Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria e Controles de Segurança Da Informação
Auditoria e Controles de Segurança Da Informação
SUMÁRIO
1 INTRODUÇÃO..................................................................................... 5
3.1.5 Kerberos....................................................................................... 16
2
5 TECNOLOGIAS PARA A IMPLEMENTAÇÃO DE SEGURANÇA
LÓGICA FÍSICA .................................................................................................... 31
8 CRIPTOGRAFIA ASSIMÉTRICA....................................................... 61
3
9 PROCESSO DE AUDITORIA DE SEGURANÇA DA
INFORMAÇÃO........ .............................................................................................. 67
4
1 INTRODUÇÃO
Prezado aluno!
5
2 SEGURANÇA DA INFORMAÇÃO
2.1 Conceito
6
não somente ataques virtuais, como, vírus, spywares, malwares em geral, como
também usabilidade, acessos, contratos e restrições a informações, tanto virtual
como fisicamente (SAGAH,2020).
7
Fraude: pode-se considerar fraude ou scan vários tipos de ataques,
o mais comum deles é o PHISHING, em que o criminoso cria um site
falso oriundo de um site verdadeiro e envia um link falso para a vítima
que, ao acessar o link pensando ser o site verdadeiro, insere os
dados reais, permitindo o acesso a informações sigilosas por
pessoas mal-intencionadas. Para evitar esse tipo de ataque é
necessário uma conscientização dos usuários para não abrirem e-
mails e nem links estranhos.
Worm: worms, ou vírus, são softwares desenvolvidos especialmente
com o intuito de causar algum dano ao computador, smartphone,
tablet, etc. da vítima. São criados para monitoramento, espionagem,
roubo de informações e outras infinitas possibilidades. A melhor
forma de prevenção é utilizar um antivírus atualizado e aplicar
políticas de não acesso a programas estranhos.
Para montar uma boa política de segurança é preciso seguir quatro passos,
conforme você verá a seguir.
8
Passo 1 — planejamento: é preciso fazer inicialmente um
levantamento de todos os dados e informações que devem ser
protegidos, envolvendo alguns funcionários para o correto
entendimento de todo o fluxo da informação. É importante também
que a diretoria seja notificada e possa acompanhar o andamento da
política de segurança.
9
Figura 02 - Ilustração em forma de pirâmide dos principais itens de
elaboração da política de segurança.
10
Assinatura digital: a assinatura digital é um meio pelo qual a
informação é criptografada e continua sendo legível, mas não pode
ser modificada.
11
Vulnerabilidades humanas: ninguém está 100% seguro quando
lida com informações em meios tecnológicos, pois falhas humanas
podem ocorrer quando um usuário acessa um link suspeito, abre um
e-mail indevido ou, até mesmo de forma intencional, causa uma
quebra de segurança. Sendo intencional ou não, é preciso estar
atento para evitar falhas humanas.
12
Uma auditoria de rede eficiente começa com uma análise da documentação
de rede disponível, já que uma boa documentação agiliza a solução de possíveis
problemas. Outro processo de auditoria está relacionado à inspeção da
infraestrutura física, verificando o inventário e o cumprimento dos padrões de rede,
o que inclui roteadores, switches de localização e armários. Se houver alguma
mudança na infraestrutura, a documentação deve ser atualizada (SAGAH,2020).
A auditoria de rede deve incluir a verificação de configurações de hardware
documentada e a medição do desempenho de rede para garantir que os roteadores
e switches estejam trabalhando em potência máxima. Além disso, existem softwares
ou suítes de softwares que auxiliam na auditoria, na criação do inventário e da
documentação, no monitoramento de rede e nos relatórios das ações em rede
(SAGAH,2020).
Softwares de auditoria são instrumentos de que o auditor dispõe para atingir
as metas que define no planejamento de auditoria, independentemente do tipo de
auditoria praticada. Segundo Imoniana (2008) e Lyra (2008), os softwares de
auditoria podem ser classificados em generalistas, especializados e de utilidade
geral (SAGAH,2020).
13
reduz a dependência do auditor em relação ao especialista de
informática.
14
3.1.3 Ferramentas de utilidade geral de auditoria
15
acesso a relatórios que mostram o nível de acesso aos
computadores, como horários de logins e logouts.
3.1.5 Kerberos
16
Para realizar uma autenticação segura, o Kerberos usa uma terceira parte
de confiança conhecida como centro de distribuição de chave, formado por dois
componentes, geralmente integrados em um único servidor:
17
O protocolo Kerberos foi projetado para ser seguro mesmo quando usado
em uma rede insegura. Como cada transmissão é encriptada usando uma chave
secreta apropriada, um invasor não consegue forjar um tíquete válido para obter
acesso não autorizado a um serviço sem comprometer uma chave de encriptação
ou quebrar o algoritmo de encriptação em uso, que se assume como seguro. Além
disso, foi projetado para proteger contra ataques de repetição, em que um atacante
espiona comunicações Kerberos legítimas e retransmite mensagens de uma parte
autenticada para realizar ações não autorizadas (SAGAH,2020).
Contudo, ao mesmo tempo que fornece forte segurança, tem algumas
fragilidades, como seu único ponto de falha: se o Centro de Distribuição de Chaves
(KDC) fica indisponível, o esquema de autenticação para toda a rede pode parar de
funcionar (SAGAH,2020).
Para uma auditoria que garanta a segurança dos seus resultados, podemos
realizá-la por meio de testes, como o conhecido teste de penetração (SAGAH,2020).
Um teste de penetração consiste em uma auditoria prática que objetiva
simular um ataque real. Esses testes podem ser intrusivos em uma organização,
envolvendo exploração de vulnerabilidades e negação de serviço acidental a
usuários. É de extrema importância que os auditores (quem realiza a auditoria)
tenham permissão explícita adequada dentro da organização a respeito do trabalho
em questão, além de explicarem aos usuários da rede os tipos de ataques que serão
efetuados e quais de seus efeitos colaterais são considerados aceitáveis à rede.
Sem autorização, qualquer dano causado será responsabilidade dos auditores
(SAGAH,2020).
Em geral, o processo de teste de penetração pode ser dividido em três
grandes fases:
18
O auditor deve obter o máximo de informação possível a respeito da
topologia da rede-alvo, uma fase conhecida como descoberta da
rede ou enumeração de host. Auditores podem determinar quais
hosts são acessíveis pela internet, usando técnicas como varredura
de ping (emitindo um comando ping para faixas de endereço IP e
registrando as respostas) e pela investigação da informação de
registro de nomes de domínio e resolução DNS. Nessa fase, é ideal
que os auditores determinem quais hosts podem ser alvos
promissores nos estágios de testes posteriores.
