Apostila Do Curso de Seguranca Cibernetica - Rev3

Segurança Cibernética
CURSO
SEGURANÇA CIBERNÉTICA
CONTEUDISTA: Sylvio José
1
ÍNDICE
Módulo - Introdução ao curso.......................................................................3

Segurança Cibernética no ambiente da Aviação Civil e na ANAC
Estruturas organizacionais da ANAC envolvidas
Responsabilidades
Módulo 1 - Engenharia Social.........................................................................10
Estruturas psíquicas primitivas
Modalidades de ataque
Contramedidas
Módulo 2 – Autenticação.................................................................................25
Força de Senha,
Autenticação Multifatorial
Administração de Senhas.
Módulo 3 - Tratamento de Dados...................................................................37
Política de Mesa limpa
Classificação da Informação.
Dispositivos de Armazenamento
Proteção Criptográfica
Deleção completa e Descarte seguro.
Módulo 4 - Exposição acidental.....................................................................58
Guarda e uso responsável
Conduta responsável
Envio inadvertido
Módulo 5 - Incidentes de Segurança..............................................................69
Segurança da Informação
Sinais precursores
Indicadores
Tipos e extensão
Magnitude e gravidade
Formas e canais adequados de notificação
Módulo 6 - Atualizações de segurança..........................................................82
Versões de software
Pacotes de correções
Atividades de proteção
Módulo 7 - Segurança de redes e conexões.................................................93
Privacidade em rede
Conexão de ativos corporativos
Transmissão de dados
Home Office.
Módulo 8 - Dicas de Segurança....................................................................107
Checklist de postura de Segurança.
Autoconsciência
Consciência Situacional.
2
Módulo – Introdução
Objetivo(s)
Ao final deste módulo, você será capaz de:
• Conhecer a abordagem institucional e regulamentar ao tema Segurança

Cibernética na ANAC e no ambiente da Aviação Civil internacional
• Conhecer as Estruturas Organizacionais da ANAC envolvidas
diretamente na promoção e preservação da Segurança Cibernética na
ANAC e no ambiente regulado.
• Saber as Responsabilidades atribuídas aos agentes da ANAC na
promoção e preservação da Segurança Cibernética.
1. Abordagem Institucional
A ANAC está inserida no ambiente de Aviação Civil, no qual o conceito,

que chamamos de “Segurança”, se desdobra em dois: “Safety” e “Security”. Em
português, os traduzimos com as locuções “Segurança Operacional” e
“Segurança contra os atos de Interferência Ilícita”.
3
O conceito de Segurança Cibernética é conhecido, em inglês, como

Cybersecurity. Convergentemente à nossa tradução de Security, a Segurança
Cibernética é interpretada como o conjunto de procedimentos e dispositivos
que visam proteger os computadores, os dispositivos móveis, as redes
computacionais e, acima de tudo, os dados que eles contêm e trafegam, contra
os atos de interferência ilícita, os chamados “ataques maliciosos”.
Existem aspectos computacionais envolvidos também na Segurança
Operacional (Safety), ainda mais nestes tempos de rápida evolução dos
equipamentos aeronáuticos baseados em tecnologias digitais, porém esses
aspectos são lidados exclusivamente pela Certificação de Produtos
Aeronáuticos e das Instalações Aeroportuárias.
De um ponto de vista da ANAC, como Instituição e como Agência
Reguladora do setor, “CyberSECURITY” se desdobra em duas abordagens:
A primeira abordagem, interna, e que justifica a existência deste Curso,
é a proteção dos ativos de informação (equipamentos e dados) da própria
Agência.
Por este ângulo, é importante lembrar que a ANAC é uma Autarquia
Especial do Estado Brasileiro, da Administração Pública Federal Indireta, e, por
conta disso, deve permanecer aderente a alinhada à Legislação e às
Orientações sobre Segurança Cibernética exaradas pelo Governo Federal.
https://www.gov.br/ctir/pt-br
Atualmente, o tema está sob a responsabilidade do Gabinete de

Segurança Institucional da Presidência da República, de onde são exaradas as
orientações para toda a Administração, por meio do Centro de Prevenção,
Tratamento e Resposta a Incidentes Cibernéticos de Governo. Para conhecer
mais, visite https://www.gov.br/ctir/pt-br.
4
A segunda abordagem, externa, decorrente do papel que a Agência

exerce sobre o setor regulado, é a participação da ANAC nas discussões sobre
o tema entabuladas com outras Autoridades de Aviação Civil e Organizações
do setor aeronáutico, nacionais e internacionais, e emitir normas e orientações
sobre o tema, para os entes regulados.
https://www.icao.int/
É muito interessante, para melhor entender o ambiente regulatório

internacional no qual a ANAC está inserida, conhecer as atividades da
Organização Internacional de Aviação Civil (OACI) a respeito desse tema,
acessando https://www.icao.int/cybersecurity/Pages/default.aspx.
https://www.iata.org/
Por ser um tema de grande impacto, organizações empresariais da

Aviação Civil, como a IATA, também têm dedicado esforços para orientar seus
membros, de forma a harmonizar seus entendimentos, como pode ser visto em
https://www.iata.org/en/programs/security/cyber-security/.
O ponto mais importante a entender, a esta altura, é que a ANAC é

uma Agência Nacional, trabalhando sob as regras da Nação, de Aviação Civil,
interagindo nesse Universo que possui muitas entidades que detêm grandes
conhecimentos e muitos recursos, e que, por conta disso, podemos/devemos
nos beneficiar da variedade de trabalhos já realizados nesses Ambientes.
5
O que veremos neste Curso é fruto da grande preocupação que esse

tema tem suscitado aqui e lá fora.
2. Estruturas Organizacionais
Convergentemente com as duas abordagens, a ANAC possui

estruturas distintas para lidar com elas.
Para lidar com a Segurança Cibernética da própria Agência, a ANAC
definiu, por meio da Instrução Normativa 128/2018, a Política de Segurança da
Informação (POSI) da ANAC (disponível em Erro! A referência de hiperlink não
é válida.https://www.anac.gov.br/assuntos/legislacao/legislacao-1/instrucoes-
normativas/2018/instrucao-normativa-no-128-06-11-2018-1, texto compilado
com as modificações posteriores).
Nela, é definida a existência do Comitê de Segurança da Informação e
Proteção de Dados Pessoais da ANAC, instituído pelo Diretor-Presidente, por
meio da Portaria nº 5.805/ANAC, de 30 de agosto de 2021, que define suas
atribuições e responsabilidade, destinadas à manutenção e fortalecimento da
Segurança da Informação na Agência.
Na mesma POSI, define-se a existência da Equipe de Prevenção,
Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC, designada
pela Portaria nº 1.330/STI, de 30 de abril de 2019.
Esses organismos estão na linha de frente da primeira abordagem,
interna, e, como servidores e colaboradores da Agência, é um de nossos
deveres conhecer as normas complementares, aprovadas pelo Comitê. Essas
informações estão disponíveis, internamente à Agência, em
https://intranet.anac.gov.br/aanac/comites-e-comissoes/csic. É importante
ressaltar que muito do conteúdo deste Curso é derivado desses atos
normativos, e, por consequência, algumas das orientações que serão
apresentadas deverão ser seguidas, para que sejam cumpridos.
Já pela outra abordagem, externa, para lidar com a Segurança

Cibernética do ambiente da Aviação Civil nacional e internacional, a ANAC
6
possui o Grupo de Trabalho em Segurança Cibernética (GTSC), criado pela

Portaria Intersetorial nº 2.196, de 28 de agosto de 2020 (disponível em
https://www.anac.gov.br/assuntos/legislacao/legislacao-1/boletim-de-
pessoal/2020/38/assop-pa2020-2196.pdf), coordenado pela Coordenadoria de
Normas e Cibersegurança – CNCY da Gerência de Segurança da Aviação Civil
contra Atos de Interferência Ilícita – GSAC da Superintendência de
Infraestrutura Aeroportuária – SIA.
Um dos frutos do trabalho do GTSC, voltado para a atividade de
conscientização e disseminação do conhecimento sobre CyberSecurity,
conforme noticiado em https://www.gov.br/anac/pt-br/noticias/2021/anac-cria-
lista-de-documentos-sobre-seguranca-cibernetica-para-consulta, é o
Compêndio de Bibliografia sobre Segurança Cibernética, disponível em
https://app.powerbi.com/view?r=eyJrIjoiNmY3YmU2MDktZjE2NC00OTRmLTllZ
GYtZDZiODE2NWFlYjQzIiwidCI6ImI1NzQ4ZjZlLWI0YTQtNGIyYi1hYjJhLWVm
OTUyMjM2ODM2NiIsImMiOjR9. Esse compêndio é a versão em português,
com adições locais, do Compilation of Cyber Security Regulations, Standards,
and Guidance Applicable to Civil Aviation publicada pela IATA.
Outro flanco da ANAC, que também lida com temas relacionados
(inclusive) com a Segurança Cibernética é nossa representação no Grupo
Brasileiro de Segurança da Aviação Civil contra Atos de Interferência Ilícita
(Brazilian Aviation Security Team -BASeT), instituído pela Resolução nº 542, de
18 de fevereiro de 2020. Esse Grupo publicou o Manual de Conscientização
em Segurança Cibernética na Aviação Civil, conforme noticiado em
https://www.gov.br/anac/pt-br/noticias/2021/anac-lanca-primeiro-manual-sobre-
seguranca-cibernetica-na-aviacao-civil. Esse Manual está disponível para o
público em geral, em https://www.gov.br/anac/pt-
br/assuntos/regulados/aerodromos/avsec/arquivos/Manual_de_conscientizacao
_sobre_Ciberseguranca.pdf, e é outra fonte de conhecimento que subsidiou
este Curso.
7
3. Responsabilidades
Novamente, olharemos as abordagens Interna e Externa à Agência,

vendo primeiro a Interna:
O Comitê de Segurança da Informação e Proteção de Dados Pessoais
da ANAC é um organismo de Orientação e Acompanhamento, bem como de
Assessoria à Diretoria Colegiada, nos assuntos relativos à Segurança
Cibernética, encompassados sob a responsabilidade mais geral sobre as ações
de Segurança da Informação e de Proteção de Dados Pessoais. A ele cabem
também ações de conscientização e promoção da Cultura de Segurança da
Informação, e estimular ações de capacitação e de profissionalização em
temas relacionados à Segurança da Informação, como o presente Curso.
Pelo lado efetivamente “mão na massa”, a Equipe de Prevenção e
Tratamento e Resposta a Incidentes Cibernéticos - ETIR/ANAC, é diretamente
responsável por receber, analisar e responder às notificações relacionadas a
incidentes de segurança em redes de computadores; recolher provas
imediatamente após a ocorrência; executar análise crítica sobre os registros de
falha para assegurar que foram satisfatoriamente resolvidas; investigar as
causas; implementar mecanismos para permitir a quantificação e o
monitoramento dos tipos, volumes e custos de incidentes e falhas de
funcionamento; indicar a necessidade de controles aperfeiçoados ou adicionais
para limitar a frequência, os danos e o custo de futuras ocorrências; atuar
preventivamente a fim de mitigar o risco de ocorrência de incidentes de
segurança; e, por fim, apresentar ao Comitê de Segurança da Informação e
Proteção de Dados Pessoais da ANAC, quando solicitado, o relatório de suas
atividades.
Sobre as nossas Responsabilidades, como servidores e colaboradores,
haverá análise mais detalhada nos Módulos seguintes.
Já, voltado para o lado de fora, o Grupo de Trabalho em Segurança
Cibernética (GTSC) tem por objetivo coordenar, harmonizar e consolidar a
atuação da Anac referente ao tema de Segurança Cibernética, bem como atuar
8
consultivamente na implementação de políticas de segurança da aviação civil

(safety e security) contra ameaças cibernéticas, junto aos entes regulados.
Em maior detalhe, a Coordenadoria de Normas e Cibersegurança –
CNCY, que coordena o GTSC, é também responsável por atuar como ponto
focal, especificamente da SIA, na coordenação dos trabalhos afetos à temática
da cibersegurança.
9
Módulo 1 – Engenharia Social
Objetivo(s)
• Entender o conceito de Engenharia Social;

• Reconhecer algumas estruturas da mente humana que a tornam
vulnerável ao ataque por meio da Engenharia Social;
• Conhecer algumas modalidades de ataque por meio da Engenharia
Social; e
• Reconhecer algumas contramedidas para diminuir a vulnerabilidade à
Engenharia Social.
1. O que é a Engenharia Social?
Engenharia Social é um conceito oriundo da Atividade de Inteligência,

e, de maneira muito superficial, pode ser definido como a utilização de técnicas
de manipulação psicológica para induzir um alvo a executar algum ato que seja
do interesse do Agente.
https://www.diegomacedo.com.br/ameacas-comuns-de-engenharia-social/
Como pôde notar, não foi mencionado qualquer recurso tecnológico na
definição acima. E isso faz sentido, pois a Engenharia Social é algo usado,
ainda que intuitivamente, empiricamente, desde que o Mundo é Mundo. O alvo
10
da ação de Engenharia Social é o Ser Humano, independentemente da

quantidade e tipos de recursos de que disponha.
A ideia por trás da Engenharia Social é familiar a qualquer pessoa que
já tenha sido “levada na conversa”, que já tenha sido tapeada a fazer, ou a
deixar de fazer, algo que, no final das contas, não era o melhor para ela, mas
sim para a pessoa que a engambelou.
E, se algum de vocês jamais foi enrolado e levado no bico, nem
quando era criança, que atire a primeira pedra!
2. Estruturas da Mente
Para entender como a Engenharia Social existe e funciona, é

indispensável ter uma noção muito rudimentar de como funciona a sua matéria-
prima, que é a Mente humana.
https://steemit.com/writing/@atishdarpel/learn-understand-the-thought-process
Em primeiro lugar, precisamos entender e aceitar que somos seres

sujeitos a uma Lei Universal, que afeta a todos, desde o corpo inanimado até o
algoritmo computacional de decisão mais requintado, e que é expressa, na
Física, pela segunda Lei de Newton: “a aceleração adquirida por um corpo é
diretamente proporcional a resultante das forças que atuam sobre ele.”
Isso significa que nós só vamos nos “mover”, isto é, fazer algo, se
tivermos algum motivo para isso, ou um conjunto de motivos que, somados,
nos levam a fazer (ou deixar de fazer) alguma coisa.
11
E o que nos move?

Bem basicamente, só existem duas coisas capazes de fazer um ser
(seja inanimado ou vivo) se movimentar: São a Atração e a Repulsão. Mesmo
as plantas mais primitivas crescem em direção à luz, e as bactérias capazes de
se mover fogem dos lugares onde as condições lhes são menos propícias...
Reconhecido isso, devemos aceitar que os “Engenheiros Sociais” possuem
uma profunda compreensão desses mecanismos fundamentais, isto é, eles
utilizam Atrações e Repulsões muito “basilares”, que estão lá nos alicerces da
nossa formação como “bichos que falam”.
E quais são nossas Atrações e Repulsões? Isso pode variar bastante,
de pessoa para pessoa, porém, considerando que os Engenheiros Sociais
raramente focam alvos específicos (exceto em alguns tipos de ataque que
comentaremos), vamos falar só de coisas que afetam ou alcançam uma
maioria. indistintamente.
https://aventurasnahistoria.uol.com.br/noticias/almanaque/lei-de-gerson-como-surgiu-lei-da-vantagem-atribuida-ao-jogador.phtml
E o que atrai “a maioria”? Uma antiga propaganda de cigarro, que

acabou celebrizando a chamada “Lei de Gerson” (que era o jogador de futebol
muito conhecido que protagonizava a propaganda), mais do que a própria
marca de cigarro exibida, dizia “Porque eu gosto de levar vantagem em tudo,
certo?”...
Sim, Gerson estava certo!
12
As pessoas se sentem atraídas por aquilo que lhes pareça vantajoso,

quer seja o grande ganho que dá pouco trabalho, quer seja o objeto valioso
que custou barato...
E o que repele a maioria? A desvantagem! É a multa, a perspectiva da
punição, o medo do vexame, a ameaça da perda de algo (material ou imaterial)
que nos seja precioso...
Então, no delicado equilíbrio de se estar vivo e atuante em um Mundo
com tanta variedade de bens (materiais e imateriais) a alcançar e a proteger, e
no qual todos exercemos vários papéis, o que move “praticamente a todos
nós”, e no que nos apoiamos para decidir o que fazer a cada momento?
Todo ato possui associado a ele um custo (tempo, dinheiro, trabalho,
reputação etc.) e um risco (normalmente associado à falha do ato, ou às
consequências laterais (colateral damage) do seu sucesso). E o que melhor
distingue as pessoas é o “Apetite pelo Risco”.
E é EXATAMENTE aqui que os Engenheiros Sociais “se criam”: Nosso
Mundo Social, nossas Instituições, estão historicamente montados de tal forma
a premiar quem arrisca mais! Isso fica fácil de enxergar se olharmos ao nosso
redor, e para nós mesmos, e observarmos Quem são os aparentemente mais
bem-sucedidos, os que “sobem” mais depressa?
A Sociedade que nos cerca nos estimula a sermos exatamente aqueles
que decidem rápido, aqueles que estão dispostos a agir mesmo tendo menos
informações do que outros consideram o indispensável antes de atuar. O
Mundo premia, na maioria das vezes, aqueles que percorrem os atalhos, os
caminhos rápidos, mesmo sendo menos seguros, ou, falando em termos mais
rebuscados, os que têm maior “Apetite pelo Risco”. Em uma Sociedade
competitiva, “quem não arrisca, não petisca”...
E quem são os alvos mais fáceis para os Engenheiros Sociais?
Aqueles que possuem mais, aqueles que podem mais, e que, pela lógica de
sucesso comentada, têm a maior dificuldade em priorizar a segurança, quando
ela pareça ser um obstáculo para aquilo que as atrai. É exatamente da
13
exploração do “Apetite pelo Risco” que a Engenharia Social obtém seu maior
sucesso.
Poderíamos falar horas, dias, semanas, só sobre o tópico das
Estruturas da Mente, porém isso fica para os ambientes da Antropologia, da
Psicologia e da Sociologia...
Para as finalidades deste Curso, basta-nos dizer que as vítimas de
golpes de Engenharia Social não são trouxas, otários, estúpidos ou idiotas,
mas sim pessoas comuns e saudáveis que, induzidas pelo que as atrai (ou
fortemente repelidas por aquilo de elas mais temem) e insuficientemente
refreadas pelo que as impediria de “cair em tentação”, acabam fazendo
exatamente aquilo que foram, ardilosamente, levadas a fazer.
3. Modalidades
Uma vez que entendemos que o Ser Humano pode ser induzido, pelo
emprego de técnicas adequadas, a fazer coisas que beneficiam que o está
manipulando, vamos ver como isso acontece na prática, por meio de alguns
exemplos, começando no mundo físico e seguindo para o virtual.
Presencial: “O Conto do Vigário”
Creio que todo mundo já tenha ouvido a palavra “vigarista”, para se

