos tecnológicos disponíveis, fazendo com que os
sistemas deixem de ser vistos como inimigos e passem a ser encarados como
ferramentas que vão auxiliar nas atividades, desde que bem utilizadas
(SAGAH,2020).

7.3 Os testes de segurança da informação

Com o avanço do compartilhamento de informações por meio virtual, muitos

são os motivos que levam as organizações a não estarem seguras. Entre eles pode-
se citar as confi gurações de recursos mal defi nidas, os sistemas com falhas em
códigos, as redes desprotegidas, a falta de atualização em aplicativos e a falta de
treinamento e conscientização dos colaboradores, como afi rmam Albuquerque e
Ribeiro (2002).

57
 Por outro lado, é muito comum também o excesso de confiança das
empresas, que podem pensar que, pelo fato de as pessoas externas à sua
organização não conhecerem detalhes de sua infraestrutura de rede, recursos e
controles, ninguém terá interesse ou poderá invadi-la, levando a organização a
imaginar que seu nível de risco tende a zero (SAGAH,2020).
Nesse sentido, é muito importante que as organizações especifiquem com
o máximo de rigor possível a sua estrutura de segurança da informação, criando
sua política de segurança de informações, identificando todas as vulnerabilidades
possíveis, definindo os controles e elaborando suas estratégias de defesa. Feito
isso, é preciso elaborar formas de testes para colocar tudo isso em prática antes
que um indivíduo mal-intencionado efetue uma tentativa de invasão. É dessa forma
que a organização vai estar segura de que a sua estratégia de segurança de
informação é eficiente (SAGAH,2020).
Esse tipo de teste vai servir para elencar vulnerabilidades e ameaças, por
meio de simulações de ataques aos ativos da organização, seus sistemas,
processos e equipamentos. É fundamental que os profissionais da área de
segurança da informação participem dos testes, juntamente com representantes
das diversas áreas e da gestão da empresa (SAGAH,2020).
Ao longo dos procedimentos de testes, é possível identificar e avaliar
vulnerabilidades e falhas, analisando-as quanto aos atributos de disponibilidade,
confidencialidade e autenticidade, que dizem respeito à segurança da informação.
Durante os testes de segurança da informação é preciso documentar todas
as informações obtidas, elaborando um inventário de todos os resultados
conseguidos. Cada atividade dos procedimentos de testes deve ser documentada
com detalhes de dia, hora, atributos do remetente e do destinatário das mensagens,
sejam eles internos ou externos, e ainda todas as técnicas, os métodos e as
tecnologias empregadas nos testes (SAGAH,2020).
São muitas as técnicas disponíveis para utilização durante os testes de
segurança da informação, e a sua escolha deve levar em consideração as
características da organização, para que possam ser simuladas todas as
possibilidades de invasão por indivíduos maliciosos (SAGAH,2020).

58
 Por isso, antes de serem iniciados os procedimentos de testes, é necessário
fazer o seu planejamento, que vai envolver a criação de um modelo ou do método
para a execução dos testes. Nesse momento, serão verificados itens como os
recursos humanos, os equipamentos, os tipos de ataques e as formas de atuação
possíveis (SAGAH,2020).
De acordo com Faria (2016), dentre os métodos possíveis para utilização
nos procedimentos de testes de segurança da informação, estão:

 sondagem e mapeamento: consiste na varredura, por meio dos hosts

ativos, ou nós da rede, para fazer a identificação das regras de
firewall e dos serviços que estejam em execução no momento dos
testes.

 força bruta: envolve a análise da política de senhas, dos serviços e

dos controles de acesso e autenticação passíveis de ataques
causados por ciclos de tentativa e erro envolvendo senhas.

 avaliação de servidores: envolve a identificação das vulnerabilidades

nos servidores de internet, sujeitos à manipulação das requisições
feitas na rede, visando a prejudicar a segurança dos serviços de
internet da organização.

 análise do tráfego: envolve a análise do tráfego de rede, visando à

identificação e à obtenção de informações sigilosas, como o login, a
senha e os tipos e níveis de acesso dos usuários, por meio da
manipulação do tráfego da rede.

 injeção de código: envolve a inclusão de códigos maliciosos nos

sistemas para averiguar o comportamento das vulnerabilidades
identificadas. A injeção de código tem como propósito principal
identificar códigos de sistemas que apresentem vulnerabilidades

59
 quando os usuários informam algo e não existe tratamento adequado
para a informação inserida. Dessa forma, o indivíduo mal-
intencionado poderia inserir informações a serem tratadas pelo
servidor, por meio de cookies ou outros tipos de parâmetros, com o
objetivo de provocar mau funcionamento no servidor da rede,
expondo as informações e permitindo sua alteração, extravio ou
roubo.