19
técnicas foram usadas para atacar a rede-alvo e quais as vulnerabilidades ou más
configurações permitiram ao auditor obter acesso a recursos restritos. Ao fim do
teste, o auditor deve fornecer essa informação aos administradores da rede e
sugerir medidas de mitigação que possam defender contra futuras tentativas de
exploração (SAGAH,2020).
Conforme Lento e Guimarães (2012), a partir do trabalho do auditor,
verifica-se se os processos estão sendo executados correta e constantemente.
Além disso, pode-se verificar se têm sido executados de maneira preventiva ou
corretiva, como também se são independentes.
O objetivo principal do teste de penetração, ou teste de intrusão, consiste
em detectar o grau de vulnerabilidade dos sistemas do cliente e avaliar sua
capacidade de detecção diante de ataques externos. Dessa forma, é possível
avaliar o risco enfrentados pelos sistemas conectados à internet e as possibilidades
reais de acessar, interceptar e modificar a informação crítica da empresa
(SAGAH,2020).
Entre os benefícios diretos desse serviço, podemos destacar:
20
3.3.1 Kali Linux
21
3.3.2 WhatWeb
22
Constituem outras ferramentas de auditoria de rede:
23
alerta para os usuários quando há erro nos servidores, aplicativos,
switches e serviços, e uma segunda notificação quando da resolução
do problema. São em torno de 500 plugins para monitoramento e
uma de suas principais funções é a facilidade em definir o que está
diferente quando aparece um problema de desempenho. Isso
permite ter uma maior visibilidade sobre o que mais importa naquele
momento;
24
4.1 Elementos de segurança lógica física
25
Outro elemento que caracteriza a segurança física e que desempenha um
papel primordial no assunto da segurança são os periféricos que podem ser
explorados para roubo de informações. Aqui incluem-se telefones, impressoras e
gaveteiros, os quais precisam ser pensados sob o enfoque da segurança. Armários
que guardam documentos sensíveis ao negócio organizacional, sem a devida
proteção, são um convite aos mal-intencionados (SAGAH,2020).
Talvez o excesso de preocupação possa parecer exagerado, mas um
exemplo interessante quando se fala em segurança pode ser resgatado das ideias
de McCarthy (2014), que afirma que, por ter passado muito tempo nas forças
armadas, vivenciou um universo de planejamentos que é amplamente
desconhecido pela população. Segundo o autor, o fato de se ter um ou muitos
planos prontos não significa necessariamente que eles (ou um em especial) serão
utilizados obrigatoriamente. No entanto, elaborar um plano de respostas para
qualquer incidente significa que, em algum momento, considerou-se, pela
perspectiva do risco, que ele poderia se concretizar (SAGAH,2020).
Outro ponto significativo é que, por mais detalhista que seja o plano, ele
certamente não terá todas as respostas para todas as perguntas. Finalmente, um
ponto muito relevante do plano de segurança é a sua própria elaboração. Por mais
que ele não dê conta de todas as possibilidades de risco, isso não é desculpa para
que não seja elaborado. Aqui é importante termos consciência de que mais
importante do que o planejamento é a execução (SAGAH,2020).
Ao tratar do assunto da segurança, Fontes (2008) enfoca a informação no
ambiente corporativo, defendendo a ideia de que a informação é um recurso
essencial para a organização, independentemente do seu porte e de sua atuação
no mercado. Ela é importante para as decisões diárias da corporação, para a
continuidade dos negócios e, acima de tudo, para a elaboração da estratégia
empresarial. Nesse sentido, é fundamental o entendimento dos três itens listados a
seguir:
26
1. Confidencialidade da informação (sigilo), ou seja, a garantia de que
os dados são protegidos contra acessos não autorizados, além de
sua privacidade.
2. . Disponibilidade da informação, ou o conceito de que a informação
precisa ser acessível para os que dela precisam. Nesse sentido, é
necessária uma boa política de segurança e de backup dos dados
organizacionais, além de um plano de continuidade.
27
ambiente. Outros sensores podem fazer uso do ultrassom, emitindo pulsos sonoros
inaudíveis sempre que uma atividade suspeita é confirmada. Há ainda sistemas de
detecção que utilizam alarmes, os quais podem ser sinais de alerta para as equipes
de segurança, podendo, dependendo do protocolo de segurança vigente, ativar
mecanismos de bloqueio para trancar o invasor no local ou para proteger
fisicamente os recursos sob ataque (SAGAH,2020).
Logicamente, qualquer mecanismo de segurança pode falhar. O sistema de
videomonitoramento também não está isento de falhas. Um intruso, se conhecer
bem o funcionamento de tal sistema, pode promover medidas para anular a eficácia
do sistema para ser bem-sucedido na intrusão. O invasor pode, por exemplo, se
manter em uma área fora da cobertura da câmera e até mesmo destruí-la, se for o
caso. Em sistemas que usam sensores infravermelhos de movimento, o invasor
pode usar um material que impeça a dissipação do calor. Já os sistemas que usam
sensores ultrassônicos podem ser anulados com uso de materiais de abafamento
de ruídos (SAGAH,2020).
Como é possível observar, qualquer sistema tem suas fragilidades. Por isso,
uma medida mais segura para tornar a invasão mais difícil é o uso de diversas
tecnologias de segurança combinadas. Contudo, por mais que se utilize dezenas
de combinações de tecnologias de segurança para minimizar os riscos de invasão,
podendo aumentar expressivamente os gastos com esse tipo de sistema em uma
organização, um componente simples pode fazer cair por terra todo o esquema de
segurança: o componente humano (SAGAH,2020).
28
sendo é um fator preponderante, um elo essencial na corrente da segurança
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005).
Os ataques de engenharia social exploram a ingenuidade, ou a confiança,
do usuário para obter informações privilegiadas de acesso a sistemas, dados de
cartão de crédito, login e senha, entre outros dados, para favorecer o intruso em
seu ataque. Os humanos podem ser enganados facilmente em virtude de uma série
de fatores, como falta de treinamento, falta de discernimento, distração e muitos
outros, cujos riscos podem ser minimizados significativamente se a organização
tiver uma política de segurança. Engenheiros sociais têm uma grande capacidade
de persuasão e altíssima facilidade de comunicação, requisitos essenciais para
quem deseja obter informações de forma voluntária, driblando os altos esquemas
tecnológicos de segurança pela exploração do seu componente mais fraco na
cadeia de segurança, que é o fator humano (SAGAH,2020).