referir a alguém que faz falcatruas, que aplica golpes, ou, falando em
juridiquês, o estelionatário. Mas você sabe de onde vem essa palavra?
https://istoe.com.br/112402_OS+GRANDES+CONTOS+DO+VIGARIO/
14
Existem muitas variações desse golpe antigo, mas o que elas têm em
comum é o fato de que eram aplicadas por um indivíduo trajado como padre,
dizendo ser de outra freguesia, se valendo da boa-fé (literalmente) de um
cidadão.
Após alguma abordagem, feita normalmente por um terceiro
desconhecido, e a apresentação do respeitável homem santo da Igreja, pede-
se ao alvo algum valor, em troca de um pretenso bilhete premiado, ou deixando
como garantia um pacote de dinheiro que, em melhor exame, é quase todo
falso, ou sob alguma outra alegação que, se vinda de alguém que fosse um
cidadão comum, sem a credibilidade da batina, dificilmente “colaria”.
Como um padre, na própria paróquia, é o pároco, mas, em outra
freguesia, é só um vigário, esse tipo de “armação” ficou conhecida como o
Golpe do Vigário, e os seus praticantes, como “Vigaristas”.
Com o correr dos anos, e o desuso das batinas, esse golpe, com a
exceção de vilarejos “perdidos no tempo”, é praticamente coisa do passado.
O que temos nele de lição? As pessoas tendem a acreditar nos signos
externos de pertinência a alguma organização, sem questionar muito. Pode ser
uma batina, uma farda da polícia, um jaleco de médico, ou um simples crachat
ou identificação funcional, de preferência com alguma carteira pesada com um
emblema grande.
Da mesma forma, as pessoas se impressionam com papéis timbrados,
com emblemas de “veículo oficial”, e outras mostras que normalmente são
reconhecidas como pertencendo a determinada organização com credibilidade,
e não se sentem confortáveis para inquirir a fundo, para pedir para ver a
carteira de perto, para examinar os Elementos de Segurança de algum
documento, principalmente se estiverem adequadamente pressionados pelos
meliantes golpistas, que podem “se fazer de ofendidos” pelo tom desconfiado
do alvo...
A vulnerabilidade explorada nestes golpes é o “Recurso à Autoridade”.
15
Presencial: “A Carona”
Este é um dos golpes mais simples, porém ainda assim bastante
efetivo. Ele é conhecido como “tailgating”, em alusão à prática de um carro
passar por uma barreira (gate), “colado” na traseira (tail) de outro que possui
acesso legítimo, por exemplo, para passar pelo pedágio.
https://www.tudodesenhos.com/d/bonecos-abrindo-porta
Entre pessoas, a “carona” se dá, por exemplo, quando alguém que não
possui autorização para entrar em um lugar chega “no mesmo instante” que
uma pessoa que pode. O invasor, nessa situação, pode estar carregando algo
pesado com as duas mãos, ou, em uma versão mais elaborada, está com as
mãos engessadas, ou, de alguma forma, impossibilitada de usar as mãos.
Então, o invasor pede para o alvo segurar a porta aberta para que ela possa
entrar.
Normalmente, nesse tipo de golpe, o golpista toma o cuidado de estar
trajado de maneira perfeitamente compatível com o local, e às vezes até um
pouco mais “bem-vestido”, e se dirige de maneira muito cordial e respeitosa ao
alvo, pois as pessoas, conforme comentado no golpe do vigário, tendem a
associar o bem trajar, e o bem falar, à “legitimidade” da pessoa. Nessa
situação, o alvo sente que seria muita “falta de educação” negar esse auxílio,
ou exigir alguma comprovação da permissão da pessoa acessar o local.
Em acessos com dispositivos de controle eletrônico por aproximação, o
golpista pode até mesmo ter pendurada uma falsificação de crachá, que resiste
a uma inspeção visual à distância, porém não tem (obviamente) a eletrônica
16
necessária para abrir o acesso, e, claro, está cuidadosamente colocado em

uma posição que não lhe permite a aproximação.
A vulnerabilidade explorada nestes golpes é a “Tendência à Cortesia”.
Pelo Telefone: “O Falso Sequestro”

Este é um dos mais antigos, que veio na esteira da popularização do
uso do telefone, e explodiu com o uso dos celulares. Nele, um golpista, usando
uma voz desesperada de criança, implora por socorro.
https://pt.depositphotos.com/stock-photos/scared.html
Se a vítima é pai ou mãe de uma criança de idade compatível, e não
está com a criança sob suas vistas nesse exato instante, pode ser (e
normalmente é) tomada de um terror tão profundo que “congela” as
capacidades normais de julgamento, e o alvo pode ser manobrado para
entregar mais dados ao golpista, que serão, logo depois, utilizados para
reforçar e dar credibilidade às alegações do golpista, e enredar cada vez mais
fortemente o alvo em um estado de sujeição pelo medo.
Quando a vítima está na mão de golpistas razoavelmente habilidosos,
pode permanecer nesse aprisionamento mental por tempo suficiente para
efetuar transações bancárias, levar coisas, comprar cartões, entregar dados
pessoais ou profissionais.
Apesar de esse golpe ser muito velho e amplamente conhecido, e a
própria pessoa, depois, já de cabeça “fria”, “morrer de vergonha” de ter caído
“como um pato”, devemos entender que existem terrores que estão tão
17
profundamente inculcados em nosso cérebro, seja pela biologia ou pela

sociedade, que os “gatilhos”, uma vez acionados lá na amígdala cerebral,
disparam séries de reações muito mais rápidas, irracionais e poderosas do que
nossas capacidades normais de racionalização. Contra elas, só existe defesa
em caso de treinamento específico.
Existem outros golpes que exploram esse mesmo princípio, do medo
irracional, como o do e-mail que ameaça divulgar imagens capturadas pela
câmera do laptop, e que “colam” quando o alvo tem “a consciência pesada”.
Em linhas gerais, os golpes só conseguem aterrorizar alvos que tenham
exatamente “o receptor certo” para a ameaça (falsa).
A vulnerabilidade empregada nestes golpes é a “Paralisação pelo
Medo”.
Mídia física: “A Isca”

Este é um dos golpes mais antigos da era digital, ainda antecessor da
popularização da Internet, quando ainda se estava iniciando o uso de redes de
computador. Este golpe, que começou a ser aplicado ainda em Diskettes 5 ¼”
(lembra, daqueles flexíveis?), prosseguiu com Diskettes 3½”, CDs graváveis, e
hoje em dia está em pendrives baratinhos.
https://inspiredelearning.com/resource/usb-baiting-dont-take-bait/
Para aplicar o golpe, o golpista deixa, em algum lugar que estará à
vista do alvo, uma mídia com algum rótulo que vá espicaçar sua curiosidade,
ganância ou cupidez (em inglês, conhecido como bait... Por exemplo:
18
“Confidencial”, “Diretoria Colegiada”, “Verbas”, “Hot Pics” ou o nome de alguém

de interesse), induzindo o alvo a tentar ler o que está nela. E, no instante em
que a mídia é acessada, o malware nele contido começa a cumprir sua missão,
de interesse do golpista, seja ela qual for, pois “o anzol fisgou”.
É interessante refletir sobre o estado da mente que faz a vítima querer
acessar um conteúdo desconhecido e de origem incerta. Essa sanha é
retratada na frase popular “O achado não é roubado”... Porém, aquele que
achou só vai “aproveitar de seu tesouro” se descobrir o que achou... Esse é um
impulso absolutamente natural, porém sobre ele há outras frases bem mais
sábias: “A curiosidade matou o gato”, e “O peixe morre pela boca”, que, aliás,
dá o nome a esse tipo de golpe.
As vulnerabilidades empregadas nestes golpes, sempre girando ao
redor da curiosidade, podem ser diferentes, dependendo do rótulo empregado.
Mensagens digitais ou telefônicas (E-mail, SMS, Conversas por

aplicativos de relacionamento, Telefone): Phishing
https://redeabrasel.abrasel.com.br/read-blog/206_5-maneiras-de-sofrer-um-ataque-de-phishing-via-whats-e-mail-e-sms.html
Este é o tipo de golpe de Engenharia Social atualmente mais

disseminado. Eventualmente, isso também é devido ao fato de o conceito de
phishing ser bastante abrangente, envolvendo várias modalidades específicas
em diferentes meios de contato.
19
O próprio nome da modalidade remete a “Fishing” (pescaria), e é tão

abrangente que quase se confunde, em alguns aspectos, com a própria
definição de Engenharia Social, para todas as situações que não sejam
presenciais ou de mídia física.
Grosseiramente, o phishing é definido como “obtenção de dados por
meio de técnicas de comunicação que resultam na persuasão da vítima”, e em
suas modalidades mais simples realmente se parece com uma pescaria, pois o
golpista utiliza poucos, ou nenhum, dado específico do alvo, para além do meio
de contato, e lança iscas bastante genéricas.
Por ser fácil de executar, ele também é fácil de reconhecer, e o seu
sucesso depende da desatenção do usuário e da eventual coincidência com
algum momento, característica pessoal ou circunstância em que, para aquela
vítima, a mensagem faça sentido.
Em sua modalidade mais conhecida, a vítima recebe um e-mail que
imita uma fonte legítima, e é persuadida a entrar em alguma página (falsa)
daquela mesma “fonte”, onde deve “recadastrar” seus dados (por exemplo,
bancários). Outra variante oferece produto a preço vantajoso, e remete para
loja digital falsa, onde a vítima acaba fazendo alguma compra com cartão de
crédito (e entrega, nesse ato, seus dados e código de segurança do cartão...).
Existem “sub-classes” do phishing, que se distinguem pelo tipo de
preparação prévia, e abordagem.
https://www.edivaldobrito.com.br/o-que-e-spear-phishing-conheca-essa-ameaca-e-proteja-se/
20
Há o Spear Phishing (Pesca com Arpão), mais elaborado, em que o

golpista já possui uma certa quantidade de dados do alvo, e faz uma
abordagem mais qualificada e específica, focada, e mais fácil de
“desmascarar”. Há o “Nigeriam Scam”, em que o(a) golpista envolve
romanticamente o alvo, com o objetivo de “solicitar ajuda financeira”. Esta
modalidade específica se iniciou ainda antes das mensagens eletrônicas, e
eram usadas cartas postais para iniciar a abordagem.
O Phishing explora várias vulnerabilidades diferentes, mas a mais
frequentemente explorada é a Cobiça.
Pelo Telefone ou mensagem eletrônica: O Pretexto

Este é um tipo de golpe mais especializado, e que demanda um pouco
mais de dados previamente conhecidos sobre o alvo. O golpista prepara um
cenário inventado (o Pretexto), no qual envolve a vítima, induzindo-a a
“completar os dados que faltam”, e que são de interesse. Neste tipo de golpe
de Engenharia Social, o golpista se passa por um colega de empresa, ou por
uma autoridade ou representante de instituição com a qual o alvo tem
relacionamento, e, pelos dados de que já dispõe, convence o alvo de sua
legitimidade para solicitar os dados que quer extrair.
https://g1.globo.com/sp/sao-paulo/noticia/2021/09/15/policia-de-sp-prende-quadrilha-que-fingia-
ser-do-call-center-de-bancos-para-furtar-dinheiro-de-clientes-no-pais.ghtml
21
A forma mais comum desse golpe é pelo telefone, e “operadores” bem

treinados conseguem, pelo pretexto verossímil, pela postura séria e voz firme,
inibir questionamentos do alvo, e o induzir a cooperar.
Um dos mais conhecidos golpes de Pretexto é o da “Central de
Segurança do Banco”, que, combinado com a técnica de captura de linha fixa,
faz com que o alvo “ligue para o número que está no cartão” (mas, na verdade,
está continuando a ligação anterior, que não conseguiu de fato interromper), e,
agora que foi “quem começou a ligação”, entregue aos golpistas tudo o que
eles questionarem.
A vulnerabilidade explorada neste golpe é, novamente, o Recurso à
Autoridade.
Pelo telefone (corporativo): O Quid pro Quod (Uma coisa pela outra).
Este é um tipo de golpe muito especializado, que envolve
conhecimento prévio sobre a infraestrutura de informática da empresa do alvo.
Nele, o golpista liga para funcionários de uma empresa, alegando ser do
Suporte Técnico, informando sobre algum problema ou necessidade de
atualização na máquina do usuário. Então, informa que pode resolver o
problema, à distância, com determinados dados que o usuário (a vítima...) deve
fornecer, e a execução de certos comandos simples que o golpista lhe ditará,
ou rodando determinada “correção”, que lhe será enviada por e-mail.
https://canaltech.com.br/seguranca/criminosos-usam-suporte-de-call-center-para-contaminar-com-ransomware-188056/
22
Ao atender ao “Cara do Suporte”, para ter seu problema resolvido, o

alvo na verdade está trabalhando para o golpista, abrindo caminhos para a sua
ação na máquina e/ou na rede corporativa.
Este é mais um golpe, aqui já na fronteira entre a Engenharia Social e
a Tecnologia propriamente dita, que explora o Recurso à Autoridade, que é
uma das vulnerabilidades mais profundas em nossa Sociedade.
Existem vários outros tipos de golpes e variantes nos quais a

Engenharia Social possui vários níveis de participação, conjugada a outros
recursos físicos e tecnológicos à disposição dos “vigaristas”, mas os já
apresentados podem ser considerados representativos.
4. Contramedidas
A principal contramedida para se proteger contra a Engenharia Social,

quando ela explora o “recurso à autoridade” é manter a cabeça fria, e perder o
medo de ser chato ou parecer mal-educado, ao solicitar confirmações, seja da
identidade do interlocutor ou da veracidade da alegação. É importante lembrar
que, se a pessoa for quem ela alega ser, e a informação for real, isso não a
incomodará, mas se for um golpista disfarçado, fará “a maior cena”, e “sairá
fora”.
Uma regra geral de proteção contra os golpes que apelam para a
cobiça está na frase popular: “Quando a esmola é muita, até o Santo
desconfia”. Então, permaneça desconfiado. Se a oferta parecer irresistível,
lembre-se que “O peixe morre pela boca”.
Contra a curiosidade, novamente a Sabedoria Popular nos ajuda,
lembrando que “A curiosidade matou o gato”.
Por fim, contra o mais terrível tipo de golpe, que é o da paralisação
pelo medo, a primeira e mais básica defesa é a consciência tranquila, que
diminui o número e variedade de “ganchos” pelos quais alguém pode ser
chantageado. A segunda defesa, não menos importante, é o
autoconhecimento. Em qualquer situação, nossas estruturas de reação rápida
23
e irracional atuam “capturando” nossas funções cerebrais, deixando de lado

nossas capacidades mais refinadas. Porém, o chamado “sequestro da
amígdala cerebral” é algo que não resiste a três ou quatro respirações
profundas, e em cada uma delas, “contar até dez”. Nesse breve período, nossa
mente racional retoma as rédeas da ação. Então, para qualquer situação:
JAMAIS aja “no susto”, e sempre “conte até dez”. Se ainda estiver assustado,
“conte até dez” novamente.
Para quem quiser saber mais:
Algumas leituras rápidas estão em:

“O que é Engenharia Social e como se prevenir de ataques”, disponível
em http://www.bosontreinamentos.com.br/seguranca/o-que-e-engenharia-
social-e-como-se-prevenir-de-ataques/ ;
“Quais os principais tipos de ataques de Engenharia Social”, disponível
em https://www.compugraf.com.br/quais-os-principais-tipos-de-ataque-de-
engenharia-social/ .
24
Módulo 2 – Autenticação
Objetivo(s)
• Compreender o conceito genérico de Autenticação;

• Entender o conceito de Força da(s) Senha(s);
• Compreender o funcionamento da Autenticação em várias etapas; e
• Conhecer algumas modalidades e ferramentas destinadas à
Administração de Senhas.
1. O que é Autenticação?
O conceito de Autenticação se originou no mundo jurídico, designando

o ato notarial pelo qual um documento é reconhecido como verdadeiro. Isso
significa que, quando se recebe uma cópia autenticada, existe uma estrutura
por trás dela, a de um Cartório, que procedeu determinados processos, em
ambiente controlado, pelos quais um cartorário, sob a sua autoridade, declara
que ela é autêntica.
https://portaldoandreoli.com.br/clique-e-veja-a-animacao-em-homenagem-a-paulo-silvino/
Por extensão, no ambiente tecnológico, chamamos de Autenticação

aqueles processos pelos quais se visa assegurar que o conteúdo de uma
transação, de um registro, vem de uma determinada fonte verdadeira e
25
conhecida, e não de qualquer outra. Então, é o ato de confirmar que algo, ou

alguém, é o que ou quem alega ser.
Uma característica fundamental da autenticação é a confiança que se
deposita na autoridade ou dispositivo autenticador.
O uso mais comum do termo Autenticação se refere ao método, ou
conjunto de métodos, utilizados para verificar (isto é, assegurar que é verdade)
a identidade de um ser humano que esteja se relacionando com um
equipamento ou um sistema computacional. A autenticação é o processo pelo
qual a pessoa real, física, se transforma em um ente digital reconhecido, o
“Usuário”, com o qual aquele sistema ou equipamento está autorizado a
realizar transações.
https://www.mdig.com.br/index.php?itemid=45463
Vamos para o mais básico dos exemplos da vida moderna: Você tem
um Smartphone? Hoje em dia, muitas das nossas capacidades de
comunicação com outras pessoas, e de transação com o mundo digital, são
intermediadas por essas caixinhas que transportamos conosco. Muito mais que
um simples telefone, o smartphone carrega muito de nossa história, traz com
quem, quando, e mesmo o teor de nossas comunicações. Isso é tão
verdadeiro, que já virou piada a situação em que alguma pessoa se apavora ao
ter deixado “o celular desbloqueado” e desassistido perto de outra pessoa de
seu relacionamento...
26
Agora, falando sério: Você se sentiria confortável em permitir que seu

smartphone faça qualquer transação com qualquer pessoa, sem nada que
permita a ele verificar se é você, o dono legítimo, que está ali?
Bem, acredito sinceramente que se você é uma pessoa “incluída
digitalmente”, usa comunicadores instantâneos, e-mail pessoal e institucional,
aplicativos com implicações financeiras e outras amenidades que o smartphone
oferece, NÃO, você não se sentiria à vontade para permitir que qualquer um
transacionasse por meio de seu celular...
E como se assegurar que isso seja difícil de ocorrer?
Autenticando!
Quando se fala de “Autenticação de Usuário”, existem basicamente
três formas de isso ocorrer: Algo que só a pessoa SABE, algo que só a pessoa
TEM, ou algo que só a pessoa É.
Sobre o que só a pessoa SAIBA, falamos em SENHAS, Números de
Identificação Pessoais (PIN), e Padrões (desenhos).
Uma senha (em inglês Password) é um dispositivo de identificação

muito, muito antigo, também chamado de Palavra de Passe. A Palavra de
Passe era algo requerido de uma pessoa, por um porteiro, quando desejava
entrar em um local. Se a pessoa inquirida soubesse responder corretamente,
isso significava que estava habilitada a acessar, e era admitida, pois sabia a
palavra ou frase. A evolução desse conceito, para os dispositivos digitais, é
algum conjunto de caracteres (letras, números, caracteres especiais) que só a
27
pessoa deve conhecer, e que só deve apresentar para os dispositivos de

autenticação nos quais confie.
O Personal Identification Number (PIN) é, também, uma senha, porém
composta só por números. A versão mais antiga desse tipo de autenticador é a
combinação, presente nas trancas de cofres e cadeados, que permitem que
somente as pessoas que conhecem o número correto, ou a sequência correta
de números, tenham acesso ao conteúdo.
https://www.baixaki.com.br/android/download/pattern-lock-screen.htm
Já o Padrão é alguma figura, executada por meio de determinada

sequência correta de movimentos, que permite ao dispositivo de autenticação
“confiar” que quem está tentando acessar tem esse conhecimento. Isso
também é antiquíssimo, e uma de suas versões mais conhecidas é a meia-lua,
que uma pessoa risca na areia, discretamente, e só outra pessoa conhecedora
desse “desafio” irá perceber, e, por sua parte, continuar o desenho, formando o
peixe, distintivo dos cristãos primitivos... Outra versão de Padrão, esse sim
individual e personalíssimo, é a Assinatura, que, idealmente, é prontamente
reconhecível, fácil de executar por memória muscular, e muito difícil de
reproduzir (falsificar).
28
https://www.iugu.com/blog/o-que-e-token
Sobre o que só a pessoa TENHA, falamos de objetos que, de alguma
forma, sejam únicos e possam ser reconhecidos pelo dispositivo de proteção.
Isso também é derivado de algo extremamente antigo, muito anterior aos
dispositivos digitais, e que tenho a certeza de que você possui, eventualmente
mais de uma. É a chave! Da porta, da gaveta, do carro, do cadeado, só quem
possui a chave pode abrir “por meios legítimos” aquele ambiente ou objeto.
Outras coisas antigas que também se encaixam nessa mesma categoria são
os Crachás e Documentos de Identidade, e até mesmo os uniformes e fardas.
Na versão moderna, digital, estamos falando dos Tokens, que podem ser
desde um cartão de crédito com tarja magnética ou chip, um crachá com
dispositivo de identificação por radiofrequência (RFID), ou um pen-drive que
carrega um certificado digital.
https://www.m2sys.com/blog/iris-recognition-2/iris-recognition-vs-retina-scanning-what-are-the-differences/
Por fim, sobre o que a pessoa É, estamos falando de Biometria, que é

provavelmente o dispositivo de autenticação mais antigo que existe, e, de certa
29
forma, até se confunde com a individualidade da pessoa, e, ainda hoje em dia,