Os procedimentos de testes de invasão são essenciais e, por isso, é preciso

que eles façam parte da política de segurança da informação da organização, sendo
planejados e previstos como parte integrante do seu processo de implantação.
Aliadas aos testes, as auditorias preventivas também têm grande importância, pois
auxiliam na prevenção da exposição das informações.
Não existe uma maneira padronizada de fazer com que a segurança da
informação, da rede e dos sistemas aconteça nas organizações, mas é importante
que cada empresa encontre a sua maneira, levando em consideração suas
características, seu ramo de atividade, seu porte, a quantidade de usuários que
acessam suas informações e o nível de controle de acesso necessário.
Independentemente da maneira encontrada pela organização para fazer o
gerenciamento da segurança das suas informações, do seu porte e do tipo de
atividade com a qual trabalha, é importante que ela efetue os testes de segurança.
Apesar de serem apenas uma das ferramentas utilizadas para colocar a política de
segurança em prática, são eles os responsáveis por aproximar essa política da
realidade, demonstrando os resultados que serão obtidos na prática.
Os procedimentos de testes visam a proteger a organização de qualquer
tipo de ameaça e ataque que possa colocar em risco as informações
organizacionais, sejam elas sigilosas ou públicas. É importante incluir os testes na
política de segurança de informação, mesmo que os profissionais dessa área
saibam que é impossível eliminar totalmente os riscos, pois as técnicas utilizadas
pelos invasores tendem a ser mais adiantadas, quando comparadas aos meios de
prevenção e controle. A execução de testes, mesmo não eliminando os riscos,

60
tornará possível antever problemas reais e gerenciar as vulnerabilidades da
empresa, demonstrando a preocupação com a segurança das suas informações.

8 CRIPTOGRAFIA ASSIMÉTRICA

Nunca se gerou e trocou tantas informações em meio eletrônico quanto nas

últimas décadas, devido à popularização dos computadores, dos dispositivos
portáteis e à conexão de alta velocidade à Internet. Para garantir a segurança de
todas as partes envolvidas, torna-se cada vez mais necessário os investimentos em
Segurança da Informação (SAGAH,2020).
A criptografia uma ferramenta de segurança utilizada para transformar uma
informação original em uma informação ilegível, possibilitando que a informação
seja acessada apenas pelas pessoas autorizadas. Com ela, as informações são
enviadas de forma mais segura, utilizando-se de encriptação e desencriptação de
mensagens (SAGAH,2020).

8.1 Tipos de criptografia

Se observarmos a etimologia da palavra “criptografi a”, veremos que ela é

formada pelo grego antigo kryptós, que signifi ca “segredo”, e graphein, que signifi
ca escrever, ou seja, a criptografi a pode ser entendida como “a escrita dos
segredos”. É utilizada há bastante tempo e foi associada às atividades militares, nas
quais as mensagens precisavam ser protegidas de espiões adversários
(SAGAH,2020).
A criptografia tem como principal objetivo esconder informações utilizando
processos de codificação. A mensagem original é codificada no momento do seu
envio e poderá ser descodificada assim que estiver disponível à pessoa autorizada.

61
 A encriptação é a transformação dos dados, tornando-os ilegíveis para
pessoas não autorizadas, e também é conhecida como codificação. A
desencriptação é a operação que reverte estes dados ao formato original,
permitindo assim a sua leitura, e também é conhecida como decodificação.
A criptografia utiliza-se de chaves e algoritmos para efetuar o seu papel.
São tipos de criptografia:

 criptografia hash;
 chaves simétricas;
 chaves assimétricas;
 combinação dos tipos.