Além da segurança lógica e física, a segurança humana não pode, de forma
alguma, ser ignorada. O fator humano é um canal vulnerável e sempre explorado
por engenheiros sociais. Há muitos outros vetores de vulnerabilidade; Peixoto
(2006) destaca, por exemplo, as vulnerabilidades naturais, as de mídia e as de
comunicação. Entretanto, entre as dimensões das vulnerabilidades, o autor destaca
o fator humano como o mais crítico, concordando com a ótica de Goodrich e
Tamassia (2013).
O vetor humano é composto por todos os recursos humanos presentes na
organização, principalmente os colaboradores que têm acesso aos recursos de TI,
independentemente de seu uso (na condição do profissional que mantém a TI
funcionando ou do profissional que utiliza a TI na forma de programas para suas
atividades profissionais). Por isso é fundamental que se entenda o vetor humano
pela perspectiva de risco, como se reage a algum incidente de segurança, ou como
os colaboradores em uma organização são instruídos em segurança da informação.
Se programas de treinamento em segurança são esporádicos ou nunca ocorrem na
empresa, os funcionários certamente serão iscas fáceis aos engenheiros sociais
(SAGAH,2020).
29
Vazamentos de dados podem acontecer independentemente da ação de
engenheiros sociais, hackers ou espiões industriais. Colaboradores mal instruídos
representam potenciais riscos de vazamento dentro das organizações. Para
endereçar esse assunto, pode ser muito útil um documento que ajuda a minimizar
os usos indevidos dos recursos de TI pelos colaboradores: a norma de utilização de
recursos. Esse documento pode ajudar porque ele conscientiza os funcionários
sobre as boas práticas em suas atividades diárias, por exemplo. Entre essas
práticas destacam-se a não inserção de dados pessoais em mensagens eletrônicas
sem qualquer proteção, ou o envio de anexos de documentos importantes sem
criptografia (SAGAH,2020).
Outro incidente a ser evitado a partir de uma boa prática que está prevista
em uma norma de utilização de recursos é a verificação da lista de destinatários em
mensagens eletrônicas. O recurso de “responder a todos” do e-mail representa um
grande risco, porque a mensagem pode facilmente tomar um rumo ao longo do
tempo na execução do serviço que não justifique mais o uso da mesma lista original
de destinatários. Uma licitação, por exemplo, pode fornecer publicamente dados de
preços e condições de serviço para os concorrentes (SAGAH,2020).
Há ainda outro recurso presente nos programas de correio que deve ser
observado pelo componente humano: o autopreenchimento de e-mails. Se o
remetente não observar com atenção o endereço eletrônico do destinatário, o
vazamento de um segredo de negócio pode ser configurado e a organização ter
sérios problemas para explicar o fato perante o cliente (SAGAH,2020).
Mais um exemplo de incidente causado pelo fator humano que poderá ser
minimizado: a proibição, dentro da norma de utilização de recursos, de instalar
programas não autorizados em notebooks fornecidos pela organização em
esquema de comodato. Normalmente, os prejuízos decorrentes dessa ação são a
instalação de programas maliciosos que podem vir embarcados no aplicativo
instalado, instalação de programas piratas, além de eventuais lentidões causadas
no equipamento após a instalação. Neste caso, o colaborador deve ser
responsabilizado pelo ato (SAGAH,2020).
30
5 TECNOLOGIAS PARA A IMPLEMENTAÇÃO DE SEGURANÇA LÓGICA
FÍSICA
31
Uma fechadura de pinos, quando não está com a chave, representa o
estado (1). As pilhas de pinos são pressionadas pelas molas para o sentido inferior,
evitando que o cilindro da fechadura seja rotacionado. O esquema (2) mostra que
os dentes da chave correta empurram a pilha de pinos, alinhando os cortes das
pilhas de pino com as pilhas de corte, permitindo que o cilindro seja rotacionado e
o cadeado, aberto (3).
Fechaduras tubulares
32
Fechaduras de combinação
33
Figura 09 - Fechadura de combinação eletrônica.
5.2 Cofres
34
caso dos cofres, eles têm suas classificações pautadas quanto ao tempo em que
um especialista necessitaria para abri-lo, considerando abordagens destrutivas e
não destrutivas. Os seus proprietários são alertados para garantir que o tempo
médio de resposta ao alarme do cofre seja bem menor do que o tempo médio
requerido para que um intruso consiga arrombar o dispositivo (SAGAH,2020).
A tecnologia da informação e da comunicação vem, continuamente,
implementando algoritmos de segurança em dispositivos físicos para garantir que
acessos indevidos sejam bloqueados, operações inconsistentes não sejam
efetivadas em nome de terceiros, documentos sigilosos não sejam acessados sem
as devidas permissões etc. A seguir, serão apresentadas algumas dessas
implementações de segurança que versam sobre a autenticação, ou seja, algo que
a pessoa possui (ela prova ser realmente quem afirma ser) (SAGAH,2020).
Criados no final dos anos 1960, os cartões com tarjas magnéticas têm sido
utilizados em diversas operações financeiras, como débito e crédito, em
35
estabelecimentos comerciais. Os cartões são de baixo custo e são fáceis de ler, por
isso se popularizaram (SAGAH,2020).
Assim como qualquer outro dispositivo, eles também apresentam
vulnerabilidades. Um ladrão pode facilmente clonar um cartão se utilizar um
gravador de tarja magnética para gravar os dados dos cartões que registram as
operações nesse dispositivo. Diversos são os exemplos difundidos na mídia que
relatam esse tipo de crime. Muito embora os cartões de tarja magnética já tenham
sido substituídos por outros cartões mais seguros, eles ainda podem ser usados
para autenticações, como, por exemplo, em empresas, para registrar o ponto de
seus trabalhadores (SAGAH,2020).
5.5 Smartcards
5.6 RFID
36
pequenos comerciantes também podem usar RFID para acompanhar os produtos
que estão vendendo mais. Empresas também usam esta tecnologia para registrar
seu inventário. Outra aplicação é para rastreamento de documentos dentro das
organizações, dando visibilidade ao seu fluxo entre os setores dentro da empresa
(SAGAH,2020).
Muitas aplicações baseadas em código de barras estão sendo substituídas
por RFID, pois sua grande vantagem sobre é que os chips são muito mais difíceis
de copiar do que a tinta do código de barras no papel (SAGAH,2020).