é o que faz com que uma pessoa possa ser reconhecida como ela mesma por
outras pessoas que a conheçam.
https://kottke.org/17/06/man-uses-a-3d-model-of-his-face-to-get-a-national-id-card
O aspecto de sua face, a voz, que lhe permite ser reconhecido ao

telefone, suas impressões digitais, e até mesmo o seu modo de andar, são
atributos pessoais, que podem até ser parecidos com os de outra pessoa,
como um sósia ou um gêmeo univitelino, mas que são realmente únicos. Se
lembrarmos de nossas Carteiras de Identidade, com fotografias e digitais, além
da já comentada Assinatura, veremos o papel bastante antigo da Biometria, em
nossas vidas, para a comprovação de nossa “Autenticidade”. O que mudou, em
tempos recentes, é a capacidade de dispositivos digitais “reconhecerem” essas
características pessoais, por meio de dispositivos de coleta e interpretação de
imagens e sons, ou placas de toque digital.
Em tempo: Não deixe seu celular sem dispositivos de bloqueio! Seja
por senha, PIN, Padrão, Digital ou Reconhecimento de Face ou Voz, utilize os
recursos que estão à sua disposição, pois, com o uso, seu Smartphone se
torna parte importante de sua “personalidade digital”, e, com acesso a ele, é
muito fácil alguém “se passar por você”.
30
2. Força das Senhas
Uma senha, como dispositivo de proteção à sua individualidade, pode

ser fraca, se for fácil de “adivinhar”, ou fácil de reproduzir por meios mecânicos
simples. Basicamente, palavras do dicionário, nomes, e combinações simples
de nomes e números previsíveis, como datas, são as mais fracas das senhas.
https://www.macoratti.net/13/01/c_vfs1.htm
Como conceito geral, a “Força” de uma senha é uma medida de sua
eficácia contra os métodos de adivinhação, que podem ser associados a
levantamentos de dados prévios sobre o detentor da senha. Essencialmente,
ela avalia quantas tentativas alguém que não sabe a senha teria de fazer para
conseguir a reproduzir corretamente. Em linhas gerais, a força da senha
depende de seu tamanho (quantidade de caracteres), de sua complexidade
(variedade de tipos de caracteres, sejam letras maiúsculas, minúsculas,
números e caracteres especiais) e, acima de tudo, de sua imprevisibilidade
(ausência de regras de formação, como sequência dos caracteres em um
teclado, palavras de dicionário, nomes, datas etc.).
Considerando que, idealmente, uma senha é algo que só a pessoa (o
usuário) saiba, e seja capaz de se lembrar, e que, nos dias de hoje, cada
pessoa se relaciona com muitos dispositivos de autenticação diferentes, nos
deparamos com um dilema bastante limitante: COMO ter senhas longas,
complexas e imprevisíveis, e ainda assim não perdermos o acesso aos
sistemas simplesmente porque não sabemos mais qual é a Senha?
Vamos tratar disso em mais detalhe, daqui a pouco, quando falarmos
de Administração de Senhas.
31
3. Autenticação em várias etapas
Comentamos que existem métodos de autenticação baseados no que

se saiba, no que se tenha e no que se seja. Um modo de tornar mais robusto o
processo de autenticação é utilizar, de forma sequencial, dois ou mais desses
métodos, como barreiras sucessivas para permitir o acesso.
https://grimm.fandom.com/wiki/Seven_Keys
Pensando historicamente, a autenticação em várias etapas também é
algo muito antigo, ao ponto de ter se incorporado à linguagem, na forma de
uma expressão. Você já ouviu dizer que algo que precisa de muita proteção
deve ser “guardado a sete chaves”? Está até em uma música do Milton
Nascimento, quando diz que “Amigo é coisa para se guardar / Debaixo de sete
chaves / Dentro do coração...”. Bem, isso se referia a um antigo hábito de se
construir caixas-fortes (baús reforçados) fechados por mais de uma tranca com
cadeado, e as chaves dos diferentes cadeados serem guardadas por pessoas
diferentes. O baú só poderia ser aberto caso todas as pessoas, com as
respectivas chaves, se reunissem para esse ato. Obviamente, se todas as
chaves fossem guardadas juntas, o dispositivo de proteção seria tão fraco
(para ser aberto sem arrombamento) quanto se tivesse um cadeado e uma só
chave.
32
A ideia de um processo de autenticação em várias etapas, ou, para

falar mais pomposamente, Autenticação Multi-Fatorial (MFA), é a de se
apropriar da resistência de cada método (senha, token, biometria), tornando a
sequência difícil de reproduzir.
Em nosso caso prático, aqui na ANAC, temos a utilização de uma VPN

(Virtual Private Network, rede virtual privada), que é um dispositivo que permite
que um computador fora de nossa rede interna se “apresente” para
determinadas portas de acesso, e apropriadamente autenticado, receba
privilégios de segurança que permitem o tráfego a endereços e locais de rede
inacessíveis para máquinas externas. Como podem ver, essa é uma função de
grande sensibilidade, do ponto de vista de segurança de rede. Por conta disso,
temos a possibilidade de utilizar modos de autenticação Multifatorial, apoiado
no Microsoft Authenticator para Smartphones.
33
Quando se utiliza essa opção, ao tentar acessar a VPN, pode ser

solicitada uma senha numérica de uso único, que é gerada no Smartphone, e
transcrita, ou, alternativamente, pode-se ter de desenhar um padrão, ou usar a
biometria no smarphone, que “avisará” ao autenticador da VPN que você é
você mesmo, liberando o progresso da autenticação.
Nessa última modalidade, foram usados os três métodos: Começou
com a introdução de uma senha, que só você sabe, continuou com o contato
com seu smartphone, que só você tem, e terminou com você liberando
biometricamente o acesso, com a digital que prova quem você é.
Em todas as aplicações de maior responsabilidade (por exemplo uma
transação bancária em um caixa automático), usa-se a Autenticação Multi-
Fatorial (no mesmo exemplo, com cartão+senha, cartão+biometria, ou
conta+senha+biometria).
4. Administração das Senhas
Conforme já comentado, senhas fortes são imprevisíveis, complexas e

extensas. Com essas características, obviamente, são difíceis de memorizar.
E, quanto mais serviços se use, mais senhas são necessárias. Um
comportamento muito comum é o de inventar uma senha forte, e depois usar a
mesma senha, por muito tempo, em muitos serviços e sites diferentes, inclusive
reutilizando o mesmo nome de usuário (login). Isso leva a outro tipo de risco,
pois os serviços com senhas sempre são alvos de ataques, exatamente nas
bases de dados de usuários. Em caso de algum ataque bem-sucedido, se o par
de usuário-senha for comprometido, a segurança de todos os outros serviços
fica fragilizada, principalmente se o login for, de alguma forma, associado ao
nome ou CPF da pessoa física.
34
https://www.360imprimir.com.br/bloco-de-anotacoes
Perante esses grandes desafios e riscos, antigamente era comum
manter, anotada fisicamente, uma “caderneta de senhas”, de preferência
mantida trancada em algum lugar fixo e considerado seguro. Porém, não
raramente, o furto ou perda dessa caderneta poderia fazer o usuário perder seu
acesso a todos os serviços para os quais não tivesse memorizado o login e
senha, e o que é pior, podendo dar acesso a esses muitos serviços a algum
elemento adverso.
https://keepass.info/
Com a migração de muitos sistemas para interfaces web, acessíveis

por meio de browsers (navegadores), popularizou-se a utilização dos geradores
e memorizadores de senhas oferecidos pelos próprios programas
navegadores, como o Google Chrome e o Microsoft Edge. Esses
gerenciadores de senhas são extremamente práticos, geram senhas muito
fortes, no entanto a segurança deles depende exclusivamente de quão boa for
a senha que o usuário utilizar para se autenticar perante o próprio navegador.
35
Existem, hoje em dia, várias alternativas aos gerenciadores de senha

dos próprios navegadores, e estão disponíveis comercialmente, como o
KeePass (gratuito, e que opera só na máquina local, como um Cofre de
Senhas). Há vários, como o BitWarden, OnePass e DashLane, dentre outros.
Normalmente, esses serviços usam recursos em nuvem, e ficarão
disponíveis.... por usuário e senha! Então, reflita muito bem sobre em quem
você confia, e onde permite que suas senhas sejam armazenadas...
Fazendo uma analogia com a velha caderneta de senhas, usar uma
senha fraca para o Gerenciador de senhas para seria como a deixar sem
esconder, em uma gaveta fácil de abrir. Novamente, o equilíbrio entre
segurança e praticidade é difícil de alcançar.
De forma geral, para a maior parte dos usuários, é o suficiente ter uma
senha forte para o Usuário do Navegador, e permitir que ele memorize apenas
as senhas dos serviços de menor impacto e responsabilidade, e, para aqueles
serviços de maior impacto, sempre que possível, ter senhas fortes, mantidas
em algum lugar seguro, e autenticação em vários fatores.
Se achou o tema interessante, pode saber um pouco mais, visitando:

https://www.tecmundo.com.br/seguranca/1971-o-que-e-autenticacao-
.htm
https://stringfixer.com/pt/Password_strength
https://rasteksolucoes.com.br/2019/04/gestao-de-senhas-pessoais-e-
empresariais/
36
Módulo 3 – Tratamento de Dados
Objetivo(s)
• Entender o que são dados e como devem ser tratados;

• Conhecer a Política de Mesa Limpa e sua aplicabilidade no mundo
virtual;
• Entender as necessidades de sigilo e a Classificação das Informações;
• Conhecer os diferentes tipos de armazenamento fixos, móveis e em
nuvem;
• Compreender os rudimentos da Criptografia e seu uso como instrumento
de proteção de dados;
• Conhecer as práticas da deleção permanente de dados e do descarte
seguro de dispositivos e meios de armazenamento, e avaliar a
necessidade de seu emprego.
1. Dados e seu Tratamento
Um dado, neste contexto, é qualquer representação de uma realidade,

e que possui algum valor para o seu detentor ou conhecedor. Quando os dados
são agrupados e tratados, podem ser transformados em informação, e levar a
algum conhecimento.
https://c-static.smartphoto.com/structured/repositoryimage/productcategory/fun_ideas/puzzle/material/0003/image/material1.jpg
37
Dependendo de quão valioso seja o conhecimento que possa ser

gerado a partir de algum dado, principalmente se esse dado não for público,
deve-se lidar com esse dado de forma a o manter protegido.
Proteger um dado significa o manter onde ele não possa ser facilmente
destruído, e não possa ser acessado senão por aquelas pessoas que tenham a
necessidade de o conhecer e estejam autorizadas para o fazer, e mesmo
assim somente depois de devidamente identificadas.
Quando se fala de “tratamento” de dados, isso abrange todo um arco
de atividades, que se inicia na obtenção do dado, continua em seu
armazenamento e acesso, e só termina caso exista, no final, a sua destruição.
Partiremos do princípio de que todos os dados que estejam sob nossas
responsabilidades foram obtidos de fontes genuínas e por meios lícitos, então
não trataremos disto em maior detalhe. Só sobre isso, a ANAC oferece um
outro Curso EaD, sobre Coleta de Dados em Fontes Abertas.
Sobre as etapas seguintes, trataremos a seguir.
2. Política de Mesa limpa
Quando se está em um ambiente de trabalho, é normal lidar com dados

contidos em documentos físicos e digitais, na mesa e na tela. Ao longo de um
dia de trabalho, também é normal, e saudável, realizar pausas nas quais se
espairece a mente e se movimenta o corpo. Consideradas essas duas coisas,
e a variedade de assuntos e documentos com que se lida, não é raro que os
documentos se multipliquem, e as anotações transbordem...
38
Neste contexto, entende-se como Política de Mesa Limpa (e Tela

Limpa) o conjunto de atitudes e procedimentos que visam reduzir o risco de
uma violação de segurança, fraudes e roubo de informações causadas por
documentos/arquivos que, por desventura, tenham sido deixados
desassistidos, e a eventual perda de dados, em virtude de armazenamento
incorreto.
Esse nome, “Política de Mesa Limpa” se popularizou por ser
mencionado na ISO 27001, importante norma internacional de Gestão de
Segurança da Informação. No âmbito da norma, ela deve ser algo formalizado
pela organização, e conter as regras de conduta exigidas dos colaboradores,
no trato do ambiente de trabalho. Um exemplo simples e elegante dessa
formalização pode ser encontrado em https://web.medicamental.com.br/wp-
content/uploads/2021/10/LGPD_Politica-de-mesa-e-tela-limpa.docx.pdf.
Na prática, um conjunto bastante didático dessas regras pode ser visto
em https://www.cherokee.com.br/politica-de-mesa/, de onde transcrevemos:
Cuidado em sua área de trabalho
É importante que seu ambiente de trabalho disponha de áreas para
armazenamento de documentos, como gavetas e armários com trancas, cofres ou
salas de arquivo;
Não deixe documentos em papéis e mídias removíveis, como pendrives e
HDs externos, sobre sua mesa desnecessariamente;
Atente-se para não deixar à vista anotações, recados e lembretes
importantes, incluindo aqueles colados em seu monitor ou divisórias, como post-it;
Leve seu crachá de identificação sempre com você;
Nunca anote senhas em papéis – memorize-as ou armazene em um local
seguro, como gerenciadores de senhas virtuais;
Ao sair de uma sala de reunião, verifique se todos os papéis foram retirados,
se o quadro branco foi apagado e se a folha do flipchart foi descartada
apropriadamente;
Faz parte da política de mesa limpa não fazer refeições e lanches sobre a
mesa e não apoiar copos com qualquer tipo de bebida, incluindo água;
Ao final do expediente, sempre limpe e organize sua área de trabalho.
Informações sensíveis e confidenciais merecem atenção especial

Documentos com Informações estratégicas, internas ou de clientes, devem
ser devidamente guardados em gavetas ou armários trancados quando não estiverem
em uso e ao final do dia;
Mantenha agendas, cadernos e pertences pessoais em gavetas fechadas;
Materiais muito importantes ou confidenciais devem ser trancados em um
local à prova de fogo, como cofres, para que sejam facilmente recuperados em caso
de incêndio ou evacuação;
39
Documentos impressos que contenham informações sensíveis devem ser

destruídos completamente, de preferência em fragmentadoras, antes de serem
descartados;
Evite que papéis sobre a mesa sejam visíveis de janelas ou corredores;
Se você manuseia informações sensíveis, posicione seu monitor ou notebook
de forma a evitar que pessoas possam olhar sua tela e utilize película ou filtro de
privacidade.
Cautela ao usar impressoras e copiadoras

Adote uma cultura sem papel: não imprima documentos de forma
desnecessária, apenas para leitura. Prefira ler na tela do computador, tablet ou celular
sempre que possível;
Ao imprimir informações sensíveis ou confidenciais, retire-as da impressora
imediatamente;
Avalie instalar impressoras com funções de senha ou ativadas por crachá, por
exemplo, para que o documento impresso seja liberado apenas para o requerente da
impressão;
Bloqueie impressoras, copiadoras e scanners após o horário do expediente;
Reduza a quantidade de papel configurando a impressão para frente e verso.
Proteção de dispositivos e sistemas