A criptografia pode ser do tipo simétrica e assimétrica. Podem ser utilizadas

separadamente ou em conjunto para garantir ainda mais a segurança. A criptografia
assimétrica, também conhecida como criptografia de chave pública, utiliza uma
chave de encriptação (denominada chave pública) e uma chave para
desencriptação (denominada chave privada), que é diferente da chave de
encriptação (SAGAH,2020).
Assim, temos que a encriptação utiliza a chave “k1” em cima da mensagem
em texto legível e a partir deste irá gerar um texto ilegível. Após isso, no processo
de descriptografia, é utilizada a chave “k2” em cima do texto codificado e teremos
como resposta o texto descodificado (SAGAH,2020).
Na criptografia assimétrica, a chave pública pode ser conhecida por todos
e se faz necessária para encriptação do texto. Já a chave privada, precisa
permanecer secreta e sua utilização é necessária para desencriptação do texto
cifrado e, por isso, a confidencialidade da informação é garantida. Para
compreender melhor o uso das chaves na criptografia assimétrica, observe o
Quadro 1.

62
 Quadro 01 - Resumo do uso de chaves públicas e privadas na criptografia
assimétrica

Fonte: Adaptado de Amaro (2009).

Criptografar e descriptografar utilizando a criptografia assimétrica pode ter

um custo operacional um pouco maior, pois na maioria das vezes o tamanho da
chave pode ser maior do que as utilizadas na criptografia simétrica, mas isto
depende também do algoritmo utilizado na criptografia (SAGAH,2020).
A chave pública é sempre disponibilizada gratuitamente para a pessoa que
queira enviar uma mensagem. A chave privada é mantida em segredo, para que
somente a própria pessoa a tenha.

8.2 Algoritmos de criptografia assimétrica

Como já foi comentado, para garantir a segurança, a criptografi a

assimétrica utiliza duas chaves (uma pública e uma privada) e algoritmos para
criptografar e descriptografar. Um esquema que explica esse processo pode ser
visto na Figura 1. Alguns exemplos de algoritmos utilizados na criptografi a
assimétrica:

 Diffie-Helman.
 ElGamal.
63
  Digital Signature Standard (DSS).
 RSA.
 Cifra de César.

O algoritmo Diffie-Helman é um usado para fazer troca de chaves. É

bastante eficiente, mas está sujeito a um ataque de intervenção humana no
momento da troca das chaves pública–privada. Uma desvantagem é que não
permite o ciframento e nem a assinatura digital. A sua lógica é baseada em
criptoanálise.
O algoritmo ElGamal é de chave pública e baseado no algoritmo Diffie- -
Helman. Ele faz uso de um problema matemático conhecido como logaritmo
discreto. É também utilizado em assinaturas digitais (SAGAH,2020).
O DSS, ou Padrão de Assinatura Digital, é o algoritmo utilizado para a
realização de assinatura digital, mas pode ser usado também para criptografar. É
uma variante do ElGamal.

Figura 12 - Criptografia assimétrica.

Fonte: Boy ([2018]).

64
 A Cifra de César foi um dos primeiros sistemas de criptografia. Recebeu
este nome pois foi elaborado pelo general Júlio César, no império Romano. Foi
utilizado em combate pela Europa. Esta técnica baseia-se em efetuar a troca das
letras do alfabeto.

A Figura 13 apresenta outro exemplo de como funciona a Cifra de César.

Fonte: Wikiwand ([2018]).

O algoritmo RSA traz no seu nome as iniciais dos seus criadores. É um dos
algoritmos de criptografia assimétrica mais utilizados. Sua lógica baseia-se na
multiplicação de dois números primos. O resultado desta multiplicação é o que
deverá ser utilizado para descobrir os outros dois números e assim decifrar a chave
(SAGAH,2020).
A sua segurança é baseada em operações matemáticas com números
primos grandes, conhecidas como problema de fatoração. Para decifrar a chave
privada é necessário a utilização de recursos computacionais muito grandes e o
usuário precisa calcular um par de chaves para ter acesso a mensagem: Calcular a
chave pública do usuário P e calcular a chave secreta Q (SAGAH,2020).
Ou seja, para trabalhar com as chaves é necessário escolher dois números
primos. Podemos chamar de P e Q. Para melhorar a segurança escolha números
grandes. Quanto maior, melhor.