5.7 Biometria
Este tipo de técnica tem sido utilizado com bastante frequência no campo
da segurança digital, pois utiliza as características biológicas ou físicas da pessoa.
A biometria pode ser usada como um mecanismo de identificação única ou como
um recurso para complementar a identificação de alguém (SAGAH,2020).
De acordo com Goodrich e Tamassia (2013), para uma biometria ser
considerada um recurso de identificação a partir de determinada característica
(impressão digital, por exemplo), existem diversos requisitos a serem atendidos,
listados a seguir:
37
Neste capítulo, você viu que o assunto “segurança lógica física” é extenso
e se expande para além da segurança digital. De nada adianta a organização ter
modernos hardwares e softwares de segurança se o componente humano ou os
aspectos físicos não forem observados. A segurança é uma responsabilidade, um
dever de todos em uma organização, e merece ser estudada em profundidade
(SAGAH,2020).
6 PLANO DE CONTINGÊNCIA
38
6.1 Características de planos de contingência para incidentes de segurança
39
de como sua oferta de produtos ou serviços aos clientes será afetada no período da
adversidade (SAGAH,2020).
Adicionalmente, a organização poderá instruir os responsáveis que
combaterão a crise a proteger aquilo que realmente interessa à empresa. Pode ser
a marca da organização ou outros aspectos da propriedade intelectual (uma
patente, por exemplo). Entretanto, um fator muito importante durante o momento da
crise é a unidade de comando. Sem planejamento e com muita gente querendo
tomar a melhor decisão, a organização pode, como já vimos, se paralisar — e pior
do que tomar uma decisão errada é não tomar decisão alguma (MCCARTHY, 2014).
Um princípio sólido da disciplina de gestão da segurança da informação é
que as organizações adotem medidas de proteção, detecção e medidas corretivas
para o resguardo da confidencialidade, integridade e disponibilidade de suas
informações. O planejamento é de suma importância e, para ser eficaz, ele precisa
ser testado e atualizado constantemente (FONTES, 2008). Outro ponto muito
importante a ser destacado é que a segurança da informação é um dever de todos,
e não somente da área de tecnologia da informação (TI). Portanto, o plano de
segurança da informação, bem como o seu plano de contingência, deve ser
conhecido por todos em uma empresa (SAGAH,2020).
Antes de a empresa se dedicar à tarefa de elaboração de um plano de
contingência, é importante verificar qual problema exatamente deseja resolver. Se
um risco ocorrer, quem será afetado dentro da empresa? Qual será o impacto dentro
da corporação, caso não haja uma resposta? Para desenvolver um plano de
contingência, o requisito mais importante é que haja o apoio incondicional da alta
administração. Se a camada executiva não estiver realmente engajada no assunto,
é melhor não seguir em frente, pois certamente será tempo gasto em vão. Nesse
caso, o apoio deve ser do presidente ou do vice-presidente da empresa. No caso
de um plano que envolva violação de dados, certamente outros personagens
entrarão em cena, como o diretor de segurança da informação/ diretor de segurança
e o diretor de informações (SAGAH,2020).
A tarefa é árdua porque, dentro das organizações, há outras prioridades
concorrentes que envolvem o dia a dia da empresa, as atividades que são
40
realizadas para gerar lucro organizacional ou, em casos mais extremos, o apagar
de incêndios com o qual muitos colaboradores se envolvem diariamente. Ademais,
pouca gente enxerga valor em um plano de contingência que só será disparado se
houver um sinistro. Na cabeça de muitos gerentes e até mesmo diretores fica a
pergunta: por que gastar dinheiro em algo que só talvez, algum dia, se houver algum
descuido, acontecerá? Certamente há muitas outras prioridades que merecem
atenção (SAGAH,2020).
Lamentavelmente, grande parte das empresas só enxerga o valor de um
plano de contingência quando o sinistro, de fato, acontece e ninguém sabe o que
fazer. As operações mais importantes da organização param e os prejuízos podem
levar a empresa à falência. Mas depois que a porteira foi arrombada, do que adianta
comprar o cadeado?
O desafio se mostra desde o início do planejamento da contingência, pois,
se os apoiadores são da alta administração, certamente eles terão pouco tempo
para se dedicar à análise de um plano de contingência. Felizmente há uma saída
para isso. Após sensibilizar a camada de governança da empresa para a
necessidade de elaboração de um plano de contingência, será fundamental que
eles tomem conhecimento da evolução da construção do plano ao longo do caminho
de forma frequente. Nesse caso, reuniões serão necessárias, mas aqui o ponto
fundamental é que o tempo gasto nessas reuniões seja breve e investido de forma
sábia (SAGAH,2020).
Um recurso muito utilizado em metodologias ágeis são as stand-up
meetings, ou reuniões em pé. São reuniões curtas, que duram 15 minutos, que
ocorrem todos os dias entre os membros de um time, que permanecem o tempo
todo de pé. Esse princípio pode ser adaptado a qualquer empresa,
independentemente do seu tamanho e área de atuação, e utilizado para tornar os
encontros mais produtivos e o planejamento, mais eficaz. Evitar reuniões em salas
confortáveis, com café e água à disposição, pode ajudar. Pode parecer meio
estranho, mas quando se está em uma cadeira confortável com serviço de copa à
disposição, o risco de se desviar do assunto a ser tratado é grande. O responsável
41
pela elaboração do plano de contingência precisa ser focado e mostrar aos
executivos que suas reuniões, de fato, não são tempo jogado fora (SAGAH,2020).
42
Os recursos, em sua totalidade, estavam prontos para a resposta em caso
de ataque à rede. De fato, houve o ataque e, como a empresa já estava preparada,
a execução do plano ajudou a organização a lidar com o maior ataque por e-mail
em quase dez anos. Embora seja pouco conhecido das pessoas, esse fato
comprova que um plano de contingência é extremamente útil não somente para a
reação ao sinistro (SAGAH,2020).
McCarthy (2014) introduz ideias relevantes para a construção de um plano
de contingências. A primeira delas é uma discussão sobre os seguintes tópicos:
43
Figura 10 - Topologia de execução e comando do plano.