Da mesma forma que sua mesa, procure manter a área de trabalho do seu
computador limpa e organizada, com os arquivos guardados em pastas, devidamente
identificados e com backup seguro e constante;
Evite manter os arquivos localmente no computador – prefira sempre
armazenar os dados em cloud ou file server;
Mantenha em seu dispositivo o recurso de criptografia de disco, como, por
exemplo, o Microsoft BitLocker;
Configure seu computador para bloquear automaticamente e acionar o
protetor de tela após 2 ou 3 minutos de ociosidade, com desbloqueio apenas por
senha;
Mesmo com a configuração, é recomendado que bloqueie o computador
manualmente sempre que levantar da mesa;
Ao final do dia, desligue o computador, principalmente aqueles que estão em
rede, e verifique se não há nenhuma mídia removível conectada nele.
.
Lembre-se: a segurança é responsabilidade de todos, mesmo quando
estamos trabalhando de casa!
3. Classificação da Informação
Quando mexemos com nossos documentos e sistemas, podemos estar

lidando com dados que:
1) Foram obtidos publicamente, e a respeito dos quais o nosso
interesse também é de conhecimento público;
40
2) Foram obtidos a partir de fontes abertas, porém o conhecimento de

nosso interesse sobre eles pode eventualmente comprometer a
eficácia de nossa ação;
3) Foram fornecidos por algum ente regulado, obrigados por algum ato
normativo ou solicitação da autoridade, mas que não são públicos;
4) Foram gerados internamente, e não são públicos até a execução da
ação a que se refiram;
5) Por sua natureza ou conteúdo, possuam alguma restrição legal à
sua difusão; e daí por diante...
http://direito.folha.uol.com.br/uploads/2/9/6/2/2962839/8924189.png?560
Dependendo da “sensibilidade” do dado, ou da própria existência do
documento que o contenha, estabelecem-se “Classes” de Restrição de Acesso,
que são compatíveis, também, com o tipo de Instituição que os produziu ou
custodia. A isso se dá o nome de “Classificação de Sigilo” do dado, e existem
provisões legais sobre o tipo de proteção que tem de ser aplicada para
salvaguardar o dispositivo de informação (documentos, mídias, sistemas
digitais) que os contenha, e por quanto tempo precisam ser negados ao acesso
público.
41
Nosso órgão, por seu caráter Regulador e Fiscalizador, capta, lida e

gera dados que possuem potencial de impacto no ambiente regulado, além de,
como todos os órgãos públicos, estar sujeito a todas as legislações gerais.
Nossa Lei de Criação (Lei 11.182/2005, disponível em
http://www.planalto.gov.br/ccivil_03/_ato2004-2006/2005/lei/l11182.htm), nos
define como uma Autarquia Especial, e a Lei de Acesso à Informação (Lei
12.527/2011, disponível em http://www.planalto.gov.br/ccivil_03/_Ato2011-
2014/2011/Lei/L12527.htm) define que o Titular da Autarquia (em nosso caso,
o Diretor Presidente, e somente ele) possui a capacidade de classificar
documentos até o Grau de Secreto, enquanto os demais diretores podem
classificar até o Grau Reservado.
Considerado nosso limite como Reservado (e mesmo assim, só para o
topo da hierarquia interna da Agência), justificam-se medidas de proteção a
nossos documentos, mídias e Sistemas de Informação compatíveis só até esse
nível, conforme definidas pelo Decreto 7.845/2012 (disponível em
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm),
que regulamenta, dentre outras coisas, o tratamento das informações
classificadas.
Internamente, dependendo do nível hierárquico e função exercida, os
servidores e colaboradores podem lidar com processos Sigilosos, Restritos ou
Públicos. Em nosso Sistema Eletrônico de Informações, possuímos, para os
servidores que só lidam com processos Restritos ou Públicos, as seguintes
justificativas para a Restrição de Acesso:
42
É bastante interessante observar a variedade de obrigações de sigilo,

principalmente aquelas que nos são específicas, por serem derivadas da
Convenção de Aviação Civil Internacional, acolhida com força de legislação
nacional pelo Decreto 21.713, de 1946 (disponível em
http://www.planalto.gov.br/ccivil_03/decreto/1930-1949/d21713.htm).
Voltando a nosso ponto principal, o fato de lidarmos com dados
sigilosos nos submete às disposições do Decreto 7.845, que será nosso guia
para os tópicos seguintes deste módulo, e norte para os módulos seguintes.
4. Dispositivos de Armazenamento
https://pt.dreamstime.com/photos-images/dispositivos-de-armazenamento-do-computador.html
Consideram-se dispositivos de armazenamento, no âmbito da

Segurança Cibernética, quaisquer meios pelos quais dados digitais possam ser
preservados localmente, em nuvem, ou em mídia ou equipamento portátil.
Dados também podem ser armazenados por meio de Sistemas de Registro e
Guarda de Documentos Digitais (como, por exemplo, o Sistema Eletrônico de
Informações, o SEI!), mas o relacionamento e cuidados com eles, de um ponto
de vista do Usuário, já tratamos com algum detalhe no módulo sobre
Autenticação.
43
Considerando as responsabilidades do colaborador, e levando em

conta a Política de Tela Limpa, para o tratamento dos dados armazenados em
computadores fixos, já comentada, vejamos o que nos diz o Decreto 7845:
Art. 2º Para os efeitos deste Decreto, considera-se: (...)
IX - dispositivos móveis - equipamentos portáteis dotados de
capacidade computacional ou dispositivos removíveis de memória para
armazenamento.
Então, trataremos doravante dos laptops, tablets e smartphones, que

possuem capacidade computacional, e dos discos externos e pendrives,
destinados apenas ao armazenamento propriamente dito.
Continuando com as orientações do Decreto:

Art. 30. A informação classificada em qualquer grau de sigilo será
mantida ou arquivada em condições especiais de segurança.
(...)
§ 2º Para armazenamento em meio eletrônico de documento com
informação classificada em qualquer grau de sigilo é obrigatória a utilização de
sistemas de tecnologia da informação atualizados de forma a prevenir ameaças
de quebra de segurança, observado o disposto no art. 38.
§ 3º As mídias para armazenamento poderão estar integradas a
equipamentos conectados à internet, desde que por canal seguro e com níveis
de controle de acesso adequados ao tratamento da informação classificada,
admitindo-se também a conexão a redes de computadores internas, desde que
seguras e controladas.
Art. 31. Os meios eletrônicos de armazenamento de informação
classificada em qualquer grau de sigilo, inclusive os dispositivos móveis, devem
utilizar recursos criptográficos adequados ao grau de sigilo.
Como uma orientação geral, para os servidores que tenham acesso a

Documentos e Dados sensíveis, mas que não possuam treinamento específico
44
e dispositivos especialmente destinados à preservação desses dados, fica a

dica: NÃO salve material sigiloso em sua máquina local ou em seus
dispositivos móveis. Acesse-os, quando necessário para a visualização ou
edição, diretamente nos Sistemas seguros, porém não os reproduza ou
imprima, caso não esteja especialmente equipado e capacitado para isso!
Nossos dispositivos domésticos e pessoais, via de regra, NÃO atendem ao
disposto no Artigo 31, e tenho a confiança de que aqueles dentre os servidores
que estão equipados e capacitados para atender aos Artigos 30 e 31 também
possuem conhecimentos bem mais avançados que aqueles pretendidos neste
Curso, que é de cunho geral e informativo.
5. Proteção Criptográfica
http://site.ufvjm.edu.br/revistamultidisciplinar/files/2018/05/Mauro0102.pdf
Um modo de assegurar a proteção dos dados é a Cifração, definida no

Decreto 7.845 como:
Art 2º, II - cifração - ato de cifrar mediante uso de algoritmo simétrico ou
assimétrico, com recurso criptográfico, para substituir sinais de linguagem clara
por outros ininteligíveis por pessoas não autorizadas a conhecê-la.
Para que o conteúdo possa ser acessado de maneira inteligível, deve
ser decifrado:
45
VIII - decifração - ato de decifrar mediante uso de algoritmo simétrico

ou assimétrico, com recurso criptográfico, para reverter processo de cifração
original.
De maneira bem elementar, Criptografia pode ser definida como
qualquer método que transforme dados em códigos (cifras) que só podem ser
decifrados por quem tenha uma chave de acesso.
A utilização da criptografia, como dispositivo de proteção, está
fortemente relacionada à sensibilidade dos dados armazenados ou trafegados.
Por exemplo, quando se faz uma compra pela Internet, usando o cartão
de crédito, e se digita os dados do cartão, e o Código de Segurança, também
chamado de Código de Verificação (CVV), é sempre um momento de
intranquilidade, pois existe a consciência de que qualquer pessoa, de posse
desses dados, poderá realizar transações como se estivesse com aquele
cartão na mão. Dessa forma, é necessário ter confiança no site, e confiança de
que os dados não possam ser simplesmente interceptados enquanto trafegam
entre sua máquina e o provedor de serviços do site. Para oferecer essa
confiança em trânsito, foi elaborado o protocolo de transferência de hipertexto
seguro (HTTPS, na sigla em inglês). Com ele, o que é trafegado entre a
máquina local e o serviço remoto já sai criptografado “na origem”, e só poderá
ser aberto lá no destino.
Para informar que a página exposta possui essa proteção, os
navegadores sinalizam claramente, com um Cadeado, ou declaram que o site
NÃO é seguro, com um sinal de alerta, junto ao endereço. Por exemplo, no
Google Chrome, versão em português, isso se parece assim:
Versus
No caso dos navegadores, o algoritmo (método matemático) de

criptografia é provido por alguma entidade externa, chamada de “Autoridade
46
Certificadora”. Caso se tenha a necessidade, ou curiosidade, de conhecer

detalhes sobre o modo como a criptografia foi realizada, e quem forneceu o
método de encriptação, basta “clicar” com o botão secundário do mouse
(habitualmente o botão direito) no ícone de cadeado:
Para maiores detalhes, se clica na seta à direita de “A conexão é

segura”, o que leva para:
Clicando no ícone à direita de “O certificado é válido”, se tem:
47
O uso de HTTPS hoje em dia está bastante disseminado, e a utilização

de Certificados Digitais para assegurar as transações, ou mesmo a validade do
conteúdo da página, se tornou prática constante, mesmo para páginas que não
efetuam transações, para evitar outros tipos de fraudes, como a impersonação,
na qual uma página que “se passa” por outra, legítima, para transmitir conteúdo
falso ou mal-intencionado (malware).
Como orientação, jamais efetue alguma transação sensível, sem dar
aquela checadinha básica, se a página é segura, e se você realmente está
“onde” acredita que deveria estar.
Falando agora sobre conteúdos locais, existem aplicativos que

fornecem a encriptação dos dispositivos de armazenamento (fixos ou
removíveis), com diferentes níveis de segurança. Eles são recomendáveis para
todas as pessoas que mantenham conteúdos sensíveis em suas máquinas e
dispositivos de armazenamento, porém, novamente, voltamos para a questão
das Senhas.
48
https://www.goldsafe.com.br/cofre-de-seguranca-proguard-grau-de-protecao-iii
Os programas de criptografia, assim como as proteções “nativas” de
editores, utilizam senhas para bloquear o acesso ao conteúdo. Só os utilize se
tiver senhas razoavelmente seguras, e tiver como as resgatar, pois senão,
depois de algum tempo, é bastante frequente que se perca o acesso a
conteúdo, por não se saber mais qual é a senha que os “abre”.
6. Deleção completa e Descarte seguro
Retomando uma frase do item 1 deste módulo: “Quando se fala de

“tratamento” de dados, isso abrange todo um arco de atividades, que se inicia
na obtenção do dado, continua em seu armazenamento e acesso, e só termina
caso exista, no final, a sua destruição.”
Está na hora de falarmos da remoção de arquivos do computador, ou
dos dispositivos móveis de armazenamento.
Para começo de conversa, você tem ideia de como os arquivos são, de
fato, armazenados no computador?
49
https://pt.dreamstime.com/photos-images/dispositivos-de-armazenamento-do-computador.html
Arquivos, sejam eles “em claro” ou criptografados, são sequências de
“bits” (Zero ou Um), gravados, seja por meio magnético (em diskettes ou Hard
Disk Drives – HDD, ou discos rígidos), ou meio elétrico (em flash memory,
como em pendrives ou memórias em estado sólido (Solid State Drives, SSD)
que, lidos de forma ordenada, permitem transferir para a memória de trabalho
(a famosa RAM, Random Access Memory), ou “memória volátil” o material que
precisa ser efetivamente processado.
Pois bem: Quando se grava um arquivo (especificamente em um HDD
ou Disco Removível) utilizam-se espaços do dispositivo de armazenamento
(endereços) que estão marcados como “livres” em uma tabela de
endereçamento. O arquivo pode ser gravado inteiro, ou aproveitando várias
“vagas” de diferente tamanho, em vários fragmentos. Quando se faz isso,
anotam-se naquela tabela de endereçamento (File Alocation Table – FAT)
alguns dados básicos (nome, tipo, tamanho, data da gravação ou modificação),
e a lista dos locais (endereços) onde os pedaços do arquivo foram
efetivamente gravados.
E o que acontece quando se manda um arquivo para a “Lixeira”?
Simplesmente, marca-se na FAT que aqueles endereços continuam ocupados,
50
e se manda para uma outra Tabela (a da Lixeira) aqueles dados básicos sobre
os Arquivos “deletados”. Enquanto os arquivos estão anotados na Lixeira, eles
continuam a ocupar o espaço na lista de endereços, e podem ficar lá, gravados
no disco, disponíveis para ser recuperados com um único “clique”, pois nada
pode ser gravado “por cima deles”, já que seus endereços físicos no dispositivo
continuaram marcados como Ocupados.
A outra opção que nos é dada, quando queremos “deletar” um arquivo
é a deleção chamada de “permanente”. O que muda? Nela, os endereços do
disco, ocupados pelo arquivo, são anotados como “disponíveis” na FAT, e as
informações básicas são descartadas. E só! Mas, se vocês pararem para
pensar, o que aconteceu com os arquivos em si, a sequência de bits
propriamente dita, onde o conteúdo do arquivo está realmente armazenado?
Bem, com eles, por enquanto, não aconteceu NADA. O arquivo continuou lá,
exatamente no local ou locais onde foi gravado. Só o que se fez foi jogar fora o
que o Sistema Operacional sabia sobre ele, e marcar como “disponível para
gravação” o local ou locais onde ele está armazenado!
E dá para recuperar o arquivo, nessas condições, em que ele foi
“deletado permanentemente” do Disco Rígido, ou Disco Removível? SIM!
Os dados básicos do arquivo são gravados também no começo de
cada fragmento, e existe um marcador no final de cada um desses pedaços.
Então, imagine que nada tenha sido gravado no dispositivo depois daquela
operação de “deleção permanente”. O arquivo, em si, pode estar fragmentado,
mas todos os seus pedaços ainda estão inteirinhos, e devidamente “rotulados”.
Imagine, agora, um programa que faça a leitura sequencial de todo o
dispositivo. Para facilitar a imaginação, lembre-se de um disco de vinil, no qual
a agulha “corria” todo o disco, do começo ao fim. Esse programa lerá todas as
sequências de bits, independentemente do fato de o dispositivo ter, ou não,
uma lista que diga o que está onde. Agora, instrua esse programa a anotar as
“posições” (os endereços) de todos os rótulos que encontrar, e marcas de final
de bloco. Agora, só com os dados desse “leitor sequencial”, já deu para
recuperar todos os “blocos” do arquivo deletado, e o remontar é “brincadeira de
51
criança”. Considerando as velocidades de leitura e os tamanhos de

armazenamento, essa leitura sequencial pode levar vários minutos, talvez até
uma hora ou mais. Mas entendem como a operação, em si, é extremamente
fácil?
Imaginemos, agora, que se passou algum tempo, o dispositivo de
armazenamento continuou a ser utilizado, e alguns arquivos novos podem ter
sido escritos sobre pedaços daquelas “vagas” originalmente ocupadas pelo
arquivo de interesse. Ainda dá para recuperar?
SIM! Talvez não integralmente, mas dá para recuperar muita coisa!
Novamente, lê-se sequencialmente, prestando especial atenção aos
“espaços entre blocos”... E com os pedaços que ainda estavam inteiros, mais
fragmentos sem rótulo ainda encontrados, e, neste caso, um pouco de
processamento “sério”, pode-se recompor MUITO do arquivo
“permanentemente deletado”.
Lembra-se da sua responsabilidade no tratamento das informações,
principalmente se elas forem sensíveis ou sigilosas? Ainda se sente seguro ao
“deletar permanentemente” um arquivo, usando só a ferramenta dada pelo
sistema operacional?
Mas mantenha a calma! Dá, sim, para apagar arquivos de maneira
praticamente completa, em um Disco Rígido ou Disco Removível! Basta usar
algum dos muitos programas disponíveis que existem para “passar a borracha”,
isto é, sobrescrever os dados originais com um “ruído” de Zeros e Uns que
tornam a leitura dos antigos blocos “praticamente” impossível, além de, é claro,
cooperar com a ferramenta de deleção do sistema operacional, no apagamento
daquelas “referências ao arquivo” que estavam na FAT. Com isso, pode-se
dizer que se fez uma deleção completa, e segura. Bem, dependendo do nível
de segurança exigido, o programa apagador pode ter de sobrescrever de ruído
várias vezes, até eliminar qualquer rastro. Mas isso é outra história, para a
Perícia Digital, também conhecida como Cibernética Forense.
52
Por fim, lembremos que, nas empresas ou repartições, é normal

“renovar a frota” de computadores, de tempos em tempos. E o que fazer com
os computadores antigos, que serão vendidos em segunda mão, ou doados?
A mesma coisa!
Tudo bem que essa NÃO é uma das responsabilidades do usuário
comum, mas vale a pena comentar que, aqui no caso da ANAC, uma das
atividades que se executa quando se vão doar os destops, laptops e servidores
obsoletos, até mesmo por causa das licenças que pagamos para usar os
Programas e Sistemas Operacionais, é a obliteração completa dos dispositivos
de armazenamento desses equipamentos. Essa é uma atividade que fica a
cargo da Superintendência de Tecnologia da Informação, em cooperação com
a Superintendência de Administração e Finanças.
É importante ressaltar que os dispositivos de armazenamento em
estado sólido, como pendrives e SSDs operam de uma forma diferente, que,
muitas vezes, NÃO possibilita essa leitura “linear”, ou o endereçamento
específico dos pacotes a serem gravados, seja por algum programa ou mesmo
pelos sistemas operacionais. Por sua arquitetura, eles têm maior “autonomia”
para cuidar de seus assuntos internos, então, da mesma forma que é mais
difícil recuperar arquivos que tenham sido “deletados permanentemente”,
também é mais difícil eliminar, no nível dos bits e Bytes, os registros realizados.
https://pt.coolclips.com/m/vetores/vc027830/pessoa-usando-uma-marreta
53
Então, se você utiliza um SSD em seu laptop, ou usa pendrives, esteja

consciente que, uma vez que o tenha utilizado para arquivar algum material
sensível ou confidencial, ele NÃO poderá mais ser considerado limpo, com a
tecnologia atualmente disponível. Para assegurar que ninguém mais possa ter
acesso a determinado arquivo que tenha sido gravado, ou se utiliza alguma
Criptografia realmente forte (e isso não é fácil nem barato), ou se destrói
fisicamente (martelando completamente) o dispositivo. É duro, mas é verdade,
por enquanto.
E no papel?
O trato de documentos que contenham dados sensíveis está abarcado
na Política de Mesa Limpa, porém, quando chega o momento de os descartar,
são necessários cuidados especiais, que serão proporcionais ao nível de
sensibilidade/confidencialidade dos documentos ou materiais.
Não podemos nos esquecer que nossas atividades envolvem decisões
que afetam entes regulados que movimentam bilhões de reais, atingem suas
reputações, e mesmo o prestígio internacional da aviação civil brasileira, seja
como operadores ou fabricantes. Enfim, o nosso ambiente é bastante “quente”,
do ponto de vista de interesses, e lidamos com global players que não
costumam “brincar em serviço” quando se trata do ambiente altamente
competitivo em que nos encontramos.
E vocês sabem qual é a empresa que venceu a concorrência dos
serviços de limpeza das instalações da Agência? Conhecem quais são os
outros negócios e clientes da empresa que faz a copeiragem? E a manutenção
predial? Os serviços de Secretaria? É provável que poucos saibam...
Há ambientes onde é comum o trato com documentos Secretos, mas o
nosso não é um deles. Naqueles ambientes, existe todo um treinamento
específico para o uso de máquinas fragmentadoras ou trituradoras, bem como
repositórios próprios e controlados para os fragmentos, até a sua eliminação
por dissolução, para reciclagem do papel, ou por incineração.
Em nossos ambientes, onde circulam no máximo documentos sigilosos
Reservados, não existe um aparato próprio para o seu tratamento adequado,
54
nem estruturas específicas destinadas ao armazenamento e destruição

segregados, principalmente por esses documentos serem bastante raros. Mas,
ainda assim, nossas Unidades dispõem de equipamentos básicos, que são as
fragmentadoras de escritório.
https://triturare.com.br/loja/fragmentadora-de-papel/medio-porte/fragmentadora-de-papel-triturare-trx-24-t-24-folhas-corte-em-tiras
E você sabe onde ficam as fragmentadoras de sua Unidade? Trate de