65
8.2.1 Vantagens e desvantagens da criptografia assimétrica

Assim como em outros assuntos da segurança da informação, utilizar a

criptografi a assimétrica também possui vantagens e desvantagens. Como
vantagens podemos citar:

 A criptografia assimétrica é mais segura do que a simétrica.

 Para cifrar e decifrar são necessárias duas chaves, o que a torna
mais segura.
 A chave pública é divulgada e a privada é secreta.
 Pelo fato de ter duas chaves, é possível fazer a autenticação de
remetente.

Existem pelo menos três grandes desvantagens:

 Os algoritmos utilizados na criptografia assimétrica são mais

complexos.
 Exige maior poder de processamento.
 É mais lenta do que a criptográfica simétrica.

8.3 Unindo criptografia simétrica e assimétrica

Para aumentar a segurança e otimizar recursos, pode-se utilizar o que se

tem de melhor dos dois tipos de criptografi a: simétrica e assimétrica (SAGAH,2020).
Por ser mais simples, algoritmos simétricos são mais rápidos e mais
vantajosos para cifrar grande volume de informação. Os assimétricos, porém, são
apropriados na distribuição de chaves e para garantir sua autenticação.

66
Combinando as duas técnicas é possível cifrar um grande volume de informações
e distribuir com criptografia de chaves públicas (SAGAH,2020).
A Figura 14, a seguir, mostra como criptografar e descriptografar uma
mensagem utilizando a combinação dos dois métodos, para tirar o melhor proveito
de cada uma delas. Essa forma de combinar os dois métodos de criptografia tem
se tornado um padrão e sido adotado em vários produtos comerciais, pois consegue
resolver os problemas pertinentes às questões técnicas de cada método.

Figura 14 - Envio seguro de mensagens combinando a criptografia

simétrica com a assimétrica.

Fonte: Adaptada de Curry (1997).

9 PROCESSO DE AUDITORIA DE SEGURANÇA DA INFORMAÇÃO

Vários modelos de processo e metodologias de auditoria de sistemas e de

tecnologia da informação podem ser encontrados na literatura, alguns deles criados

67
pelas organizações públicas que atuam como órgãos de controle interno e externo.
O modelo descrito a seguir é composto por 9 passos (Rodrigues, 2011):

 Gestão do projeto ou do programa de auditoria

 Decisão sobre o propósito da auditoria
 Identificação de objetos e pontos de controle
 Definição de técnicas para obter evidências e procedimentos de
controle
 Montagem da roteirização de auditoria
 Coleta e registro de evidências em papéis de trabalho
 Verificação, validação e avaliação de evidências
 Produção de pareceres e outros entregáveis
 Acompanhamento pós-auditoria

Estes passos são detalhados a seguir.

9.1 Gestão do Projeto ou do Programa de Auditoria

Auditorias isoladas e esporádicas são pouco eficazes, além de

dispendiosas. O primeiro passo numa auditoria é estabelecer a gestão do projeto
ou dos projetos que constituem um programa de auditoria. Auditoria é, em geral, um
trabalho de equipe, realizado na forma de um projeto, no qual estão envolvidas
pessoas, que executarão uma série de atividades técnicas especializadas,
produzindo um resultado demandado por um cliente, dentro de prazos, custos e
qualidades esperadas. O escopo da auditoria precisa ser bem delimitado, as
comunicações entre os membros do “projeto” e com os clientes precisam ser bem
organizadas. É necessário fazer monitoramento da ação e tomada de ações
corretivas (Rodrigues, 2011).
O projeto de uma auditoria, como qualquer outro, é sujeito a desvios e
riscos, que precisam ser monitorados e controlados visando à produção de
68
resultados com qualidade. É preciso, então, que haja na equipe de auditoria um
grupo responsável por planejar e gerenciar a atividade de auditoria per se.
Recomenda-se usar o modelo do Guia PMBOK (PMI, 2004) como orientador geral
de planejamento e gestão de projetos, bem como recorrer à norma ISO 19011 (ISO,
2002) acerca do processo de gestão de vários projetos de auditoria integrados,
executados ao longo de vários anos na forma de um Programa de Auditoria
(Rodrigues, 2011).
Em suma, o planejamento consiste em amalgamar competências que
tenham conhecimento especializado daquilo que se quer auditar e que tenham
habilidade e autorização para acesso amplo às diversas fontes de informação
necessárias. O planejamento deve produzir, ao final, um plano de gerenciamento
de uma auditoria específica, ou de forma coletiva, um plano de gerenciamento do
programa de auditoria, que servirá de referência para se executar várias auditorias
correlacionadas. (Rodrigues, 2011).