44
Toda essa documentação deve ser examinada pelos especialistas da
organização, que são da área de negócios, pois eles é que são capazes de avaliar
os impactos e suas consequências quando uma ameaça se concretizar. A TI só
implementa, na forma da tecnologia, o desejado pela área de negócios na hora de
dar a continuidade a um serviço quando a ameaça se concretizar. E, quando a
ameaça se concretiza, é fundamental saber quem faz o que e quando durante a
crise. Ao fim da crise, será hora de avaliar o aprendizado, o que saiu bem e o que
não foi exemplar e, a partir dessas entradas, melhorar o plano com as lições
aprendidas (SAGAH,2020).
Mas o que devemos elencar em um plano de contingência? O objetivo do
plano é reduzir ao máximo as consequências negativas para a empresa. Neste
sentido, o risco deve ser quantificado de forma a listar as prioridades a serem
tratadas como preparo à continuidade do negócio. McCarthy (2014) sugere uma
fórmula simples:
45
6.3 Organização de processos de manutenção para planos de contingência
46
contenção funcional, defendida por McCarthy (2014). Para entendê-la, o exercício
do vírus pode ajudar bastante. Se um vírus se espalhar rapidamente pela Ásia e as
autoridades de outros continentes desejarem proteger suas populações, a medida
de contenção seria o rompimento da conexão com o continente asiático, o que tem
reflexos imediatos nas viagens de avião (SAGAH,2020).
Com a possibilidade de equipamentos como smartphones e laptops
individuais acessarem a rede corporativa a partir da rede de casa ou de outros locais
fora da empresa, as superfícies de ataque se multiplicam consideravelmente. No
momento em que ocorre uma deflagração de um vírus global, esses dispositivos
portáteis poderiam ser impedidos de se conectarem à rede como uma medida de
contenção. Muito embora o bloqueio possa ser fácil de compreender, ele não
necessariamente será fácil de implementar — e não por conta da tecnologia. Há
que se considerar, por exemplo, o impacto da contenção, pois o custo da “cura”
pode ser mais alto do que o da “doença”, dependendo do tempo de retenção
(SAGAH,2020).
Naturalmente, o exemplo é um entre muitos inputs para a melhoria de um
plano de contingência. O plano de resposta a emergências deve ser mantido em
outras frentes também, como operações de backup, recuperação pós- -desastre
para sistemas de informação organizacionais, entre outras (BROWN; STALLINGS,
2014).
Muito embora a manutenção objetive a melhoria contínua de um plano de
continuidade de negócios, é fundamental que, após uma crise, haja um
planejamento para trazer a organização de volta à normalidade. Esse plano é
conhecido como PRD, ou plano de recuperação de desastres. Neste tipo de
planejamento estão contempladas catástrofes naturais, problemas derivados de
manutenção ou ações de hackers. Nesse sentido, há opções como backup para a
recuperação de dados (SAGAH,2020).
Quando se fala em backup, é fundamental envolver todos na organização
para um fato extremamente simples, mas que pode ser fatal na hora de recuperar
documentos importantes após um desastre: o local de armazenamento nas
estações locais. Há usuários que insistem em salvar documentos corporativos em
47
seus discos locais (C:) ou em pen drives, por exemplo, em vez de os salvarem nos
sistemas corporativos que estão cobertos pelo backup. Todos os usuários devem
ter ciência desse ponto — do contrário, a organização pode perder ativos de
informação importantes se sofrer um desastre. Por isso a segurança é assunto de
todos. Ignorar ações simples, como esse exemplo pode trazer consequências
expressivas para a empresa (SAGAH,2020).
Nos casos de sinistros, o backup precisa ser recuperado rapidamente para
que a organização possa voltar a funcionar em pouco tempo. Em algumas
organizações, é uma prática guardar as mídias de backup fora da organização (em
guarda externa). Para implementar uma política de recuperação de desastres, há
que se pensar em ferramentas adequadas para o sucesso do projeto. Para
recuperação de desastres em ambientes físicos e virtuais, a organização precisa
considerar, por exemplo, o arquivamento de suas cópias na nuvem, reduzindo
custos com servidores locais. Uma grande vantagem da nuvem é evitar que os
dados estejam vulneráveis às ocorrências de desastres naturais ou sinistros que
possam acontecer dentro da organização (SAGAH,2020).
Dependendo da criticidade do negócio, a antecipação é um fator mais do
que essencial. A contratação de um serviço de recuperação de desastres para o
caso de ataque de hackers pode ser a solução para garantir que a recuperação seja
imediata, além de garantir que todos os dados sejam recuperados e minimizar os
impactos negativos (SAGAH,2020).
Muitos são os desafios para garantir que os dados possam ser recuperados
no menor tempo possível. Um deles, por exemplo, envolve a aquisição de um
gerador de energia capaz de manter a organização funcionando em casos de queda
de energia. Para evitar problemas com operadoras de internet, a contratação de
duas operadoras é outro, pois se o serviço com uma operadora estiver indisponível,
a outra deve suprir a comunicação. Data centers, por exemplo, podem estar em
outro local geograficamente distante, para que a empresa tenha uma estrutura que
a atenda em situações de emergência. Neste ponto, a solução de cloud computing
(computação em nuvem) pode oferecer uma infraestrutura de TI on-line, segura e
com alta disponibilidade, para minimizar a obsolescência em ambientes cada vez
48
mais complexos e que demandam recuperação em tempos cada vez menores
(SAGAH,2020).
A obsolescência é um tema constante em TI. Por isso, uma análise profunda
de sua estrutura, de forma proativa, se faz necessária (estrutura de bancos de
dados, rede, equipamentos, etc.). Se a TI estiver desatualizada, ela não performará
no momento em que se fizer necessária. Por outro lado, há um custo de manter a
TI sempre atualizada com a última geração de sistemas e infraestrutura. Uma
análise de riscos sensata parece ser a opção mais razoável para que a TI esteja
pronta sem exigir, por parte da organização, um extremo esforço financeiro.
Para que não haja dúvida, é importante que se diferencie o PCN (plano de
continuidade de negócios) do PRD (plano de recuperação de desastres). O PCN
trata das contingências, dos caminhos alternativos a serem seguidos no caso de
uma crise, ou seja, ele é tratado antes do desastre. Já o PRD toma as medidas
necessárias para que a normalidade seja retomada enquanto a crise está em curso.
Para garantir um modelo sólido computacional, é essencial garantir as
propriedades de segurança que deverão ser asseguradas, antecipar os tipos de
ataque que poderão ser lançados e, então, desenvolver defesas específicas
(GOODRICH; TAMASSIA, 2013). Nesse sentido, é fundamental considerar também
a perspectiva do risco, pois um plano de contingência, em alguns casos, acaba por
ser uma extensão mais do que natural da gestão de riscos. Perceba que o
gerenciamento de riscos engloba a identificação daquilo que pode, em algum
momento futuro, afetar a organização. Entretanto, como é conhecido, várias
empresas não realizam a gestão de riscos e acabam por ter de lidar com os
desastres da forma mais traumática.