descobrir! E, quando usar a fragmentadora, se achar que os filetes são tão
grandes que ainda seja possível reconstituir os documentos, não se iniba:
Esteja à vontade para pegar esses filetes e passar de novo na máquina, para
virarem picadinho. Só tome cuidado com os dedos, e coloque de pouco em
pouco, para não empaçocar, e travar a máquina!
E após reuniões presenciais onde tenham sido tratados temas

sensíveis?
Limpe muito bem os quadros brancos, de modo que não sobrem
vestígios.
Recolha as folhas de flip-chart que tenham sido usadas, e as guarde
em segurança, se precisar as manter, ou, após transcrever eventuais
55
anotações relevantes, as pique (e, se o tema for muito sensível, passe os

pedaços na fragmentadora).
Revise as mesas e lixeiras, e recolha eventuais anotações e post-its
que tenham ficado para trás, para os descartar apropriadamente.
Neste momento, ao meio de 2022, em um cenário decorrente da

recente decretação de estado de atenção de saúde pública de interesse
internacional, a chamada Pandemia SARS-CoV2, apelidada de COVID-19,
muitos de nossos colegas não estão operando fisicamente nas unidades onde
estão lotados, mas sim trabalhando em suas residências.
Para esses, vale a regra geral a abrangente: NÃO leve papéis da
ANAC para casa! Nosso bem-sucedido Projeto ANAC sem Papel, pelo qual
houve a implantação do SEI!, nos equipou a trabalhar online, com documentos
digitais ou digitalizados. Então, se precisar, equipe-se com mais de uma tela
para seu computador, mas NÃO imprima.
Levando em conta as considerações anteriores sobre Arquivos Digitais,
idealmente, NÃO salve os conteúdos que sejam acessíveis pelo SEI! como
arquivos em suas máquinas locais ou dispositivos móveis de armazenamento.
Acesse-os online!
Sobre o armazenamento em dispositivos móveis, é interessante
lembrar o que define a Norma Complementar nº 7: “Art. 7º: A gestão do uso
dos dispositivos móveis na rede da ANAC obedecerá às seguintes orientações
e procedimentos gerais: Inciso IX - O armazenamento de informações
classificadas em dispositivos móveis removíveis deverá ser restringido àqueles
que possibilitem a aplicação de controles compatíveis com o nível de
classificação da informação”.
Generalizando o conceito, se você lida com algum conhecimento
sensível, e não possui equipamentos/serviços criptográficos fornecidos e
controlados pela própria Agência, armazenar os dados localmente se torna
uma vulnerabilidade de segurança.
56
A Norma Complementar nº 7 está disponível em

https://www.anac.gov.br/assuntos/legislacao/legislacao-1/boletim-de-
pessoal/2022/bps-v-17-no-13-28-03-a-01-04-2022/portaria-
7663/visualizar_ato_normativo, e sua leitura completa é altamente
recomendada!
O Seguro morreu de Velho!
Para saber mais sobre estes temas, é útil ler:
https://www.cherokee.com.br/politica-de-mesa/
https://www.totalprivacy.com.br/post/pol%C3%ADtica-de-mesa-limpa-e-tela-limpa
https://www.techtudo.com.br/noticias/2012/06/o-que-e-criptografia.ghtml
http://site.ufvjm.edu.br/revistamultidisciplinar/files/2018/05/Mauro0102.pdf
https://ssd.eff.org/pt-br/module/tutorial-como-deletar-dados-de-maneira-segura-no-
windows
https://recoverit.wondershare.com.br/erase-data/10-free-file-shredder-software-
programs.html
57
Módulo 4 – Exposição acidental
Objetivo(s)
• Reconhecer os cuidados necessários para guardar e usar

responsavelmente os dados, evitando sua exposição acidental;
• Compreender como uma conduta responsável contribui para evitar a
exposição acidental dos dados; e
• Entender quais os cuidados no trato de dispositivos de mensagens são
necessários para evitar o envio inadvertido ou acidental de dados para
destinatários errados.
1. Guarda e uso responsável
Quando se detém um conhecimento sensível, existem diferentes

possibilidades para o seu vazamento, isto é, para o acesso a ele por parte de
pessoas que não têm a permissão para o conhecer.
https://www.theguardian.com/politics/gallery/2011/aug/30/political-documents-accidentally-revealed
Normalmente, pensamos nas defesas e medidas de proteção como

barreiras para impedir que alguém “de fora” acesse o conteúdo sensível, seja
58
de forma inadvertida (acesso acidental) ou voluntária (entrada proposital).

Assim, criam-se procedimentos, erguem-se barreiras, estabelecem-se senhas
e níveis de acesso, compartimentos separados et cœtera para impedir quem
não tem a permissão acessar aquilo que se deva proteger.
Porém, a pessoa que tem esse acesso, e que acessou legitimamente e
agora está com o dado, o documento, o material sensível, se torna ela mesma
uma extensão do dispositivo de proteção ao sigilo! E quase nunca pensamos
no fato de que quem é “de dentro” é, antes de mais nada, um ser humano, e,
como tal, falível!
É à consciência desses fatos, e aos cuidados que a pessoa tem a
obrigação de adotar nessa condição, que se dá o nome de Guarda e Uso
responsável.
https://www.spycatchersllc.com/blog/how-to-tell-if-someone-is-spying-on-you
Se olharmos com mais cuidado para a palavra, o que significa

“responsável”? Literalmente, significa “aquele que responde por algo”. Então,
em termos bastante simples, “Guarda e Uso Responsável” significa que o
detentor (guardador) e usuário de determinado dado, documento ou material,
terá de RESPONDER, isto é, ser RESPONSABILIZADO, no caso de mau uso,
ou quebra do sigilo.
De um ponto de vista institucional, pensa-se na responsabilização, de
forma reativa, como a definição das penalidades e restrições que podem ser
59
impostas àquelas pessoas que, por comissão ou omissão, tenham usado

inapropriadamente, tenham quebrado ou permitido a quebra do sigilo, isto é, a
exposição, do dado sigiloso.
https://home.howstuffworks.com/home-improvement/household-hints-tips/cleaning-organizing/10-things-cleaning-lady-doesnt-want-you-to-know.htm
Nesse viés, existe, no extremo, a criminalização da violação do sigilo

funcional, como prevê o Código Penal (disponível em
http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm):
Art. 325 - Revelar fato de que tem ciência em razão do cargo e que
deva permanecer em segredo, ou facilitar-lhe a revelação:
Pena - detenção, de seis meses a dois anos, ou multa, se o fato não
constitui crime mais grave.
§ 1o Nas mesmas penas deste artigo incorre quem: (Incluído pela Lei
nº 9.983, de 2000)
I – permite ou facilita, mediante atribuição, fornecimento e empréstimo
de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a
sistemas de informações ou banco de dados da Administração Pública;
(Incluído pela Lei nº 9.983, de 2000) (grifo nosso)
II – se utiliza, indevidamente, do acesso restrito. (Incluído pela Lei nº
9.983, de 2000)
§ 2o Se da ação ou omissão resulta dano à Administração Pública ou a
outrem: (Incluído pela Lei nº 9.983, de 2000)
60
Pena – reclusão, de 2 (dois) a 6 (seis) anos, e multa. (Incluído pela Lei

nº 9.983, de 2000)
Evitando o extremo da Criminalização, devemos refletir que, mesmo

sem a intenção de dar divulgação ou publicidade a material, documento ou
dado sigiloso, o ser humano pode “baixar a guarda”, e inadvertidamente, ou,
como se diz, acidentalmente, expor aquilo que deveria manter guardado. A
Exposição Acidental é fonte frequente de vazamentos, e origem de escândalos.
Ela ocorre quando o agente não está ciente de que está mostrando o que pôs à
vista de todos.
https://inglesnoteclado.com.br/2019/06/at-the-meeting-ou-in-the-meeting-qual-o-certo.html
Em nosso ambiente, temos contatos frequentes com entes regulados, e

contatos eventuais com ambientes de interesse de veículos de comunicação de
massa ou veículos especializados em assuntos de Aviação Civil. Bem, em
primeiro lugar, devemos lembrar que, em nome da Agência, somente a
Assessoria de Comunicação Social está autorizada a ter contato direto com a
Imprensa. Isso deve NOS inibir de aceitar contato, mas, obviamente, não inibe
a Imprensa de abordar, de tentar o contato, ou até de obter acesso “pelas
nossas costas” aos assuntos e materiais que tratamos.
61
Um ponto bastante importante, neste contexto, é a Representação

Institucional. Se você for convidada(a) para um evento, e há algum momento
em que será apresentada(a) como (Senhor Fulano de Tal) (Senhora Sicrana de
Tal), da ANAC, esteja certa(o) de conhecer as regras do jogo, e obtenha, pelo
devido processo no SEI!, a autorização e endosso do Gabinete da Diretoria
para essa missão! Nesse tipo de processo, de Atuação e Representação, a(o)
dirigente de sua Unidade terá atestado que você está qualificada(o)
tecnicamente para debater os assuntos abordados no evento, apta(o) a
expressar o posicionamento oficial da Agência e alinhada(o) aos princípios e
diretrizes da Política de Comunicação Institucional.
Então, considerando a sensibilidade dos temas a que cada um tem
acesso, fica a orientação: Jamais “baixe a guarda” quando estiver na presença
de entes regulados, ou em ambientes públicos. Jamais carregue materiais sem
a devida proteção, ou mexa em documentos onde eles possam ser vistos por
olhares curiosos.
https://all.accor.com/loyalty-program/earn/meetingplanner/index.pt.shtml
Outra forma de Exposição Acidental, infelizmente bastante frequente,

se dá pelo extravio de documentos ou dispositivos de armazenamento. Quanto
a isso, a grande orientação é a de não os portar, porém, se inevitável, manter
uma rotina de organização que lhe permita, sempre, checar antes de sair de
62
um local se está de posse de todos os documentos, pendrives et cœtera, e só

sair após confirmar que não deixou nada para trás. Se, apesar disso, em algum
momento posterior perceber que perdeu algum material sensível, ou dispositivo
de armazenamento, é fundamental reportar isso para sua Cadeia de Comando.
https://tecnologia.culturamix.com/dicas/notebook-roubado-o-que-fazer
Não podemos jamais nos esquecer que as informações detidas pela

Agência são de grande interesse dos Entes Regulados, e também da Imprensa
e "outros Agentes", e que eles podem se utilizar de técnicas especializadas
para os obter, e que nem sempre possuem limites éticos para a sua atuação.
Então, não é surpreendente que possam utilizar, sob o disfarce de
ação criminosa comum, o roubo de equipamentos portáteis e dispositivos de
armazenamento da Agência, quando estamos em Missão fora dela, ou até
mesmo o roubo de ativos de informação dentro das instalações da ANAC.
Por isso, mantenha sempre a "guarda alta", não armazene dados
sensíveis nos equipamentos, e, se estiver em campo, JAMAIS se afaste de
seus equipamentos, ou os deixe desassistidos. Lembre-se que, quanto mais
alta for sua posição, ou mais sensíveis os assuntos sob sua responsabilidade,
mais isso torna você um "alvo preferencial" para a ação de um Agente Adverso,
seja ele enviado por um Ente Regulado ou uma nação estrangeira!
63
Caso o material ou dispositivo extraviado tenha a anotação de alguma

senha para acesso a sistemas da Agência, ou seja, token de acesso, é
fundamental modificar as senhas imediatamente, e fazer o reporte, na forma
que será orientada no Módulo 5, sobre Incidentes de Segurança.
https://www.videomaker.com/how-to/technology/how-to-screen-share-and-use-a-camera-simultaneously
Uma nova forma, mais “moderna” de Exposição Acidental, é a que

acontece quando se abrem conteúdos em seu computador, quando, em
Videoconferência, esteja com a tela compartilhada.
Para quem opere muito tempo em videochamadas, e tenha o hábito ou
necessidade de compartilhar uma Tela, ao invés de uma Janela ou Conteúdo,
não é raro, ao realizar mais de uma atividade ao mesmo tempo, acabar abrindo
na tela compartilhada algo que os outros interlocutores presentes não têm a
necessidade de conhecer. Como todos os interlocutores têm, em seus
equipamentos, a tecla “Print Screen”, para carregar em suas áreas de
transferência a imagem de tudo o que esteja em suas telas, é o mesmo que
estar na presença de fotógrafos, com o dedo no botão de disparo, todo o
tempo...
E, sobre o trato com as comunicações digitais, veremos um pouco mais
à frente, no item 3 – Envio Inadvertido.
2. Conduta responsável
64
Quando falamos de Conduta, para um servidor público, precisamos ser

um pouco mais específicos do que o simples conceito genérico de
“comportamento”, pois estamos em um campo mais estrito e regrado que o da
moralidade, que é abrangente.
https://www.shutterstock.com/pt/search/office+spying
Trazendo mais para perto de nossa realidade imediata, o que nos diz o
Código de Ética e Conduta dos Agentes Públicos da ANAC (Resolução
569/2020 disponível em https://www.anac.gov.br/assuntos/legislacao/legislacao-
1/resolucoes/2020/resolucao-no-569-25-06-2020):
Art. 6º Além dos deveres fundamentais previstos no inciso XIV do
Código de Ética Profissional do Servidor Público Civil do Poder Executivo
Federal, são deveres do agente público da ANAC: (...)
XVII - zelar pelas informações a que tenha acesso, comunicando à
autoridade competente toda e qualquer manipulação indevida por outro agente
público ou por terceiro, assim como toda situação de vulnerabilidade de que
65
tenha conhecimento e que coloque as informações sob o risco de acesso por

pessoas não autorizadas.
Então, a Conduta Responsável do servidor da ANAC, em relação aos
meios pelos quais tem acesso e manipula os dados da Agência, é a de vigiar
se ninguém mais, além dele, os acessa, e se não há pontos frágeis no
ambiente em que está, e, caso detecte algo indevido, reportar isso pelos meios
adequados. Trataremos disso em maior detalhe no Módulo 5, sobre os
Incidentes de Segurança, em seu Item 5 - Formas e canais adequados de
notificação.
Para manter continuamente uma Conduta Responsável em relação aos
ativos de Informação e Comunicação, o servidor deve ter plena consciência do
nível de sensibilidade dos dados com que lida, e da disponibilidade e
capacidades dos meios disponíveis para a sua proteção.
3. Envio inadvertido
Hoje em dia, ainda mais para quem está em Home Office, muitos
assuntos correntes (e mesmo atos preparatórios para a ação governamental)
são tratados, em claro, por meio de nossos e-mails institucionais, e até mesmo
por meio do sistema de comunicação e troca de arquivos em nuvem, fornecido
pela Agência, o TEAMS.
A utilização desses meios, pelos quais se enviam dados e arquivos,

exige grande responsabilidade, principalmente quando essas comunicações
66
começam a envolver mais de dois interlocutores. Há assuntos que geram

sequências de mensagens (threads), e a cada etapa, por iniciativa de cada
emissor, mais destinatários podem vir a ser incluídos. Isso dá a esses novos
destinatários o acesso ao corpo das mensagens anteriores, e ao corpo e
anexos das mensagens seguintes.
No entanto, é bastante natural que, principalmente “no calor do
assunto”, pensemos apenas naquele interlocutor para o qual estejamos
respondendo alguma mensagem, e raramente revisamos os outros
destinatários, e ainda menos frequentemente “saneamos” a lista de
destinatários, removendo todos aqueles que não tenham a necessidade de
conhecer aquilo.
Outro comportamento muito comum é o de, a cada “passa e repassa”,

não limpar as mensagens anteriores, sob a justificável intenção de “preservar a
história da discussão”. No entanto, há vários momentos em que, quando
alguém é “embarcado” em uma thread algum tempo depois de iniciado, esse
“recém-chegado” ler apenas a mensagem mais recente, ou, se muito, a
imediatamente anterior. Então, essa pessoa tem na mão, às vezes, semanas
de discussões, e, eventualmente, dados que foram agregados aos argumentos,
e sequer toma ciência do que realmente tem, ali, sob a sua responsabilidade.
Somando esses comportamentos, absolutamente comuns, pode
imaginar a quantidade de vezes que alguns de nossos colegas enviaram dados
67
originais para destinatários que não sabiam que estavam na lista, ou

mandaram para novos destinatários dados anteriores que não sabiam que
estavam lá?
E você, já fez isso alguma vez, “no calor do assunto”?
Então, quando estiver usando e-mail, lembre-se de sua
responsabilidade pessoal, e jamais envie o que não tenha lido, para algum
destinatário que não tenha visto claramente.
De quebra, no TEAMS, jamais deixe de dar uma olhada naqueles
campos de “Participantes”, em reuniões, ou de Membros da Equipe.
Combinado? Lembre sempre que, se algum Usuário externo à ANAC é incluído
em alguma Equipe, essa pessoa adquire a capacidade de buscar qualquer
servidor da Agência por meio de nosso TEAMS, bastando ter o seu e-mail, e
abrir “chat” direto, com o que pode, se não escrever nada, ficar apenas
monitorando o status do servidor de interesse. Se o tema que justificou a
criação da Equipe com elementos externos já estiver resolvido, certifique-se
que se eles foram excluídos.
Por fim, mas não menos importante, devemos nos lembrar que nossas
“personalidades digitais” em Redes Sociais, para alguns, podem ser tão ou
mais visíveis que as próprias pessoas. Então, ao expor algo para o Mundo,
lembre-se de checar se não contém dados aos quais só teve acesso em virtude
do exercício funcional.
É importante lembrar que a Instituição tem os seus próprios perfis em
Redes Sociais, e a ASCOM, que os administra, é a única entidade autorizada a
falar de Assuntos de Serviço naqueles ambientes, assim como é autorizada a
conversar com os veículos de comunicação!
Para saber mais sobre estes temas, é interessante a leitura de:

https://emporiododireito.com.br/leitura/o-crime-de-violacao-de-sigilo-
funcional
https://jus.com.br/artigos/22921/o-servidor-publico-e-o-dever-de-
guarda-de-sigilo
68
Módulo 5 – Incidentes de Segurança
Objetivo(s)
• Compreender os conceitos de Segurança da Informação e Incidentes de