9.2 Decisão sobre o Propósito da Auditoria

O segundo passo numa auditoria de segurança da informação é decidir

acerca do propósito da auditoria, que pode variar entre verificar situações suspeitas,
eventos ou ocorrências que merecem atenção acurada e entre analisar os riscos de
segurança a que a organização pode estar exposta. Somente uma análise
contextualizada, produzida por um auditor poderá indicar qual o melhor propósito
da auditoria (Rodrigues, 2011).

9.3 Identificação de Objetos e Pontos de Controle

O terceiro passo numa auditoria de segurança da informação compreende

analisar o sistema de controle interno do auditado, identificando onde os elementos
do controle interno se encaixam nos objetos (ou objetivos) e pontos de controle,
descritos de forma genérica no plano de auditoria que foi estruturado na fase de
planejamento. Junto a estes objetos e pontos se espera obter evidências a respeito

69
da situação atual da organização, quanto à segurança da informação. Para realizar
exames aprofundados é preciso definir o que será auditado, que são os “objetos de
auditoria” (OA). Tais objetos são elencados e selecionados de acordo com o
contexto e os propósitos da auditoria. Em seguida são elencados “pontos de
controle” (PC) para cada objeto de auditoria selecionado. Um PC caracteriza
situações específicas que podem ser relacionadas a produtos, processos,
procedimentos, eventos ou qualquer outro item observável e relevante para uma
auditoria de segurança (Rodrigues, 2011).
São os objetos de auditoria e pontos de controle itens que, uma vez
categorizados, orientam as observações e testes da auditoria (Rodrigues, 2011).
Pontos de controle podem remeter a artefatos físicos, como placas de
sinalização e instalações físicas ou artefatos lógicos tais como senhas de acesso a
sistemas. Portanto, podem ser físico ou lógicos, tangíveis ou intangíveis. Desvios
ou percepções de riscos devem ser examinados para se identificar quais pontos de
controle têm relação com esses riscos, definindo seu grau de criticidade para a
segurança. A busca de “indícios” e “evidências” de situações de insegurança que
merecem atenção e sua correta interpretação pode levar a uma constatação ou
achado importante, desde que executados com métodos claros e reproduzíveis, e,
se for o caso, com métodos científicos (Rodrigues, 2011).
Modelos como o do COBIT (Control Objectives for Information Technology),
descrevem um conjunto de objetivos (objetos) de controle e pontos de controle,
típico de Organizações de Tecnologia da Informação. Note que nem todos os
objetivos declarados no COBIT 4.1 são relacionados à segurança da informação. O
modelo, em sua versão 4.1 (ITGI, 2007), apresenta 318 objetivos de controle
agrupados em 34 arquétipos de processos de organização de TI. Os 34 processos
organizacionais são agrupados em 4 domínios (Planejamento e Organização,
Aquisição e Implementação, Entrega e Suporte de Serviços de TI, além do
Monitoramento e Avaliação). Os 318 objetivos de controle são subdivididos
(implementados) com pontos de controle (chamados no COBIT de práticas de
controle).

70
9.4 Definição de Técnicas para Obter Evidências e Procedimentos de
Controle

Uma vez identificados objetos e pontos de controle é possível elencar as

técnicas que serão usadas para a obtenção de evidências que sejam “suficientes,
adequadas, relevantes e úteis para a conclusão dos trabalhos” (CPLP, 2009), bem
como os procedimentos de controle (também chamados de testes) que serão
efetuados junto aos pontos de controle, permitindo a montagem da roteirização
detalhada. Estes conceitos são explicados a seguir (Rodrigues, 2011).

