APOSTILA EAD #10 Interno

MÓDULO SEGURANÇA DA INFORMAÇÃO E RISCO CIBERNÉTICO

DICOR/SUROC/GERIT – GERÊNCIA DE SEGURANÇA DA INFORMAÇÃO E RISCOS CIBERNÉTICOS

 #10 Interno

ÍNDICE
INTRODUÇÃO.................................................................................................................................. 2
SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA ............................................................................ 2
Conceito ........................................................................................................................................ 2

Ativos ............................................................................................................................................ 2

Informação.................................................................................................................................... 3

Tecnologia da informação ............................................................................................................. 3

Segurança da informação ............................................................................................................. 3

Pilares da segurança da informação ............................................................................................. 3

Cópias de Segurança(Backup) ...................................................................................................... 4

Vulnerabilidades ........................................................................................................................... 4

Ameaças à Segurança ................................................................................................................... 4

Mecanismos de Proteção ............................................................................................................. 8

GERENCIAMENTO DE SEGURANÇA E RISCOS CIBERNÉTICO ....................................................... 10

Riscos cibernéticos ..................................................................................................................... 10
Incidentes de Segurança cibernéticos ........................................................................................ 11
Desenvolvimento e Aquisição de Sistemas Seguro ................................................................... 12
Teste de Segurança(Pentest) ..................................................................................................... 13
Investigação Digital(Forense) .................................................................................................... 11
Armazenamento em Nuvem ..................................................................................................... 13
Normas de Segurança Cibernética ............................................................................................. 14
 #10 Interno

1. INTRODUÇÃO

A informação é um dos bens mais importantes de uma organização. Ela assegura a continuidade
dos negócios, diminui os riscos de perdas financeiras, protege a imagem da empresa no mercado
e, em algumas áreas, possibilita novas oportunidades de negócio e agiliza o atendimento aos
clientes.

Por desempenhar um papel de destaque em uma organização, a informação precisa ser

adequadamente protegida. Para que possamos protegê-la de forma adequada, é necessário levar
em consideração as inúmeras formas nas quais ela pode ser apresentada, como por exemplo, em
papel, mídia eletrônica, e até mesmo a falada. Além disso, a informação pode ser transmitida
pelos mais variados meios, como e-mails, documentos, arquivos, apresentações, imagens e até
mesmo em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação
é compartilhada ou armazenada, devemos sempre protegê-la.

Em plena era da Informação, as ameaças cibernéticas são um dos maiores problemas

enfrentados pelas empresas e pelos profissionais que vivem o dia a dia de trabalho. Em se
tratando de informação, trabalhamos conectados a maior parte do tempo, como: o contato com
funcionários, clientes, fornecedores, colegas e com toda a cadeia que faz parte do trabalho diário
que é feito pela internet. Sem dúvida, ela é um grande facilitador na comunicação, pois nos
permite realizar, com extrema rapidez, uma série de atribuições, sem que haja
comprometimento da agilidade do trabalho. Mas com tais benefícios vêm também os riscos. Um
dos problemas é a quantidade e a complexidade de ataques que empresas e governos sofrem no
ciberespaço.

Não se trata apenas da rede que compõe a internet, mas sim da informação e de como protegê-
la. Por si só, investimento em tecnologia não é o bastante, sendo preciso uma mudança cultural
e, principalmente, da forma como avaliamos os riscos a que nossas informações estão expostas.

Diante dos motivos expostos, enfatizamos que a gestão da segurança da informação e riscos
cibernéticos necessita do apoio, participação e atuação de todos os empregados e terceirizados.
Informações que deixaram de ser úteis à organização em determinado momento, devem ser
destruídas para que não caiam em mãos estranhas e com isso possam trazer qualquer prejuízo a
organização.

3
 #10 Interno

2. SEGURANÇA DA INFORMAÇÃO E CIBERNÉTICA

Pode-se entender por Segurança: aquilo que pode ser obtida por meio da associação de uma
hierarquia de controles internos e externos a um sistema de informação.

Uma boa definição de Segurança da Informação está estabelecida na norma ABNT NBR ISO/IEC
27002 (antiga 17799: 2005), “segurança da informação é a proteção da informação de vários
tipos de ameaças para garantir a continuidade do negócio, maximizar o retorno sobre
investimentos e as oportunidades de negócios.” Neste aspecto cabe esclarecer que em 2007 a
ISO/IEC 17799:2005 passou para o novo padrão e tornou-se a Norma ISO/IEC 27002:2005.