Segurança.
• Identificar sinais precursores e indicadores de Incidentes de Segurança;
• Conhecer os tipos de incidente de segurança;
• Entender os conceitos de extensão, magnitude e gravidade dos
incidentes de segurança;
• Conhecer e empregar as formas adequadas e os canais apropriados
para notificar os incidentes de segurança que tenha reconhecido.
1. Segurança da Informação
Para entender o que é um Incidente de Segurança, é importante

solidificar um pouco mais o que é entendido como Segurança da Informação.
https://debsolutionsti.com/iso-27000/iso-27000/
A Segurança de Informação se apoia em alguns pilares, a saber:
• Integridade: O dado mantém as características de quando foi
registrado. Existe perda da Integridade quando um dado é alterado
ou destruído, de maneira não autorizada e adequadamente
registrada.
69
• Confidencialidade: O dado só é acessado por quem tem a

autorização para o visualizar. Existe perda da confidencialidade,
também chamada de quebra do sigilo, quando há acesso não-
autorizado.
• Disponibilidade: O dado pode ser acessado pela pessoa autorizada
a qualquer momento. Existe perda de disponibilidade quando algum
processo necessário para assegurar o acesso deixa de funcionar,
ou algum equipamento “sai do ar”.
Para além desses primeiros pilares, que têm a haver com a

manutenção do dado depois de já existente, existem também outras
considerações importantes sobre o processo de Criação do Dado, e que
exigem tanta atenção quanto os anteriores. São:
• Autenticidade: O dado é considerado autêntico quando é possível
assegurar a legitimidade de sua origem. Em outras palavras,
garantir que o dado tenha sido criado, expedido, alterado ou
eliminado exclusivamente por determinado Sistema, em operação
devidamente registrada. Existe perda de autenticidade quando
existam outros meios para alterar os dados, por fora do Sistema
designado para isso, e que não gerem registros dessa modificação.
• Irretratabilidade, ou não-repúdio: Este é uma “continuação” da
autenticidade. O dado é irretratável se o Sistema (autêntico e
exclusivo) pelo qual o dado foi lançado, modificado ou excluído
registra a autoria dessa operação de tal forma e protegido por tais
meios de autenticação, que o indivíduo ou entidade não tenha como
negar essa ação. Existe perda da irretratabilidade quando mais de
uma pessoa ou entidade pode se apresentar ao Sistema como
sendo o mesmo Usuário.
Existe ainda mais um sustentáculo para a Segurança da Informação,

que é externo aos meios tecnológicos: É a Responsabilidade, que faz com que
70
o autor conhecido de uma ação tenha obrigações em relação à ação que

realizou.
Consolidado este conhecimento, podemos falar dos Incidentes, isto é,
das situações em que a Segurança tenha sido comprometida ou perdida.
Daqui para a frente, manteremos como “pano de fundo” a definição

contida na Norma Complementar nº 5 (Gestão de Incidentes de Segurança em
redes de computadores, disponível em
https://intranet.anac.gov.br/aanac/comites-e-comissoes/csic/arquivos/NC5.pdf):
“Incidente de Segurança em redes computacionais - Qualquer evento
adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de
computação ou das redes de computadores”
2. Sinais precursores
Os Precursores de Incidentes de Segurança são sinais de que algum

incidente possa acontecer no futuro. Eles normalmente estão relacionados à
detecção de um ataque, quando ele não foi bem-sucedido, ou à descoberta de
uma vulnerabilidade que ainda não era conhecida, ou não havia sido
detectada.
71
https://www.istockphoto.com/br/ilustra%C3%A7%C3%B5es/dam-leak
Quando se descobre algum Sinal Precursor, a instituição precisa tomar

contramedidas, seja eliminando a vulnerabilidade, quando imediatamente
possível, ou monitorando mais intensamente a atividade do Sistema ou
Equipamento sabidamente vulnerável, até que sejam construídas defesas
adequadas.
Vejamos, na prática, quais são alguns Precursores de Incidente:
• Publicação, por um fabricante de Equipamento, ou fornecedor
de Sistema, de que foi detectada uma vulnerabilidade, ou que
está ocorrendo um novo tipo de exploit (exploração de
vulnerabilidade);
• Ameaça, por algum agente adverso, de que atacará os ativos,
sistemas ou ambientes da Instituição; e
• Anotação nos registros automatizados (os logs) de algum
equipamento (por exemplo, um servidor web), evidenciando
que algum ataque exploratório (o “escaneamento”) de
vulnerabilidades pode estar em execução.
Os sinais precursores de incidentes de segurança não são frequentes,
e normalmente não são perceptíveis ao usuário comum, cabendo às estruturas
dedicadas à proteção cibernética manter-se atentas à sua ocorrência. Porém,
se ficar, por algum motivo, sabendo de algum deles (principalmente alguma
ameaça) por favor, comunique à Agência, da forma como detalharemos no
Item 6 deste Módulo, logo a seguir.
72
3. Indicadores
O Indicadores de Incidentes de segurança são sinais ou indícios de

que um incidente aconteceu, ou possa estar ainda acontecendo. Eles são
muito mais frequentes que os precursores, e a maior parte é visível ao usuário
comum.
https://www.istockphoto.com/br/vetor/m%C3%A3os-apontando-para-um-ladr%C3%A3o-pego-roubando-ilustra%C3%A7%C3%A3o-de-desenho-animado-vetor-gm1371665989-440958454
Como há uma grande variedade, vamos exemplificar os indicadores no

item seguinte, onde exploraremos os Tipos de Incidente de Segurança, para
que seja mais fácil compreender como os incidentes “mostram a cara” (quando
mostram, é claro...)
4. Tipos e extensão
Quando se entende o que é a Segurança da Informação, não é difícil

perceber quando ela foi comprometida ou perdida.
https://patriciajq.wordpress.com/2013/01/25/nao-adianta-chorar-pelo-leite-derramado/
Olhando pelas dimensões comentadas no item 1, veremos:

• Perda de INTEGRIDADE
73
Acontece quando um dado é modificado ou destruído sem autorização.

Seus indicadores são a ausência de um dado que se sabe que estava
anteriormente presente, ou a presença de um conteúdo diferente do que
sabidamente estava anteriormente, sem o registro de sua modificação ou
remoção. Muitas vezes, só é possível confirmar a perda de integridade dos
dados fazendo a comparação dos dados atuais com uma versão anterior, de
backup.
• Perda de Confidencialidade
Acontece quando um dado foi acessado por alguém que não tinha a
autorização para tal. Isso acontece, basicamente, de duas formas: Invasão ou
Vazamento. Na invasão, uma pessoa não autorizada acessa o ambiente onde
o dado pode ser visualizado. No vazamento, o dado pode ser visualizado fora
do ambiente onde deveria estar resguardado.
Os indicadores de uma Invasão podem ser específicos da TI
(Tecnologia da Informação), sendo percebida pela análise dos logs de acesso
e tráfego, ou por alarmes de algum sensor ou sistema ativo especializado em
detecção de intrusão do banco de dados, mas também podem ser claros para
um usuário comum, como quando uma pessoa não-autorizada demonstra ter
conhecimento de algo bastante específico que não poderia conhecer de outra
forma (e não tenha ocorrido vazamento do dado).
Já os Vazamentos normalmente são percebidos quando ocorre alguma
indiscrição por parte de quem tenha recebido os dados, fora do Sistema, ou,
dependendo do tamanho do vazamento, por análise dos registros de tráfego
pela rede no repositório dos dados, vis a vis os registros de acessos.
• Perda de DISPONIBILIDADE
Este é o Incidente mais comum, e o mais fácil de ser percebido pelos
Usuários, e pelos dispositivos automatizados de monitoramento. A limitação do
acesso a dados que estejam íntegros normalmente está relacionada ao
funcionamento dos Sistemas ou dos Equipamentos que lhes dão suporte. Ele
ocorre quando o Sistema “sai do ar” completamente, ou quando alguma de
suas funções internas não consegue exibir os dados.
74
• Perda de AUTENTICIDADE / IRRETRATABILIDADE

Estes Incidentes de Segurança têm a haver com aspectos
tecnológicos, quando o Sistema tem comprometida a capacidade de registrar
adequadamente a autoria das ações ocorridas, mas também com fatores não-
tecnológicos, quando uma pessoa é capaz de se passar por outra, como, por
exemplo, pelo vazamento (ou compartilhamento) do par usuário/senha. Um
indicador deste tipo de incidente é a perda, corrupção ou edição dos registros
(logs) de ações do Sistema. Outro indicador, visível para o Usuário, é a
ocorrência de acesso, SEM a respectiva autenticação, a ambientes de edição
que só poderiam ser acessados após o devido processo de confirmação da
identidade do usuário.
5. Magnitude e gravidade
Essas são dimensões que, juntas, dão ideia da severidade do Incidente

de Segurança da Informação.
https://ferramentasdaqualidade.org/matriz-de-riscos-matriz-de-probabilidade-e-impacto/
A Magnitude tem a haver com o Volume dos dados comprometidos, e a

Quantidade de usuários afetados. Por exemplo, uma indisponibilidade
temporária do SEI! é algo que afeta muitos usuários, isto é, de Grande
Magnitude, mas que não é grave, por não comprometer os dados nele
contidos. A severidade desse incidente vai aumentando, quanto mais tempo o
SEI! ficar fora do ar...
75
Já a Gravidade do Incidente tem a haver com a sensibilidade dos

agentes e dados envolvidos, e a dificuldade para retornar à situação anterior
(se é que isso seja possível). Um exemplo de evento de pequeno tamanho,
mas muito grave, é a atribuição (acidental ou deliberada) de um Usuário
“Administrador” ou “Gestor de Sistema” a uma pessoa que não poderia receber
essa credencial, como um ente regulado ou um estagiário. Outro evento grave
seria a contaminação de uma Estação de Trabalho, dentro da Rede ANAC, por
algum malware que foi instalado ao se clicar em um phishing ou abrir um anexo
desconhecido em um e-mail.
https://www.insidescience.org/news/firefighting-crews-size-matters
A avaliação da Magnitude e da Gravidade de um incidente é uma

atividade especializada, que utiliza ferramentas apropriadas, e é extremamente
necessária, para definir quantos recursos serão destinados aos esforços de
correção ou de contenção dos danos causados pelo incidente.
6. Formas e canais adequados de notificação
A Agência mantém um canal permanente para colher relatos sobre

Incidentes de Segurança, com o compromisso de responder prontamente. Ele
fica no Portal de Serviços, e é nosso meio oficial e unificado para esse tipo de
comunicação.
Para o acessar, vá à página de Serviços:
https://sistemas.anac.gov.br/portaldeservicos/pages/login/login.load
76
Devidamente autenticado com seu Usuário ANAC, estará em

https://sistemas.anac.gov.br/portaldeservicos/pages/smartPortal/smartPortal.load
Nesse Portal de Serviços, clique em TI – Tecnologia da Informação:
Clique em Segurança de Redes e da Informação:
Clique em Relatar incidente de segurança da informação:
Como existe uma grande variedade de incidentes, esse canal dá um

campo de texto livre, onde poderá, em sua própria linguagem, descrever da
melhor maneira que possa a situação que entende ser um incidente de
segurança da informação. Sempre que possível, seja específico ao indicar
Sistemas, Páginas ou Serviços, anotando seus endereços (URL) ou hyperlinks,
e adicionando capturas de tela (Print Screen) das situações que considera
anormais. Caso deseje, pode informar o motivo pelo qual considera que a
situação apontada é um incidente de segurança, e sua Magnitude e Gravidade,
porém isso NÃO é seu dever.
77
Após realizar esse relato, você receberá, de imediato e por e-mail, um

Número do Chamado (Ticket), e os dados apresentados serão enviados para a
Equipe de Triagem, que deverá encaminhar para o Setor apto a tratar o
incidente.
Na maior parte das situações, a resposta ao chamado mencionará o
encaminhamento, mas não a providência adotada, tanto por questões de
tempestividade quanto de segurança. Porém, pedimos que confie que seu
achado será levado a sério, e tratado com a brevidade possível, após ter sido
devidamente avaliado quanto à sua Magnitude e Gravidade.
A providência seguinte, que é útil e oportuna, quando o incidente

ocorre envolvendo algum dos Sistemas da ANAC, mas não é sua obrigação, é
avisar o Gestor desse Sistema.
Não existe um formato definido para esse aviso ao Gestor, podendo

ser pelo e-mail institucional ou mesmo pelo TEAMS, desde que não envolva a
exposição de material sensível. Ah, e como você descobre QUEM é o Gestor
do Sistema, caso ainda não saiba?
78
É bem simples: Na INTRANET (disponível em

https://intranet.anac.gov.br/, para os usuários dentro da Rede ANAC ou
conectados via VPN), expanda o Menu (as três barrinhas no alto, à esquerda),
e na coluna de Tecnologia da Informação, desça até “Sistemas da ANAC”. Na
página seguinte, role até “Pontos Focais e Gestores”, e clique em:
"Lista de Sistemas e seus Gestores” (disponível em:
(https://colaboracao.anac.gov.br/anac/sti/gesi/Documentos%20Pblicos/Intranet/
RelacaoDeGestores.aspx) . Lá você encontrará a relação dos Gestores Titular
e Substituto de todos os Sistemas Institucionais providos pela STI.
A primeira forma de comunicação, pelo Portal, é um dever funcional,
para todos os servidores e colaboradores. Já a segunda forma de
comunicação, aos Gestores, é útil para “dar um toque” da maneira mais
expedita. É muito importante, no entanto, saber que o Gestor, assim avisado,
possivelmente (não obrigatoriamente) irá agradecer pelo “toque”, mas que não
dará nenhum outro retorno sobre a situação. Será oportuno mencionar o
número do Ticket que foi gerado para a notificação via Portal, mas, novamente,
isso não é obrigatório.
Existe a intenção, em aperfeiçoamento futuro, de prover um Link
Direto, na página inicial da INTRANET, para Relato de Incidente de Segurança
79
da Informação, porém isso ainda está em avaliação, na época em que este

curso foi elaborado, em maio de 2022.
Uma coisa importante de se dizer, mas que não é muito comentada, é

que nossos Sistemas são diferentes dos produtos comerciais que possuem
versões e “gerações” muito bem definidas e milhões de usuários mundo afora.
Nossos sistemas estão em constante evolução, com modificações solicitadas
para atender necessidades dos setores usuários, e para incorporar novas
tecnologias e avanços. Está sendo assim com o Login Único, com o ANAC
Integrada (Plataforma Santos Dumont), e cada Sistema para o qual o Gestor
pede evoluções.
Como os Sistemas são bastante complexos, integrando módulos que
conversam entre si (API’s, Microsserviços et cœtera), é natural que surjam, em
uso (ou, “Em Produção”, como se diz no jargão da TI), algumas situações
extremamente específicas, até raras, que não foram previstas e tratadas
durante o Desenvolvimento e a Homologação do Sistema evoluído, porém vão
“estourar” exatamente nas suas mãos, em algum momento, como Usuários.
Esse é o preço a pagar por estarmos dispostos a avançar. E é EXATAMENTE
por isso que os relatos de vocês são tão importantes, sempre que algum
Sistema não se comporta como é esperado.
É consertando as falhas (os bugs, usando novamente o jargão da TI...)
que aperfeiçoamos e estabilizamos nossos Sistemas, e, para isso, são seus
olhos que enxergarão aquilo que precisamos saber. É preferível sermos
avisados por duas, três pessoas sobre uma mesma situação do que não
80
sermos avisados por ninguém! Então, não seja tímido! Quanto mais rápido um
Incidente de Segurança ou evento de Indisponibilidade é relatado, mais
rapidamente pode ser tratado!
Para saber mais, é útil a leitura de:

https://backupgarantido.com.br/blog/pilares-da-seguranca-da-
informacao/
81
Módulo 6 – Atualizações de segurança
Objetivo(s)
• Entender o conceito e reconhecer as Versões de Software;

• Compreender o que é uma correção de software, e o emprego de
pacotes de correção; e
• Conhecer as atividades destinadas à proteção dos softwares e
reconhecer a sua execução.
1. Versões de software
Comentamos, há pouco, sobre as evoluções dos Sistemas, que vão

adotando novas tecnologias, e incorporando novas funcionalidades com o
tempo. Isso também acontece com os Programas que rodamos em nossos
Computadores, e Aplicativos em nossos Smartphones e Tablets, e com os
Sistemas Operacionais que “animam” esses equipamentos (ou, no jargão da
TI, hardwares).
https://exame.com/colunistas/relacionamento-antes-do-marketing/crescimento-ou-evolucao
Então, conforme passa o tempo, um mesmo equipamento físico vai

recebendo sucessivas “Versões” do Sistema Operacional (em computadores,
os mais comuns são Linux e Windows, em smarphones e tablets os mais
disseminados são o Android, derivado do Linux, e o iOS), e dos Programas ou
Aplicativos. Isso é normal, e, até certo ponto, inevitável, pois mesmo que
82
alguém queira “congelar no tempo”, e ficar usando uma determinada máquina,

com determinadas versões de Sistema Operacional e Programas, em um dado
momento essa máquina não conseguirá “conversar com o Mundo”, ou
interpretar os arquivos produzidos atualmente, que evoluíram.
https://www.recycledgoods.com/hp-c1600v-vintage-industrial-computer/
Então, exceto nos casos de máquinas isoladas, dedicadas a tarefas

específicas, e que não utilizam recursos externos ao seu próprio ambiente, que
podem simplesmente continuar funcionando do mesmo jeito até quebrar, todas
as outras vão mudando com o tempo. E isso acontece basicamente por dois
motivos: Necessidades de Segurança e de Compatibilidade.
Falando em termos de Segurança, que é nosso foco, o que acontece?

É simples: Sistemas Operacionais, e Programas/Aplicativos, são entidades
bastante complexas, com milhares e milhares de comandos, em várias
camadas, desde a tela que você enxerga até os registradores lá no nível do
processador, operando milhões de operações por segundo, e que, dependendo
da “entrada” (input) que recebem, respondem com “saídas” (outputs). Em um
mundo ideal, os Sistemas só receberiam entradas bem-comportadas, e dariam
saídas previstas....
Só que NÃO!
Quanto mais funções são incorporadas às nossas máquinas, que
começaram humildemente, porém foram recebendo mais e mais
responsabilidades, mais “valiosos” foram se tornando os “caminhos acidentais”,
as vulnerabilidades embutidas nos códigos antigos, nas várias camadas desde
83
o fundo do processador até a exibição gráfica... E constantemente há pessoas

(e máquinas poderosas) explorando (crackeando) meios de forçar os
computadores a fazerem coisas que seus donos não gostariam que elas
fizessem, sem que os donos percebam. Esses são os “exploits”, o ninho de
onde surgem os Códigos Maliciosos (malwares).
https://brasilescola.uol.com.br/informatica/crackers.htm
Pois bem, na eterna corrida de rato e gato, entre os fornecedores de

softwares, os fornecedores de mecanismos de defesa (firewalls, antivírus etc.)
e os crackers, a cada nova vulnerabilidade descoberta (e pode ter a certeza,
ainda há MUITAS por descobrir no futuro...) e explorada, há modificações nos
programas para eliminar esse caminho até então escondido, ou tapar essa
brecha.
E é aí que surgem as ATUALIZAÇÕES, que são versões aprimoradas,
mais robustas, que se pretendem resistentes às ameaças conhecidas.
Existem também atualizações que se destinam a melhorar
desempenhos, a contornar falhas funcionais descobertas depois que uma
determinada versão foi lançada, e por aí afora.
Então, é importante acompanhar essas atualizações, por motivos de
segurança! Quando se está rodando uma versão antiga de um programa, não
atualizada, o usuário está expondo a sua máquina a exploits já conhecidos, e,
pode ter a certeza de que, se acessa a Internet para alguma coisa, em algum
momento alguém tentará “exploitar” essa vulnerabilidade!
E como descubro a Versão de algum Programa ou Aplicativo que tenho
instalado em minha máquina?
84
Bem, isso varia um pouco, mas o caminho mais comum, falando em

termos de Programas para o Sistema Operacional Windows, é ir ao Menu
“Ajuda”, digitar “versão”, e seguir a orientação que apareça. Por exemplo, neste
momento em que estou escrevendo para vocês, fui ao Menu Ajuda, e cliquei
em Ajuda (normalmente, tem o ícone de um ponto de interrogação) e digitei
“versão” no campo de pesquisa. Retornou:
Então, escolhi “Sobre o Office: qual versão do Office estou usando?”