Há várias formas de tratar o risco, como as listadas a seguir:
49
Como pode ser percebido, um plano de contingência, apesar de ser simples
de entender, é difícil de elaborar e manter, pois envolve expressivos recursos dentro
da organização. É fundamental que haja o apoio incondicional da alta administração
para a sua criação; se ela realmente não se engajar no assunto, todo e qualquer
movimento em relação a um plano de continuidade de negócios será em vão.
50
maioria das vezes, eles acontecem por falhas na codificação ou outros tipos de
vulnerabilidades nos sistemas e serviços e, principalmente, por falhas humanas.
Isso se deve ao fato de que os sistemas são utilizados e desenvolvidos por
pessoas, então, se a preocupação com a segurança da informação não for levada
em consideração desde o momento da elaboração dos sistemas, a tendência é que
as falhas abram portas para possíveis ataques bem-sucedidos (SAGAH,2020).
Uma vulnerabilidade, seja qual for o seu tamanho ou a sua origem, seja
humana, tecnológica, financeira, ou de processos, possibilita que as falhas
aconteçam e que, por consequência, indivíduos mal-intencionados consigam atacar
as organizações e disponham das informações organizacionais da forma como
desejarem. Vários são os tipos de prejuízos causados para a organização, que
podem envolver desde a modificação, a perda ou o roubo de informações sigilosas,
até prejuízos financeiros ou de imagem perante as suas partes interessadas
(SAGAH,2020).
São incontáveis os casos de ataques bem-sucedidos feitos diariamente
contra organizações de todos os setores e portes. Esse tipo de fato transmite, para
todas as partes envolvidas com uma organização, um sentimento de insegurança e
descrédito, algo como se a empresa não se preocupasse com as informações que
mantém em seu poder. Por causa dessas inúmeras tentativas de ataques é que
existe a necessidade de se conhecer todos os pontos de vulnerabilidade e riscos
existentes. O objetivo desse levantamento é mitigar o risco de ocorrerem invasões,
roubo de informações e prejuízos para as empresas (SAGAH,2020).
As alternativas para tratamento das vulnerabilidades que permitem as
invasões às organizações tendem a ser padronizadas, uma vez que as causas dos
ataques giram em torno de causas humanas, como a engenharia social, as falhas
na codificação de sistemas, as configurações indevidas de serviços e controles de
acesso, entre outras. A Figura 11 mostra os incidentes de segurança da informação
mais frequentes no ano de 2014, conforme Faria (2016).
51
Figura 11 - Incidentes de segurança da informação mais frequentes em
2014.
52
Indisponibilidade de serviços: quando esse tipo de ataque
acontece, os serviços disponibilizados on-line, ou constantemente,
pela empresa, ficam indisponíveis para os usuários. Com isso,
podem ficar indisponíveis serviços como comércio eletrônico,
instituições financeiras e governamentais ou até mesmo servidores
locais, quando não estiverem protegidos adequadamente.
Dependendo do ataque, a credibilidade e a imagem da empresa são
diretamente atingidas, principalmente se o caso vier a público antes
que a organização tome conhecimento e consiga tomar alguma
medida para sanar o problema.
53
saibam como agir em caso de incidentes de segurança e para que
as operações da empresa sejam retomadas o mais rápido possível.
54
divertimento quanto para atividades que envolvem fi nanças e dados sigilosos
(SAGAH,2020).
As pessoas representam o fator essencial para que a segurança da
informação de uma organização seja bem-sucedida. A tecnologia existente para a
proteção dos dados e das informações traz a possibilidade efetiva de diminuição de
ameaças e vulnerabilidades, mas o que vai assegurar que se tire proveito do que a
tecnologia proporciona são os usuários (SAGAH,2020).
Existem alguns motivos, elencados por Fontes (2006), que explicam por que
é tão importante considerar o fator humano na segurança da informação das
organizações:
55
A prática de um invasor ou de um indivíduo mal-intencionado envolve
encontrar falhas em computadores, em redes ou em sistemas, para que ele possa
entrar no ambiente e dispor das informações da forma que melhor lhe convier. O
fato é que essa atividade se torna muito mais fácil quando ele consegue enganar
os usuários que estão por trás dos computadores e dos sistemas. É por conta disso
que pode se observar nos últimos anos um aumento considerável nos ataques, ou
nas tentativas de ataques, que envolvem engenharia social. Por meio dela, o invasor
convence o usuário a executar alguma ação que lhe vai possibilitar a entrada na
rede, a infecção das máquinas com programas maliciosos e a exposição das
informações guardadas (SAGAH,2020).
É provável que, durante um ataque que envolve características de
engenharia social, o usuário nem fique sabendo que as suas ações causaram algum
dano e permitiram o ataque, pois o criminoso explora a inocência e a ingenuidade
da sua vítima, que entende estar agindo por bem, e nunca para causar algum mal
à empresa ou a si própria (SAGAH,2020).
A estratégia mais comum utilizada pelo engenheiro social é obter, antes do
ataque, informações sobre a sua suposta vítima, como local de trabalho, idade,
gostos, instituição bancária do qual é cliente, opções de lazer, entre outras. Partindo
disso, o invasor encontra motivos para tentar um contato com o usuário escolhido,
seja por telefone, e-mail, mensagem de texto, ou outro meio que a criatividade do
invasor permitir (SAGAH,2020).
No contato estabelecido, o invasor pode inventar para a sua vítima o
recebimento de algum brinde, super descontos em lojas de seu interesse, a
desatualização de algum programa utilizado no seu computador, a inclusão do seu
nome no cadastro de devedores, apenas para citar alguns exemplos do que pode
ser feito (SAGAH,2020).
O usuário, interessado em alguma vantagem oferecida, ou com medo de
que algo sério possa acontecer, quando o contato é feito por um órgão
supostamente oficial, cede às instruções do invasor, expondo informações que, em
outro contexto, não seriam divulgadas, ou ainda instalando programas em seu
computador que, caso a vítima refletisse um pouco mais, não seriam instalados.