9.4.1 Definição de Técnicas

Segundo o Manual de Controle Interno, criado pelos Organismos

Estratégicos de Controlo/ Controle Interno da Comunidade de Países de Língua
Portuguesa (CPLP, 2009), são exemplos de técnicas gerais para a obtenção de
evidências numa auditoria: a entrevista e o questionário; a análise documental; a
conferência de cálculos; a confirmação externa; o cruzamento ou correlação de
informações; o exame ou inspeção física; a observação direta envolvendo
identificação da atividade a ser observada, observação de sua execução,
comparação entre o comportamento observado e os padrões, avaliação e
conclusão; o corte das operações e o rastreamento.
Cada técnica tem elo direto com o propósito da auditoria, com a natureza
do negócio e com o nível de maturidade da organização em matéria de segurança
da informação (Rodrigues, 2011).

9.4.2 Preparação ou Seleção de Procedimentos de Controle e Testes

Segundo CPLP (2009), os procedimentos de controle são um “conjunto de

verificações e averiguações previstas num programa de ação [ex: auditoria], que

71
permite obter evidências ou provas suficientes e adequadas para analisar as
informações necessárias à formulação e fundamentação da opinião por parte dos
auditores públicos.” Os procedimentos de controle são específicos para cada ponto
de controle, e descrevem os resultados que devem ser obtidos junto a cada ponto
de controle, por meio de testes. Cabe ao auditor escolher que tipo de teste vai
realizar, e os testes são estratificados em dois níveis de profundidade: os testes de
controle ou observação; e os testes substantivos ou de sondagem (Rodrigues,
2011).
Os testes de controle são executados por meio de observação do
funcionamento dos controles existentes, e visam obter razoável confiança de que
os controles estão em efetivo funcionamento e cumprimento (Rodrigues, 2011).
Cabe ao auditor avaliar o nível de risco tolerado (DUNN, 1991, p.111) para
emissão de sua própria opinião com o devido cuidado profissional, a fim de decidir
em que momento parar os testes.
Os testes substantivos demandam mais criatividade e esforço do auditor e
são aplicados quando há dúvidas acerca da adequação do controle já testado.
Várias técnicas, analíticas, de simulação (CHAIM, 2010) ou de ensaio podem ser
aplicadas para a realização de testes substantivos de segurança da informação,
como teste de vulnerabilidade, testes de penetração. Todas as técnicas, na área de
segurança da informação, estão de forma direta ou indireta associadas com a
análise e avaliação de riscos de segurança. Segundo ITGI (2000), os testes
substantivos visam documentar a vulnerabilidade e os riscos associados ao ponto
de controle.
Modelos de auditoria como o antigo manual de auditoria do COBIT 3.0
(ITGI, 2000), o livreto de padrões, guias e procedimentos de auditoria e controle do
ISACA (2009) apresentam um extenso conjunto de procedimentos que podem ser
empregados em auditoria de segurança da informação, para orientar a execução de
testes.

72
9.5 Montagem da Roteirização Detalhada

A roteirização detalhada de auditoria é o roteiro dos procedimentos e testes

que serão ou poderão ser executados pelo auditor. A roteirização é montada para
que o auditor use da forma mais eficaz o tempo em que estará no ambiente do
auditado, bem como para uniformizar os procedimentos de uma equipe da qual
participam diversos auditores (Rodrigues, 2011).
Cada empresa ou organização de auditoria dispõe de templates ou
esqueletos de roteirização padronizada, visando agilizar a montagem da
roteirização para uma auditoria específica (Rodrigues, 2011).
A roteirização descreve a sequencia de passos a seguir, e deve ser sucinta
e objetiva, para facilitar a execução pelo auditor. Para facilitar a compreensão de
conceitos complexos, que muitas vezes são articulados ou referenciados numa
roteirização. A roteirização deve fazer referência a documentos mais detalhados e
descritivos, como normas, guias e padrões, por exemplo: ISACA (2009) e ITGI
(2000).

9.6 Coleta e Registro de Evidências

O sexto passo numa auditoria consiste em coletar e registrar evidências

para fins de avaliação, e pode ser organizado em três aspectos (Rodrigues, 2011).

9.6.1 Coleta de evidências

A coleta é feita no ambiente do auditado. A roteirização detalhada orienta

as ações dos auditores em campo durante a coleta e análise de evidências, é em
geral elaborada em formato de formulários, em papel ou meio digital, que quando
preenchidos auxiliam e sumarizam dados para análise (Rodrigues, 2011).