Retornou:
Segui as instruções conforme apresentadas, e obtive:
85
Fazendo esse caminho, descobrem-se alguns dados que a maior parte

dos usuários não conhece, nem sentia (até agora...) a necessidade de
conhecer. O fato é que, muitas vezes, junto ou na caixa de informações de
Versão, podem vir avisos sobre a necessidade de atualizações (opa, guarde
esta informação para daqui a pouco!).
E em Aplicativos em seu Smartphone?

Normalmente a informação sobre a versão do Aplicativo pode ser
encontrada logo na primeira camada do item de Ajuda, como nos Programas
para Computadores:
86
Ou Configurações (ou Settings), em “Sobre o [Nome do Aplicativo]”
Nem sempre é fácil encontrar a Versão, pois é um dado sobre o qual

os Usuários não costumam “esquentar a Cabeça”.
E por que devemos nós deveríamos prestar atenção nisso? Esse é o
assunto para nosso próximo item!
2. Pacotes de correções
No “pega-pega” entre os fornecedores de softwares e os crackers que

descobrem suas vulnerabilidades e programadores maliciosos que se
aproveitam delas para seus intentos, é normal que os fornecedores emitam,
sempre que necessário, pequenos (ou, às vezes, até grandes) trechos de
87
código, para seus Programas e Sistemas, para serem substituídos nas

máquinas dos usuários.
https://www.esbocandoideias.com/2018/07/remendo-novo-em-veste-velha.html
Eles são chamados de patches (remendos, em inglês), e, atualmente, a

maior parte dos programas baseados em Windows utilizam formas
automatizadas de fazer isso, com um mínimo de interferência dos Usuários.
Porém, para isso, é necessário que os usuários permitam esse tipo de
comportamento.
No exemplo da máquina que cujo status foi mostrado há pouco:
“As atualizações neste produto do Office estão habilitadas por padrão e

são baixadas através da sua conexão com a Internet e instaladas
automaticamente. Para verificar o status da atualização e ativá-las ou
desativá-las, selecione a guia Arquivo e clique em Conta. Em Atualizações do
Office, você pode ver o status da atualização atual e ativar ou desativar as
atualizações automáticas.”
Ah, em tempo: Já que havia Atualizações disponíveis, como vimos
agora há pouco, as executei, e agora minha máquina está em:
88
A build mudou de 15225.20150 para 15225.20194...Mas, se

observarem com atenção, a Versão continuou a mesma, 2205!
Essa é uma distinção interessante: Um programa, ou sistema
operacional, pode ser completamente atualizado, de tempos em tempos, e isso
caracteriza uma Versão. Depois de lançada, essa versão vai recebendo
Suporte, na forma de atualizações de segurança e correções de bugs, que
caracterizam as builds, ou, em português, Compilações. A aplicação das
compilações de correções/atualizações vai sendo feita de maneira incremental,
mexendo aqui e acolá no código do programa. E, com isso, vai “sujando” o
código, que fica todo “remendado”.
Periodicamente, ou quando o fornecedor do software considerar
necessário, ele pega essa versão corrente, toda remendada com suas
compilações de correção, e faz um “limpa”, reorganizando e removendo coisas
desnecessárias, aperfeiçoando o funcionamento, e lança a versão seguinte.
Uma coisa importante a se notar é que, depois de algum tempo, uma
Versão de um programa pode, legalmente, para de receber suporte, desde que
o fornecedor ofereça uma versão posterior, em condições razoáveis ao
consumidor. Por isso, também, é interessante ir avançando nas versões, desde
que funcionem na máquina do usuário, para continuar a ter Suporte.
Nos smartphones baseados em Android, existe uma característica

interessante, suportada pela maior parte dos fornecedores de software:
Quando você aciona um Aplicativo, ele verifica, de forma automática, se a
versão que está em sua mão é a versão mais atual que existe, do mesmo
aplicativo, na Plataforma de Downloads oficial do fornecedor Android, que é a
89
Google PlayStore. Então, ele avisa: “Há uma versão mais atual deste
Aplicativo. Deseja atualizar agora?”. Sinceramente, se você estiver em um local
onde seja viável o download, e tiver dados em seu pacote, ATUALIZE!
Nos equipamentos baseados em iOS, a configuração padrão é a de
atualizar automaticamente todos os aplicativos instalados no aparelho. Porém,
se você quiser checar o status, pode clicar na Apple AppStore. Lá, há uma tela,
acessível em seu Perfil, em que aparecerá uma lista de Aplicativos que estejam
com Atualizações pendentes. Você poderá clicar em cada um, individualmente,
ou no botão “Atualizar Tudo”. Está feita a Atualização!
3. Atividades de proteção de Software
Do ponto de vista do Usuário, as principais atividades de proteção de

software são duas:
https://pt.dreamstime.com/foto-de-stock-royalty-free-pirata-proibido-image30869325
1) NÃO utilizar softwares piratas em sua máquina; e
https://www.atletx.com.br/atletismo/provas/revezamento-4-x-100-metros
2) Utilizar os recursos de atualização de software disponibilizados

pelos fornecedores.
90
Conforme já comentado, mesmo os softwares já publicados há algum

tempo sempre estão expostos às novas vulnerabilidades recém-descobertas,
seja do software em si, seja dos “módulos” e “componentes” que ele utiliza, ou
do próprio Sistema Operacional da máquina. Então, para manter-se o mais
seguro possível (e lembrando que isso jamais significa uma segurança
absoluta), configure sua Máquina e seus Aplicativos para acompanharem as
Atualizações tornadas disponíveis pelos fornecedores originais.
Existem Usuários avançados que, por motivos de desempenho,
buscam avaliar os efeitos das Atualizações, antes de as implementar. No
entanto, se você é um deles, este Módulo só falou sobre coisas que estão
muito aquém de seu conhecimento, e você domina perfeitamente estas artes.
Porém, se você não é um deles, fica a dica: Permita as Atualizações
automáticas!
Aqui cabe um comentário para os colegas que utilizam equipamentos
fornecidos pela Agência. Nesses equipamentos, a administração de
atualizações foi configurada pela ANAC, é obrigatória, e não pode ser
modificada.
Existem outras proteções, que não são exatamente Atividades, mas
sim Dispositivos, que são o Firewall e o Antivírus. Falando aqui para os
usuários de máquinas que operam com o Sistema Operacional Windows, em
sua versão mais recente, aponto que esses Dispositivos já estão presentes no
Sistema Operacional, e suas configurações podem ser acessadas por meio do
menu de Configurações (A “engrenagem” no Menu Iniciar) – Atualização e
Segurança – Segurança do Windows.
https://www.asuris.com.br/firewall-por-que-a-sua-rede-precisa-dessa-protecao-2
91
A recomendação geral é a de deixar esses dispositivos Ativos

SEMPRE!
Para saber um pouco mais sobre Versões e Compilações, é

interessante ler:
https://answers.microsoft.com/pt-
br/windows/forum/all/diferen%C3%A7a-entre-vers%C3%A3o-e/5bdbdc2b-33e8-
44e8-bf8f-afcf6e6a6dcd
Para saber mais sobre as atitudes de proteção ao seu computador:
https://support.microsoft.com/pt-br/windows/manter-o-computador-
seguro-na-resid%C3%AAncia-c348f24f-a4f0-de5d-9e4a-e0fc156ab221
https://www.techtudo.com.br/listas/2019/10/sete-ajustes-de-seguranca-
que-todo-usuario-deveria-fazer-no-windows-10.ghtml
92
Módulo 7 – Segurança de redes e conexões
Objetivo(s)
• Compreender o conceito de Privacidade em rede;

• Entender a necessidade e ser capaz de adotar cuidados especiais na
conexão de ativos corporativos em redes externas à Instituição;
• Entender a necessidade e ser capaz de adotar cuidados especiais na
transmissão de dados; e
• Compreender as características do Trabalho Remoto (Home Office) e
tomar as medidas necessárias para manter as melhores condições de
segurança possíveis nesse ambiente.
1. Privacidade em rede
Uma Rede de Dados é um dispositivo que permite que um

equipamento se conecte com um ambiente de tráfego, pelo qual pode enviar ou
receber dados, seguindo certos formatos. Esses formatos de dados, bem
definidos, que permitem que duas máquinas diferentes se entendam, são
chamados de “Protocolos de Comunicação”.
Atualmente, existem duas formas principais pelas quais um
equipamento tem acesso à Rede: Com Fio e Sem Fio (ou, em inglês, Wired e
Wireless).
As conexões com fio, os famosos “cabos de rede”, se baseiam, quase
universalmente, no padrão RJ45, com oito fios, em quatro pares. Por ele
trafegam os dados, em bits, e sinais de controle, que fazem com que as
máquinas conectadas por ele “avisem” quando estão no modo de escuta, no
modo de envio, e outras funções de sincronização. Há também, para
equipamentos móveis, as conexões USB-C e mini-USB, de múltiplas
aplicações, para conexão direta entre dois equipamentos.
93
Os cabos de rede apresentam uma blindagem eletromagnética (uma

capa metálica interna) que permite que o trânsito de sinais de alta frequência
que trafega em um cabo não interfira no cabo vizinho, e impede que os dados
sejam detectados “do lado de fora” do cabo, provendo uma boa segurança
contra a interceptação ambiental. Já os cabos USB para dados podem
apresentar, ou não, essa blindagem, dependendo de sua qualidade.
Já a conexão sem fio, ou Wireless, pode ser com uma rede local (Wi-
Fi) ou com rede de Dados Móveis, baseados nos sinais de telefonia celular
(3G, 4G). Elas são comunicações por radiofrequências, e, como tal, podem ser
“escutadas” por qualquer equipamento receptor que esteja sintonizado na
mesma faixa.
94
Para a comunicação local entre dois equipamentos existem as

conexões entre pares Bluetooth, e de comunicação em campo próximo (Near
Field Communication). Sobre elas não comentaremos muito, porém aconselha-
se manter essas duas últimas formas de comunicação sempre inativas, só as
ativando em condições controladas, específicas, em ambientes que possa
considerar seguros.
E qual é o problema com as conexões? Assegurar que as
comunicações entre o seu equipamento e os outros não sejam interceptadas
por terceiros!
Na verdade, não é possível evitar que as comunicações sem fio sejam
“ouvidas” por qualquer receptor. Só o que é possível fazer é evitar que elas
sejam compreendidas!
Lembra-se da Criptografia?
https://hashelse.medium.com/cryptography-for-absolute-beginners-3e274f9d6d66
Falando, por exemplo, das Redes de Dados Móveis, o que faz com que
se possa trafegar, com alguma privacidade? Exatamente a Chave
Criptográfica! O que é necessário, de fato, para um Smartphone poder “entrar
na Rede”?
95
Um Chip! Esse Chip é fornecido pelas operadoras de telefonia e dados

móveis, e é cadastrado nos sistemas das operadoras. Usando a chave que é
gravada no chip, o telefone/smartphone ou tablet é capaz de enviar um sinal
identificador, que é recebido pela torre de celular, e reconhecido, como
pertencente a um determinado “assinante”, e estabelecer a comunicação com
ele. Dessa forma, podemos “saltar” de uma torre para outra, dando a
mobilidade. E é pela chave criptográfica que existe no chip que as
comunicações são criptografadas, e só podem ser compreendidas e
respondidas pela operadora.
Eventualmente, quando ocorre alguma violação, por exemplo no
sistema da operadora, um elemento adverso pode se apossar dessa chave, e
aí ocorre o que é vulgarmente conhecido como “clonagem” do celular. A
clonagem ocorre quando outro equipamento consegue “se passar” pelo seu, e
“entender” os sinais que só deveriam ser compreendidos por ele. Como
usuários, não há muito o que possamos fazer para evitar isso, mas devemos
sempre lembrar que nossos smartphones não possuem uma segurança total,
mas é a melhor que temos, no momento. E com a eventual chegada do 5G,
poderá melhorar...
E sobre o Wi-Fi?
Bem, esse é um capítulo interessante!
A cobertura de Wi-Fi é provida, basicamente, por dois tipos de
equipamentos: os roteadores de Wi-Fi, que, muito possivelmente, você tem em
casa, e os Access Points (APs), que são equipamentos feitos para ter alcance
96
mais curto, porém capazes de lidar com maior número de conexões ao mesmo
tempo, e estão presentes em escritórios e lugares públicos.
Os roteadores e APs são radiotransmissores e radioreceptores, assim
como os equipamentos que a eles se conectam. Essa conexão por
radiodifusão pode ocorrer “em claro”, quando qualquer equipamento “na
frequência” pode ouvir e entender o que está sendo trafegado, ou
criptografada, quando o que trafega é incompreensível “no trajeto”, só sendo
entendido pelas “pontas”. E o que distingue uma coisa da outra? É a presença
de uma Chave, também conhecida como Senha.
Acho que, a esta altura do campeonato, já pode ter ficado claro para
quem usa habitualmente o Wi-Fi, que existe uma situação em que se pode
conectar a uma Rede Wi-Fi, mesmo sem senha... É a chamada rede “aberta”,
que aparece, na lista de conexões disponíveis ao aparelho, como um cadeado
sem trancar... Porém, qual é o preço disso? Ao não se combinar uma Senha
com a Rede, o tráfego de dados ocorre Em Claro! O equipamento “se
apresenta” ao roteador ou AP, e passa a “conversar” com ele sem a camada de
proteção dada pela criptografia. Moral da História: QUALQUER equipamento
que estiver “na escuta”, na frequência do roteador, também recebe o tráfego e
pode o compreender.
Então, fica a dica: NÃO conecte em redes abertas de lugares públicos!
Se tiver a necessidade de usar, por exemplo, seu laptop fora de casa, apoie-se
em seu próprio smartphone! Sabe usar a função “Roteador de WiFi” do celular?
Use! Mas, por favor, configure uma senha forte, na hora de preparar o roteador.
Outra opção, na maior parte dos celulares, é o tethering USB, que nada mais é
que conectar o celular diretamente no laptop, por cabo, para permitir que o
97
computador se conecte por meio da rede de dados móveis do celular, com a

troca de dados direta, por fio, entre eles.
E, falando em conectar o celular por cabo, isso nos lembra de uma
outra coisa! Sabe aquelas estações de “recarga” para celulares, providas em
lugares públicos?
https://www.reviewed.com/tech/features/public-charging-stations-for-your-phone-are-they-safe
Nelas, você conecta seu celular diretamente a um cabo que pode ter
qualquer outra coisa maliciosa na outra ponta, além de um carregador! Então,
jamais use esses cabos de carregamento, nem aquelas tomadas USB onde
você conecta seu próprio cabo, se quiser ter alguma tranquilidade em relação
aos dados e senhas armazenados em seu smartphone! Leve com você seu
próprio carregador, e use as tomadas elétricas! Pelo mesmo motivo, não utilize
carregadores emprestados, principalmente por entes regulados...)
Voltando para nosso ponto principal: Se o computador/smartphone
conseguiu se apresentar para o roteador sem uma senha, mesmo que uma
senha, ou um par usuário-senha seja pedido depois, em uma página de
navegador (como nas conexões oferecidas por hotéis), o que é liberado por
essa senha é o TRÁFEGO dos dados. A conexão, em si, continua ocorrendo
em aberto, e, por isso, não é segura!
98
E qual a segurança de um WiFi com senha “publicada”, em um cartaz

no estabelecimento? Bem, dependendo do tipo de criptografia, é praticamente
o mesmo de uma rede aberta, pois qualquer elemento adverso pode,
eventualmente, decifrar o tráfego!
Então, recomenda-se fortemente que, se você tem preocupações de
privacidade (e é bom que tenha...), não utilize Wi-Fi de lugares públicos, exceto
se fornecerem conexões individualizadas com senhas exclusivas, mediante
cadastramento, que tenham de ser registradas no próprio celular no ato da
conexão (por exemplo, o nosso WiFiCorp, da ANAC, que reconhece sua Senha
de Rede). Aquelas senhas para apresentar depois da conexão (como as do
WiFiGuest), repito, NÃO contribuem para a privacidade da comunicação!
E o Wi-Fi de casa? Aqui, precisamos
falar um pouco sobre “Difusão do Nome da
Rede”, ou, em jargão técnico, Broadcast do
Service Set Identifier (SSID)...
Quando você entra em algum lugar provido
de Rede Wi-Fi, o nome (o SSID) da Rede poderá
aparecer em seu aparelho celular (neste exemplo,
em Android, aparecem aqui as redes de alguns de
meus vizinhos):
A partir do momento em que uma Rede Wi-Fi
é “identificada” dessa forma, por ter divulgado seu
Identificador de Serviço, qualquer pessoa pode tentar
99
se conectar, enviando senhas, até a conexão não ser

recusada... A maior parte dos roteadores não possui
barreiras para tentativas sucessivas, simplesmente
recusando se a senha não estiver certa, e aceitando
se estiver.
Devemos lembrar que existem antenas de
wi-fi que, conectadas a um laptop, permitem
“escutar” roteadores até -100 dB (o que é um sinal
bem fraco), e emitir um sinal tão forte que pode ser
nitidamente ouvido mesmo por esses roteadores
relativamente distantes:
Então, se em um laptop estiver rodando um programa de “exploração”
de redes, com gerador de senhas, qualquer roteador com senha fraca poderá
ser “decifrado” em questão de dias, ou até mesmo de horas, dependendo do
tempo de resposta para a recusa de cada tentativa, simplesmente por força
bruta.
Se você mora em um prédio, faça essa experiência: Dê uma olhada na
lista de Redes Wi-Fi que divulgam os seus nomes...
Porém, provavelmente, você NÃO estará vendo os wi-fis de TODOS os
seus vizinhos! E por um simples motivo: Um roteador pode NÃO divulgar seu
nome, ficando apenas “na escuta” se algum aparelho o chamar pelo nome
certo, e respondendo se a senha apresentada estiver certa...
Se, em casa, você tem um ou mais roteadores, lembre-se que eles
existem para servir APENAS a você, à sua família e aos seus convidados, e
não para quaisquer outras pessoas. Então, é melhor negócio manter anotado
qual é o nome (SSID) de cada rede, e as respectivas senhas, do que difundir
para o Mundo inteiro saber que você tem wi-fi em casa... (Bem, existe um
fenômeno moderno, bastante engraçado, que é a “Guerra de SSID”, em que se
usa o nome da rede para “mandar recado” para algum vizinho...).
E como se para de transmitir o SSID do roteador? É necessário estar
conectado a ele, e entrar, via computador ou Smartphone, pelo navegador,
100
digitando na barra de endereços o IP do roteador. Esse é um dado que

normalmente está escrito na etiqueta do equipamento, ou, no mínimo, no
manual de instruções. Você precisará do nome e senha de administração do
roteador, e isso, via de regra, está no Manual do equipamento, com a instrução
de a ALTERAR, ou CRIAR SENHA logo no primeiro uso, pois muitos
equipamentos vêm simplesmente como “Admin” e sem senha...... (Tomara que
você a tenha anotado no próprio manual, ou mantido em seu cofre de
senhas...). A parte boa é que a administração do roteador só é acessível para
quem JÁ está conectado nele, seja pelo wi-fi ou por cabo. Aí, é só achar a
Configuração de Wireless, e desabilitar o broadcast...
E quando alguém quiser usar esse wi-fi? É só entrar manualmente os
dados. É verdade que é um pouco mais trabalhoso, porém, depois que um
equipamento memoriza a rede, normalmente ela ficará na Lista de Redes,
podendo ser usada depois. É importante, na hora dessa conexão, colocar, na
opção avançada, que se trata de um Rede Oculta.
Lembre-se: Segurança nunca sai de graça: Ou custa mais, ou dá um
pouquinho de trabalho!
2. Conexão de ativos corporativos
A ANAC institucionalizou, por meio da Norma Complementar nº 7