56
Por mais que os usuários saibam que os ataques maliciosos às informações
estão cada vez mais comuns na atualidade e por mais que sejam cuidadosos na
maior parte do tempo, eles são humanos. Por isso, muitas vezes são movidos pela
emoção, pelo cansaço e pelo excesso de atividades do dia, ficando suscetíveis e
expostos a ataques, conforme expõem Albuquerque e Ribeiro (2002)
(SAGAH,2020).
Por conta disso, a área de segurança da informação das organizações
precisa, cada vez mais, de rigidez na sua estrutura, de um inventário das ameaças
e vulnerabilidades envolvendo seus processos, sistemas e rede, de medidas
capazes de identificar e-mails e sites falsos e, também, de uma definição concreta
dos níveis e dos perfis de acesso às informações organizacionais sigilosas
(SAGAH,2020).
Entretanto, acima de todas essas necessidades, está talvez a principal, que
é a de conscientizar os usuários acerca dos riscos e das ameaças de golpes e
invasões, e dos prejuízos financeiros e de imagem que podem ser experimentados
pela empresa, caso ocorra um ataque. É preciso elaborar campanhas educacionais
sobre a utilização dos recursos tecnológicos disponíveis, fazendo com que os
sistemas deixem de ser vistos como inimigos e passem a ser encarados como
ferramentas que vão auxiliar nas atividades, desde que bem utilizadas
(SAGAH,2020).
57
Por outro lado, é muito comum também o excesso de confiança das
empresas, que podem pensar que, pelo fato de as pessoas externas à sua
organização não conhecerem detalhes de sua infraestrutura de rede, recursos e
controles, ninguém terá interesse ou poderá invadi-la, levando a organização a
imaginar que seu nível de risco tende a zero (SAGAH,2020).
Nesse sentido, é muito importante que as organizações especifiquem com
o máximo de rigor possível a sua estrutura de segurança da informação, criando
sua política de segurança de informações, identificando todas as vulnerabilidades
possíveis, definindo os controles e elaborando suas estratégias de defesa. Feito
isso, é preciso elaborar formas de testes para colocar tudo isso em prática antes
que um indivíduo mal-intencionado efetue uma tentativa de invasão. É dessa forma
que a organização vai estar segura de que a sua estratégia de segurança de
informação é eficiente (SAGAH,2020).
Esse tipo de teste vai servir para elencar vulnerabilidades e ameaças, por
meio de simulações de ataques aos ativos da organização, seus sistemas,
processos e equipamentos. É fundamental que os profissionais da área de
segurança da informação participem dos testes, juntamente com representantes
das diversas áreas e da gestão da empresa (SAGAH,2020).
Ao longo dos procedimentos de testes, é possível identificar e avaliar
vulnerabilidades e falhas, analisando-as quanto aos atributos de disponibilidade,
confidencialidade e autenticidade, que dizem respeito à segurança da informação.
Durante os testes de segurança da informação é preciso documentar todas
as informações obtidas, elaborando um inventário de todos os resultados
conseguidos. Cada atividade dos procedimentos de testes deve ser documentada
com detalhes de dia, hora, atributos do remetente e do destinatário das mensagens,
sejam eles internos ou externos, e ainda todas as técnicas, os métodos e as
tecnologias empregadas nos testes (SAGAH,2020).
São muitas as técnicas disponíveis para utilização durante os testes de
segurança da informação, e a sua escolha deve levar em consideração as
características da organização, para que possam ser simuladas todas as
possibilidades de invasão por indivíduos maliciosos (SAGAH,2020).
58
Por isso, antes de serem iniciados os procedimentos de testes, é necessário
fazer o seu planejamento, que vai envolver a criação de um modelo ou do método
para a execução dos testes. Nesse momento, serão verificados itens como os
recursos humanos, os equipamentos, os tipos de ataques e as formas de atuação
possíveis (SAGAH,2020).
De acordo com Faria (2016), dentre os métodos possíveis para utilização
nos procedimentos de testes de segurança da informação, estão:
59
quando os usuários informam algo e não existe tratamento adequado
para a informação inserida. Dessa forma, o indivíduo mal-
intencionado poderia inserir informações a serem tratadas pelo
servidor, por meio de cookies ou outros tipos de parâmetros, com o
objetivo de provocar mau funcionamento no servidor da rede,
expondo as informações e permitindo sua alteração, extravio ou
roubo.
60
tornará possível antever problemas reais e gerenciar as vulnerabilidades da
empresa, demonstrando a preocupação com a segurança das suas informações.
8 CRIPTOGRAFIA ASSIMÉTRICA
61
A encriptação é a transformação dos dados, tornando-os ilegíveis para
pessoas não autorizadas, e também é conhecida como codificação. A
desencriptação é a operação que reverte estes dados ao formato original,
permitindo assim a sua leitura, e também é conhecida como decodificação.
A criptografia utiliza-se de chaves e algoritmos para efetuar o seu papel.
São tipos de criptografia:
criptografia hash;
chaves simétricas;
chaves assimétricas;
combinação dos tipos.
62
Quadro 01 - Resumo do uso de chaves públicas e privadas na criptografia
assimétrica
Diffie-Helman.
ElGamal.
63
Digital Signature Standard (DSS).
RSA.
Cifra de César.
64
A Cifra de César foi um dos primeiros sistemas de criptografia. Recebeu
este nome pois foi elaborado pelo general Júlio César, no império Romano. Foi
utilizado em combate pela Europa. Esta técnica baseia-se em efetuar a troca das
letras do alfabeto.
O algoritmo RSA traz no seu nome as iniciais dos seus criadores. É um dos
algoritmos de criptografia assimétrica mais utilizados. Sua lógica baseia-se na
multiplicação de dois números primos. O resultado desta multiplicação é o que
deverá ser utilizado para descobrir os outros dois números e assim decifrar a chave
(SAGAH,2020).
A sua segurança é baseada em operações matemáticas com números
primos grandes, conhecidas como problema de fatoração. Para decifrar a chave
privada é necessário a utilização de recursos computacionais muito grandes e o
usuário precisa calcular um par de chaves para ter acesso a mensagem: Calcular a
chave pública do usuário P e calcular a chave secreta Q (SAGAH,2020).
Ou seja, para trabalhar com as chaves é necessário escolher dois números
primos. Podemos chamar de P e Q. Para melhorar a segurança escolha números
grandes. Quanto maior, melhor.
65
8.2.1 Vantagens e desvantagens da criptografia assimétrica
66
Combinando as duas técnicas é possível cifrar um grande volume de informações
e distribuir com criptografia de chaves públicas (SAGAH,2020).