73
9.6.2 Papéis de trabalho

Os papéis de trabalho (documentos de trabalho ou working papers)

constituem os registros das evidências, ações e decisões realizadas pelo auditor.
São preparados no ambiente do auditado, mas são de propriedade do auditor e
devem ser arquivados com obediência ao sigilo. São papéis de trabalho: (i) os
formulários preenchidos com a execução da roteirização, (ii) os registros de análises
e testes de controle e testes substantivos realizados pelo auditor e (iii) outras
anotações de interesse. Os papéis de trabalho são a memória de cálculo da
execução da roteirização, podendo ser usadas pelo auditor no esclarecimento de
dúvidas futuras. As evidências, contidas nos papéis de trabalho, são entrecruzadas
com os objetos de auditoria e seus respectivos pontos de controle pertinentes, e
desta forma farão parte de uma lista elaborada pelo Auditor como de possível
interesse para a análise. Para mais detalhes ver CPLP (2009).

9.6.3 Organização da informação

Para que a informação contida nos papéis de trabalho possa ser útil,
inclusive durante a fase de análise, é essencial a organização adequada da
documentação e das informações, por meio de instrumentos como índices, tabelas
de conteúdo, inclusive porque outros auditores que não participaram da coleta de
evidências deverão ter capacidade de avaliar ou participar do trabalho em momento
posterior (Rodrigues, 2011).

9.7 Verificar, Validar e Avaliar Evidências

O sétimo passo numa auditoria consiste em, rigorosamente, verificar,

validar e avaliar as evidências obtidas. Muitas delas, que parecem desconectadas
em um momento, devem começar a fazer sentido de acordo com os achados ou

74
fatos constatados. Pode-se iterar e voltar a coletar e registrar novas evidências,
conforme se mostrem insuficientemente conclusivos os dados coletados. Isto
ocorre, sobretudo, quando não se tem experiência com o tipo de auditoria e os
objetos de controle auditados. A conexão lógica entre evidências, achados e fatos
pode ser estabelecida na roteirização detalhada, mas não deve ser considerada
como única fonte de achados. A roteirização serve como instrumento para guiar o
julgamento do auditor. Os papéis de trabalho organizado permitem a recuperação
de informação (Rodrigues, 2011).

9.8 Produção de Pareceres e outros Entregáveis

O passo final nesse modelo simplificado de processo de auditoria é a

produção de pareceres com recomendações e conclusões do Auditor. Cada passo
pode liberar entregas, destacando-se como produtos da auditoria: o plano de
auditoria, os relatórios situacionais de auditoria e os pareceres. O Auditor deverá
produzir pelo menos um plano de auditoria, um relatório situacional e um parecer
para cada engajamento de auditoria (Rodrigues, 2011).

9.9 Acompanhamento Pós-Auditoria

Conforme orienta a norma ISO 19011 (ISO, 2002), o acompanhamento pós-

auditoria ocorre sempre no âmbito de um programa de auditoria. É preciso ter bem
definidas as competências e a forma de avaliação dos auditores, bem como as
atividades que serão realizadas. Esse acompanhamento é uma atividade de gestão,
seja para garantir mudanças, seja para sustentar boas práticas que devem persistir.

75
10 REFERÊNCIAS BIBLIOGRÁFICAS

ABNT - Associação Brasileira de Normas Técnicas. NBR ISO 19011:

Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental.
Rio de Janeiro: ABNT. Novembro de 2002. 25 p.

ALBUQUERQUE, R.; RIBEIRO, B. Segurança no desenvolvimento de

software. Rio de Janeiro: Campus, 2002.

AMARO, G. Criptografia simétrica e criptografia de chaves públicas:

vantagens e desvantagens. 2009. Disponível em: . Acesso em: 10 ago. 2018.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC

17799:2005: tecnologia da informação, técnicas de segurança, código de
prática para a gestão da segurança da informação. São Paulo: ABNT, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR/ISO/IEC

17799: tecnologia da informação: técnicas de segurança: código de prática
para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
Substituída por: ABNT NBR ISO/IEC 27002:2005 em 2010.

BOY, M. Entenda como um ransomware funciona e como se prevenir.

[2018]. Disponível em: . Acesso em: 10 ago. 2018.

BROWN, L.; STALLINGS, W. Segurança de computadores: princípios e

práticas. Rio de Janeiro: Elsevier, 2014.