(https://www.anac.gov.br/assuntos/legislacao/legislacao-1/boletim-de-
pessoal/2022/bps-v-17-no-13-28-03-a-01-04-2022/portaria-
7663/visualizar_ato_normativo), as regras para disciplinar a Gestão de
Segurança da Informação e Comunicações - SIC na utilização de recursos e
serviços de Tecnologia da Informação - TI - da Agência Nacional de Aviação
Civil – ANAC. É oportuno que todos os servidores e colaboradores leiam essa
NC, com vagar, pois ela é bastante didática, e ampara os usuários com
orientações de segurança, além de explicitar as restrições que devem ser
mantidas em mente.
Dessa norma, aqui neste contexto, gostaria de destacar uma regra
bastante clara:
101
Art. 6º. A gestão do uso dos ativos de Tecnologia da Informação da

ANAC obedecerá às seguintes orientações e procedimentos gerais: (...)
II - Sempre que possível, deverão ser utilizados mecanismos de
criptografia em trânsito para proteção de dados nos ativos de Tecnologia da
Informação.
Isso, na prática, significa que, exceto em situações excepcionais e
prementes, se você é responsável por um equipamento portátil da Agência,
deve observar com atenção o que foi exposto no item anterior, e evitar
qualquer conexão à rede aberta ou pública, utilizando, preferencialmente, sua
própria conexão de dados móveis. Aqui vai uma dica, principalmente para os
Servidores Designados para Atividades de Fiscalização, em campo: Se você
está nas instalações de um ente regulado, NÃO utilize o Wi-Fi do regulado,
pois sempre haverá a possibilidade de interceptação dentro da Rede, mesmo
que a parte “aérea” da conexão tenha ocorrido com os devidos cuidados. O
mesmo vale para as conexões por cabo, e com ainda maior razão!
3. Transmissão de dados
Hoje em dia, temos utilizado os Sistemas da ANAC a partir de casa, e

nas atividades de campo, bem como trafegado documentos anexos a e-mails,
e nos conectado aos colegas e equipes por meio do ambiente colaborativo
provido pela Agência. Por conta disso, trafegamos dados do serviço todo o
tempo, seja os visualizando ou baixando para as nossas máquinas (o que,
como já foi comentado antes, em “Tratamento de Dados”, deve ser evitado
sempre que possível).
E qual é o cuidado a se tomar?
Um dos dispositivos de segurança que nos é provido pela Agência é a
Rede Privada Virtual (Em inglês Virtual Private Network, ou VPN). A VPN, em
termos bastante simples, pode ser considerada como um Túnel entre nossa
Rede doméstica e a ANAC. As paredes desse túnel são uma camada de
Criptografia, que permite que todos os dados trafegados entre nossa máquina
102
e a Agência sejam ininteligíveis para qualquer equipamento “na rota” da

Internet usada entre essas duas pontas.
https://surfshark.com/pt-br/learn/o-que-e-vpn
E como a VPN funciona?

Quando se conecta sua máquina à VPN, todo o tráfego passa a ser
realizado por meio desse túnel, e os dispositivos de proteção e segurança da
outra ponta (o Provedor de VPN, no caso a Agência) passam a proteger esse
tráfego. No caso dos acessos a Sistemas da Agência, que só podem ser
acessados com a VPN ativa, isso faz com que as comunicações com eles
ocorram completamente em ambientes protegidos.
Então, para trafegar dados da Agência, ficam algumas orientações:
1) Use a VPN;
2) Evite colocar dados sensíveis em e-mails e seus anexos, sempre
que possível, e use o e-mail institucional só para tratar de assuntos
do Serviço;
3) Jamais utilize seu e-mail institucional para se cadastrar em sites e
eventos nos quais você não seja o Representante Institucional da
Agência, e, mesmo nesses, JAMAIS utilize como senha de cadastro
algo que seja remotamente parecido com sua Senha de Usuário na
ANAC. Lembre-se que seu Usuário ANAC é exatamente o mesmo
de seu endereço de e-mail institucional, e é sua Senha de Usuário a
sua segurança para acessar a VPN e todos os outros recursos e
sistemas da Agência!!!
4) Evite, sempre que você estiver conectado à VPN, o acesso a
qualquer conteúdo ou sítio que você não acessaria em seu
103
ambiente de trabalho presencial, lá dentro das instalações da

ANAC.
E jamais perca de vista que a segurança depende da atualização dos
Softwares que usa, e do Sistema Operacional de sua máquina, e da correta
atividade dos dispositivos de proteção (firewall, antivírus), como já comentado
em tópicos anteriores.
4. Home Office
E chegamos ao último tópico da parte mais formal deste Curso,

especificamente voltada para quem está trabalhando remotamente à ANAC.
A primeira providência para quem está trabalhando, ou vai começar a
trabalhar para a ANAC em Home Office é conhecer as Orientações
Institucionais específicas para esta situação. Elas foram preparadas com
bastante zelo pela Coordenação de Relacionamento com os Usuários
(CRUS/GTPP/STI), e estão disponíveis em
https://manuaisti.anac.gov.br/remoto/info/.
Uma importante consideração da diferença entre trabalhar
presencialmente na ANAC, naquele ambiente protegido, com equipamentos e
recursos providos e mantidos pela Agência, e trabalhar na própria residência,
com os próprios equipamentos e serviço de Internet, está no nível de
exposição.
É razoável supor que muitos colegas não têm equipamentos em
duplicata, então utilizam o mesmo equipamento para seus assuntos pessoais e
para o trabalho. Não há nada essencialmente errado com isso, desde que o
nível de cuidado que se tem profissionalmente se estenda para todos os tratos
com o mesmo equipamento.
E que cuidados são esses?
Conforme já comentado no Módulo sobre Atualizações de Segurança,
o primeiro cuidado é o de NÃO utilizar softwares oriundos de fontes não-
oficiais, também conhecidos como “Piratas”. Os programas piratas,
“crackeados” ou que de outra forma provenham de fontes diversas dos
104
fornecedores oficiais, além de não possuírem “cobertura” de atualizações,

podem, eles mesmos, já vir com códigos maliciosos que vulneram a segurança
de sua máquina.
O segundo cuidado, também já comentado, é o de manter ativas as
opções de Atualização Automática do Sistema Operacional e de todos os
softwares instalados. Com isso, a “janela de exposição” ao risco de exploração
de novas vulnerabilidades é diminuída o quanto é possível para o Usuário
comum.
O terceiro cuidado, que nos remete ao Módulo sobre Engenharia
Social, é o de desconfiar SEMPRE! Então, jamais clique em links provenientes
de fontes não conhecidas, jamais abra arquivos não solicitados, e não
frequente sites de “conteúdo duvidoso”.
O quarto cuidado é aquele que aprendemos no Módulo de Atividades
de Proteção de Software, mantendo a “desconfiança da máquina” sempre
ativa, tanto o Firewall nativo quanto o Antivirus.
O quinto cuidado, comentado no item anterior, de Transmissão de
Dados, é o de se beneficiar dos recursos de segurança ao tráfego de dados
provido pela Agência. Ao ligar a máquina, de manhã, ative a VPN, e
permaneça nela para todo o seu trânsito. Isso permite, por meio desse
“tunelamento”, que o que entra e sai de sua máquina passe pelas camadas de
proteção e vigilância da Agência. E, pode acreditar: O simples fato de estar
consciente de que seu trânsito passa pela Agência ajuda imensamente a
manter a postura vigilante, falada no Terceiro Cuidado.
O sexto cuidado nos remete ao item de Privacidade em Rede: Se você
está em Home-Office, então, com certeza, tem Internet em casa, ou utiliza a
conexão de Dados Móveis de seu celular. Se tem roteador de Internet em casa,
pode estar conectado a ele por cabo (o que é sempre preferível!), ou por
conexão wi-fi. Se você está com conexão wi-fi, lembre-se de NÃO divulgar o
SSID de seu roteador! Uma rede wi-fi com difusão do nome é um convite para
a decifração da senha! E, depois que tem a senha, um invasor tem tudo na
mão, inclusive a possibilidade de administrar o roteador, se você não tiver
105
colocado uma senha forte de administração do equipamento. Ah, JAMAIS use

a mesma senha para Acesso ao Wi-Fi e para a administração do Roteador,
estamos combinados?
Se você tomar esses cuidados, a sua Segurança Cibernética estará

reforçada, e a probabilidade de algum ataque bem-sucedido diminui
drasticamente!
Bom trabalho, Colega!
Para saber mais sobre Difusão do Nome da Rede Wi-Fi, visite:

https://tudosobretudo.net/o-que-e-broadcast-do-ssid-o-que-significa-oculta-la/
Para saber mais sobre a Comunicação por Campo Próximo, visite:
https://www.infowester.com/nfc.php
Para saber mais sobre Rede Privada Virtual, visite
https://surfshark.com/pt-br/learn/o-que-e-vpn
106
Módulo 8 – Dicas de Segurança
Objetivo(s)
• Conhecer e ser capaz de utilizar um checklist destinado à autoavaliação

da postura de Segurança Cibernética;
• Compreender a necessidade de elevar sua Autoconsciência e sua
Consciência Situacional da Segurança Cibernética.
1. Checklist de postura de Segurança
Esta é uma pequena lista de Segurança, principalmente mas não só

Cibernética, baseada nos cuidados recomendados a quem está trabalhando
em casa, e em alguns outros pontos explorados ao longo deste curso.
Por ela, você pode avaliar suas posturas de segurança, e, com os
resultados encontrados, aperfeiçoá-las. Ela está organizada alfabeticamente, e
não por assuntos ou temas, para evitar o automatismo da resposta.
Obviamente, esta não é uma lista exaustiva. Ela é apenas compatível
com o que foi explorado neste Curso, e ainda assim, de forma superficial.
Sugere-se que, quando for empregar esta autoavaliação, a imprima, ou
utilize o arquivo editável fornecido no ambiente do Curso, e date.
Guarde em local seguro, para poder responder honestamente, pois
este é um instrumento de autoconhecimento, pessoal e privativo! No futuro,
quando a fizer novamente, poderá observar se o tempo lhe deu maturidade, ou
apenas envelhecimento...
Bom trabalho!
107
Data: _____ de _______________ de 20___

Rara- Frequen-
Cuidado \ Frequência Nunca
mente
Às vezes
temente
Sempre
Abro arquivos não solicitados

Acredito que sou suficientemente experiente para jamais cair em algum
golpe presencial, por telefone ou e-mail.
Após reuniões de serviço faço verificações de segurança, e me asseguro
de não deixar nada para trás.
Atendo solicitações que me sejam apresentadas por telefone pelo pessoal
do Suporte Técnico
Clico em links provenientes de fontes não conhecidas
Conecto em redes de wi-fi abertas
Conecto em redes wi-fi fechadas de locais públicos, com senha informada
ostensivamente
Conecto equipamentos da Agência a redes fornecidas por entes
regulados
Configuro meus rotadores de Wi-Fi para NÃO efetuarem a difusão do
nome da Rede
Configuro meus roteadores de Wi-Fi para usarem senhas diferentes para
Conexão à Rede e para a Configuração
Considero a vítima de um golpe como um(a) idiota
Copio para meu computador materiais disponíveis nos Sistemas da
Agência
Destruo cópias de arquivos mantidos em minha máquina local ou em
dispositivos móveis, de forma permanente
Emprego cautelas especiais ao lidar com materiais restritos ou dados
sensíveis
Exijo identificação de qualquer pessoa que se apresente a mim como
alguma autoridade
Falo sobre meu serviço em Rede Social
Fragmento anotações e documentos obsoletos relativos a assuntos de
serviço
Habilito a atualização Automática do Sistema Operacional e de todos os
softwares instalados em minha máquina
Habilito o bloqueio de tela de meu celular
Mantenho a Mesa Limpa
Mantenho meus tokens em lugar seguro
Mantenho minhas senhas em lugar seguro
Mantenho o Firewall e o Antivirus de minha máquina ativos e atualizados
Notifico a Agência sobre qualquer incidente de segurança que eu
descubra ou que venha a meu conhecimento
Notifico os Gestores dos Sistemas da ANAC sobre qualquer problema
que eu encontre aos utilizar
Removo thread de e-mail quando é dispensável
Se encontro alguma mídia perdida, abro para descobrir seu conteúdo
Sou capaz de reconhecer incidentes de Segurança
Tomo o cuidado de jamais executar algum padrão de desbloqueio às
vistas de outras pessoas, ou câmeras
Tomo o cuidado de não expor acidentalmente, no local ou em
videochamada, quaisquer materiais sensíveis
Uso a VPN da Agência para minha navegação
Uso programas piratas ou obtidos em fontes distintas das páginas e
mídias oficiais dos fornecedores de Software
Utilizo a Restrição de Acesso aos documentos que produzo no SEI!
quando exista justificativa para tal
Utilizo Autenticação em várias etapas quando esse recurso está
disponível
Utilizo criptografia de arquivos em minha máquina local
Utilizo estações públicas de recarga de celulares, tomadas USB e
carregadores emprestados
Utilizo senhas fortes
Verifico a segurança de um site antes de fazer qualquer transação com
ele
Verifico o estado de atualização dos softwares de meus equipamentos
Verifico os destinatários antes de enviar qualquer e-mail, e removo quem
não tenha a necessidade de conhecer
Verifico quais são os Membros da Equipe, antes de tratar de qualquer
assunto pelo TEAMS
108
2. Autoconsciência
Lembre-se de que você é um Ser Humano, com as imensas

capacidades e profundas limitações que essa condição lhe confere.
Mantendo isso em mente, e tendo passado pelo Checklist de posturas

de segurança, permita-se ser honesta(o) consigo mesma(o), ao perceber
quantos “atalhos” toma, quantas “derivas práticas” dos procedimentos acaba
efetuando, para ganhar tempo e poupar esforço.
Nunca perca de vista que “Não existe almoço grátis”. Sempre que você
abrir mão de alguma etapa de controle, de algum passo de verificação, de
alguma barreira técnica ou procedimental, isso terá um preço, e que, na maior
parte das vezes, é pago pelo comprometimento de sua segurança, e de todas
as pessoas e processos que dependam de você.
Pense!
109
3. Consciência Situacional
Volte à leitura do tópico anterior, lembrando que cada pessoa ao seu

redor também é um Ser Humano, e que os eventuais erros que sofram, ou
desvios que cometam, também irão afetar você...
https://canalcienciascriminais.jusbrasil.com.br/noticias/219223452/massas-multidao-solidao-o-crime-nessas-condicoes
Colegas, chegamos ao final deste brevíssimo Curso. Faço votos de

que tenha sido proveitoso, e que estes pensamentos e conceitos lhe voltem
sempre à mente, ao lidar com os perigos que nos cercam no mundo Físico e,
principalmente, no Mundo Virtual!
E, para a Grande Conclusão, para o Curso e para a Vida:
“Não existe trabalho difícil, o que existe é ferramenta errada”.
Bons Trabalhos!
Fiquem Seguros!
Até a Próxima
Sylvio José Coelho de Souza
São José dos Campos. 28 de junho de 2022
110
111

Apostila Do Curso de Seguranca Cibernetica - Rev3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Do Curso de Seguranca Cibernetica - Rev3

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança Cibernética

CONTEUDISTA: Sylvio José

Módulo - Introdução ao curso.......................................................................3

Ao final deste módulo, você será capaz de:

• Conhecer a abordagem institucional e regulamentar ao tema Segurança

A ANAC está inserida no ambiente de Aviação Civil, no qual o conceito,

O conceito de Segurança Cibernética é conhecido, em inglês, como

Atualmente, o tema está sob a responsabilidade do Gabinete de

A segunda abordagem, externa, decorrente do papel que a Agência

É muito interessante, para melhor entender o ambiente regulatório

Por ser um tema de grande impacto, organizações empresariais da

O ponto mais importante a entender, a esta altura, é que a ANAC é

O que veremos neste Curso é fruto da grande preocupação que esse

Convergentemente com as duas abordagens, a ANAC possui

Já pela outra abordagem, externa, para lidar com a Segurança

possui o Grupo de Trabalho em Segurança Cibernética (GTSC), criado pela

Novamente, olharemos as abordagens Interna e Externa à Agência,

consultivamente na implementação de políticas de segurança da aviação civil

Módulo 1 – Engenharia Social

Ao final deste módulo, você será capaz de:

• Entender o conceito de Engenharia Social;

1. O que é a Engenharia Social?

Engenharia Social é um conceito oriundo da Atividade de Inteligência,

da ação de Engenharia Social é o Ser Humano, independentemente da

Para entender como a Engenharia Social existe e funciona, é

Em primeiro lugar, precisamos entender e aceitar que somos seres

E o que nos move?

E o que atrai “a maioria”? Uma antiga propaganda de cigarro, que

As pessoas se sentem atraídas por aquilo que lhes pareça vantajoso,

Presencial: “O Conto do Vigário”

Creio que todo mundo já tenha ouvido a palavra “vigarista”, para se

necessária para abrir o acesso, e, claro, está cuidadosamente colocado em

Pelo Telefone: “O Falso Sequestro”

profundamente inculcados em nosso cérebro, seja pela biologia ou pela

Mídia física: “A Isca”

“Confidencial”, “Diretoria Colegiada”, “Verbas”, “Hot Pics” ou o nome de alguém

Mensagens digitais ou telefônicas (E-mail, SMS, Conversas por

Este é o tipo de golpe de Engenharia Social atualmente mais

O próprio nome da modalidade remete a “Fishing” (pescaria), e é tão

Há o Spear Phishing (Pesca com Arpão), mais elaborado, em que o

Pelo Telefone ou mensagem eletrônica: O Pretexto

A forma mais comum desse golpe é pelo telefone, e “operadores” bem

Ao atender ao “Cara do Suporte”, para ter seu problema resolvido, o

Existem vários outros tipos de golpes e variantes nos quais a

A principal contramedida para se proteger contra a Engenharia Social,

e irracional atuam “capturando” nossas funções cerebrais, deixando de lado

Para quem quiser saber mais:

Algumas leituras rápidas estão em:

Ao final deste módulo, você será capaz de:

• Compreender o conceito genérico de Autenticação;

O conceito de Autenticação se originou no mundo jurídico, designando

Por extensão, no ambiente tecnológico, chamamos de Autenticação

conhecida, e não de qualquer outra. Então, é o ato de confirmar que algo, ou

Agora, falando sério: Você se sentiria confortável em permitir que seu

Uma senha (em inglês Password) é um dispositivo de identificação

pessoa deve conhecer, e que só deve apresentar para os dispositivos de

Já o Padrão é alguma figura, executada por meio de determinada

Por fim, sobre o que a pessoa É, estamos falando de Biometria, que é

forma, até se confunde com a individualidade da pessoa, e, ainda hoje em dia,

O aspecto de sua face, a voz, que lhe permite ser reconhecido ao

2. Força das Senhas

Uma senha, como dispositivo de proteção à sua individualidade, pode

3. Autenticação em várias etapas