A Figura 14, a seguir, mostra como criptografar e descriptografar uma
mensagem utilizando a combinação dos dois métodos, para tirar o melhor proveito
de cada uma delas. Essa forma de combinar os dois métodos de criptografia tem
se tornado um padrão e sido adotado em vários produtos comerciais, pois consegue
resolver os problemas pertinentes às questões técnicas de cada método.
67
pelas organizações públicas que atuam como órgãos de controle interno e externo.
O modelo descrito a seguir é composto por 9 passos (Rodrigues, 2011):
69
da situação atual da organização, quanto à segurança da informação. Para realizar
exames aprofundados é preciso definir o que será auditado, que são os “objetos de
auditoria” (OA). Tais objetos são elencados e selecionados de acordo com o
contexto e os propósitos da auditoria. Em seguida são elencados “pontos de
controle” (PC) para cada objeto de auditoria selecionado. Um PC caracteriza
situações específicas que podem ser relacionadas a produtos, processos,
procedimentos, eventos ou qualquer outro item observável e relevante para uma
auditoria de segurança (Rodrigues, 2011).
São os objetos de auditoria e pontos de controle itens que, uma vez
categorizados, orientam as observações e testes da auditoria (Rodrigues, 2011).
Pontos de controle podem remeter a artefatos físicos, como placas de
sinalização e instalações físicas ou artefatos lógicos tais como senhas de acesso a
sistemas. Portanto, podem ser físico ou lógicos, tangíveis ou intangíveis. Desvios
ou percepções de riscos devem ser examinados para se identificar quais pontos de
controle têm relação com esses riscos, definindo seu grau de criticidade para a
segurança. A busca de “indícios” e “evidências” de situações de insegurança que
merecem atenção e sua correta interpretação pode levar a uma constatação ou
achado importante, desde que executados com métodos claros e reproduzíveis, e,
se for o caso, com métodos científicos (Rodrigues, 2011).
Modelos como o do COBIT (Control Objectives for Information Technology),
descrevem um conjunto de objetivos (objetos) de controle e pontos de controle,
típico de Organizações de Tecnologia da Informação. Note que nem todos os
objetivos declarados no COBIT 4.1 são relacionados à segurança da informação. O
modelo, em sua versão 4.1 (ITGI, 2007), apresenta 318 objetivos de controle
agrupados em 34 arquétipos de processos de organização de TI. Os 34 processos
organizacionais são agrupados em 4 domínios (Planejamento e Organização,
Aquisição e Implementação, Entrega e Suporte de Serviços de TI, além do
Monitoramento e Avaliação). Os 318 objetivos de controle são subdivididos
(implementados) com pontos de controle (chamados no COBIT de práticas de
controle).
70
9.4 Definição de Técnicas para Obter Evidências e Procedimentos de
Controle
71
permite obter evidências ou provas suficientes e adequadas para analisar as
informações necessárias à formulação e fundamentação da opinião por parte dos
auditores públicos.” Os procedimentos de controle são específicos para cada ponto
de controle, e descrevem os resultados que devem ser obtidos junto a cada ponto
de controle, por meio de testes. Cabe ao auditor escolher que tipo de teste vai
realizar, e os testes são estratificados em dois níveis de profundidade: os testes de
controle ou observação; e os testes substantivos ou de sondagem (Rodrigues,
2011).
Os testes de controle são executados por meio de observação do
funcionamento dos controles existentes, e visam obter razoável confiança de que
os controles estão em efetivo funcionamento e cumprimento (Rodrigues, 2011).
Cabe ao auditor avaliar o nível de risco tolerado (DUNN, 1991, p.111) para
emissão de sua própria opinião com o devido cuidado profissional, a fim de decidir
em que momento parar os testes.
Os testes substantivos demandam mais criatividade e esforço do auditor e
são aplicados quando há dúvidas acerca da adequação do controle já testado.
Várias técnicas, analíticas, de simulação (CHAIM, 2010) ou de ensaio podem ser
aplicadas para a realização de testes substantivos de segurança da informação,
como teste de vulnerabilidade, testes de penetração. Todas as técnicas, na área de
segurança da informação, estão de forma direta ou indireta associadas com a
análise e avaliação de riscos de segurança. Segundo ITGI (2000), os testes
substantivos visam documentar a vulnerabilidade e os riscos associados ao ponto
de controle.
Modelos de auditoria como o antigo manual de auditoria do COBIT 3.0
(ITGI, 2000), o livreto de padrões, guias e procedimentos de auditoria e controle do
ISACA (2009) apresentam um extenso conjunto de procedimentos que podem ser
empregados em auditoria de segurança da informação, para orientar a execução de
testes.
72
9.5 Montagem da Roteirização Detalhada
73
9.6.2 Papéis de trabalho
Para que a informação contida nos papéis de trabalho possa ser útil,
inclusive durante a fase de análise, é essencial a organização adequada da
documentação e das informações, por meio de instrumentos como índices, tabelas
de conteúdo, inclusive porque outros auditores que não participaram da coleta de
evidências deverão ter capacidade de avaliar ou participar do trabalho em momento
posterior (Rodrigues, 2011).
74
fatos constatados. Pode-se iterar e voltar a coletar e registrar novas evidências,
conforme se mostrem insuficientemente conclusivos os dados coletados. Isto
ocorre, sobretudo, quando não se tem experiência com o tipo de auditoria e os
objetos de controle auditados. A conexão lógica entre evidências, achados e fatos
pode ser estabelecida na roteirização detalhada, mas não deve ser considerada
como única fonte de achados. A roteirização serve como instrumento para guiar o
julgamento do auditor. Os papéis de trabalho organizado permitem a recuperação
de informação (Rodrigues, 2011).
75
10 REFERÊNCIAS BIBLIOGRÁFICAS
76
CPLP - Organismos Estratégicos de Controlo/Controle Interno da
Comunidade de Países de Língua Portuguesa. Manual De Controlo/Controle
Interno. Brasília: Controladoria Geral da União. Dezembro 2009. Disponível:
http://www.cgu.gov.br/eventos/SFC2009_CPLP/Arquivos/ManualControle.pdf.
Último acesso em fevereiro de 2011.
77
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de
computadores. Porto Alegre: Bookman, 2013.
PENTEST GEEK. GPG errors while updating kali linux. 2018. Disponível
em: . Acesso em: 30 nov. 2018.
78
PMI - Project Management Institute. PMBOK: Guide to the Project
Managament Body of Knowledge. EUA: PMI. 2004.
79