CHAIM, R. M. Modelagem, Simulação e Dinâmica de Sistemas (Notas

de Aula). Brasília: Departamento de Ciência da Computação do Instituto de
Ciências Exatas da Universidade de Brasília. 2010. 48 p.

CONHEÇA a ISO 27000: a família de normas que abordam a segurança

da informação. Deb SolutionsTI, 21 jul. 2015. Disponível em: . Acesso em: 14 fev.
2018.

76
 CPLP - Organismos Estratégicos de Controlo/Controle Interno da
Comunidade de Países de Língua Portuguesa. Manual De Controlo/Controle
Interno. Brasília: Controladoria Geral da União. Dezembro 2009. Disponível:
http://www.cgu.gov.br/eventos/SFC2009_CPLP/Arquivos/ManualControle.pdf.
Último acesso em fevereiro de 2011.

CPLP - Organismos Estratégicos de Controlo/Controle Interno da

Comunidade de Países de Língua Portuguesa. Manual De Controlo/Controle
Interno. Brasília: Controladoria Geral da União. Dezembro 2009. Disponível:
http://www.cgu.gov.br/eventos/SFC2009_CPLP/Arquivos/ManualControle.pdf.
Último acesso em fevereiro de 2011.

CURRY, I. An introduction to cryptography. Addison, TX: Entrust

Technologies, 1997.

DODT, C. Transformando sua política de segurança da informação em

um ativo estratégico. GRC: governança, risco e conformidade, 29 jun. 2011.
Disponível em: . Acesso em 8 mar. 2018.

DUNN, John. Auditing: Theory and Practice. UK: Prentice-Hall. 1991.

FARIA, R. G. L. Fundamentos de segurança da informação. Belo

Horizonte: Ânima, 2016.

FONTES, E. Praticando a segurança da informação. Rio de Janeiro:

Brasport, 2008.

FONTES, E. Praticando a segurança da informação. Rio de Janeiro:

Brasport, 2008.

FONTES, E. Segurança da informação: o usuário faz a diferença. São

Paulo: Saraiva, 2006.

GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de

computadores. Porto Alegre: Bookman, 2013.

77
 GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de
computadores. Porto Alegre: Bookman, 2013.

GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de

computadores. Porto Alegre: Bookman, 2013.

IMONIANA, J. O. Auditoria de sistemas de informação. 2. ed. São Paulo:

Atlas, 2008.

ITGI - IT Governance Institute. COBIT ® MAPPING: Overview of

International IT Guidance. EUA: ITGI. 2004.

ITGI - IT Governance Institute. COBIT® 3rd Edition Audit Guidelines. EUA:

ITGI. 2000.

ITGI - IT Governance Institute. COBIT® 4.0. Control Objectives,

Management Guidelines and Maturity Models. EUA: ITGI. 209 p. 2005.

LENTO, L. O. B.; GUIMARÃES, M. G. Auditoria de segurança da

informação: livro virtual. Palhoça: Unisul Virtual, 2012.

LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de

Janeiro: Ciência Moderna, 2008.

MCCARTHY, N. K. Resposta a incidentes de segurança em

computadores: planos para proteção de informação em risco. Porto Alegre:
Bookman, 2014.

MCCARTHY, N. K. Resposta a incidentes de segurança em

computadores - planos para proteção de informação em risco. Porto Alegre:
Bookman, 2014.

PEIXOTO, M. C. P. Engenharia social e segurança da informação. Rio

de Janeiro: Brasport, 2006.

PENTEST GEEK. GPG errors while updating kali linux. 2018. Disponível
em: . Acesso em: 30 nov. 2018.

78
 PMI - Project Management Institute. PMBOK: Guide to the Project
Managament Body of Knowledge. EUA: PMI. 2004.

PRITCHETT, W. L.; SMET, D. Kali Linux CookBook. Birmingham: Packt,

2013.

RODRIGUES, Roberto Wagner da Silva. AUDITORIA E CONFORMIDADE

DE SEGURANÇA DA INFORMAÇÃO. [S. l.: s. n.], 2011.

SPEEDY. CMS Identification Menggunakan whatweb. 2011. Disponível

em: . Acesso em: 30 nov. 2018.

WIKIWAND. Cifra de substituição. [2018]. Disponível em: . Acesso em: 10

ago. 2018.

79