A Segurança Cibernética é a proteção de sistemas conectados à Internet, incluindo hardware,

software e dados, de ataques cibernéticos. É a preservação da confidencialidade, da integridade
e da disponibilidade da informação no espaço cibernético. Adicionalmente, outras propriedades,
tais como: autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar
envolvidas nesse contexto (ISO/IEC 27032)

São propriedades da segurança cibernética segundo a ISO/IEC 27032:

a) confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos,

entidades ou processos não autorizados;

b) integridade - propriedade de exatidão e completeza;

c) disponibilidade - propriedade de estar acessível e utilizável sob demanda de uma entidade

autorizada;

d) autenticidade - propriedade de que uma entidade é o que a mesma diz ser;

4
 #10 Interno
e) responsabilidade - propriedade na qual o responsável pela informação deve prestar contas da
mesma;

f) não repúdio - capacidade de comprovar a ocorrência de uma reivindicação de um evento ou ação e

suas entidades originárias;

g) confiabilidade - propriedade de que o comportamento e o resultado acham-se consistentes com a

intenção;

A seguir, vamos apresentar um resumo dos principais conceitos associados à segurança

abordados.

2.1. Ativos

É considerado um ativo qualquer coisa que tenha valor para a organização como:

1. Ativos de informação: A norma ISO 27001 define como sendo o conhecimento ou

dados que tem valor para uma organização, como por exemplo : base de dados e
arquivos, contratos e acordos, documentação de sistemas, informações sobre
pesquisa, manuais, material de treinamento, procedimentos de suporte ou
operação, planos de continuidade do negócio, trilhas de auditorias e informações
armazenadas;
2. Ativos de software: aplicativos, sistemas ferramentas de desenvolvimento e
utilitários;
3. Ativos físicos: equipamentos computacionais, equipamentos de comunicação,
mídias removíveis e outros equipamentos;
4. Serviços: serviços de computacionais, utilidades gerais.
5. Pessoas e suas qualificações, habilidades e experiências;
6. Intangíveis: tais como a reputação e a imagem da organização.

2.2. Informação

É um ativo que, como qualquer outro ativo importante,

é essencial para os negócios de uma organização e
consequentemente necessita ser adequadamente
protegida.

2.3. Tecnologia da informação

É o conjunto de atividades e soluções envolvendo hardware, software, banco de dados,

segurança e redes que atuam para facilitar o acesso, análise e gerenciamento de
informações. Simplificando, a TI foi criada para auxiliar o ser humano a lidar com
informações.

5
 #10 Interno
2.4. Sistema de informação

São todos os aplicativos, serviços, ativos de tecnologias da informação ou outros

componentes que permitem a administração da mesma.

2.5. Segurança da informação

Segurança da informação é obtida a partir da implementação de um conjunto de

controles adequados, incluindo políticas, processos, procedimentos, estruturas
organizacionais e funções de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados,
onde necessários, para garantir que os objetivos dos negócios e de segurança da
organização sejam atendidos.

2.6. Pilares da segurança da informação

Quando falamos em segurança da informação devemos nos preocupar com os 3 pilares,

confidencialidade, integridade e disponibilidade das informações, que são essenciais em
qualquer política interna e de Tecnologia da Informação, garantindo que os processos
internos fluam corretamente:

Confidencialidade

A confidencialidade da informação é garantir que ela só é acessível para pessoas

autorizadas, ou seja, do sigilo dos dados. Isso tem a ver com a definição de níveis de
acesso e até mesmo restrições por parte da empresa.

Integridade

A integridade é a salvaguarda da informação. É garantir que a informação compartilhada

foi enviada ao seu destino de maneira íntegra e plena, ou seja, sem alterações. Esse pilar
da segurança da informação visa assegurar em proteger os dados e certificar de que eles
não foram nem serão modificados ou violados.

Disponibilidade

Esse pilar é o que garante o acesso à dados e informações aos usuários ou receptores
autorizados pela empresa, sempre que for preciso.

2.7. Autenticidade das Informações

Consiste na garantia da veracidade da fonte das informações. Por meio da autenticação é

possível confirmar a identidade da pessoa ou entidade que presta as informações.

6
 #10 Interno

2.8. Legalidade das informações

Características das informações que possuem valor legal dentro de um processo de

comunicação, onde todos os ativos estão de acordo com a as cláusulas contratuais
pactuadas e com a legislação política institucional, nacional ou internacional vigentes.

2.9. Vulnerabilidades

As vulnerabilidades decorrem de fatores técnicos e também de fatores humanos. As

vulnerabilidades técnicas compreendem possíveis defeitos de fabricação, erros de
configuração ou falhas nos equipamentos, falhas de programação e/ou erros de
instalação. As vulnerabilidades humanas normalmente estão relacionadas aos danos que
as pessoas podem causar às informações e ao ambiente tecnológico que as suporta,
podendo ser intencionais ou não. Podem ocorrer devido a desconhecimentos das
medidas de segurança, falta de capacitação para execução da tarefa dentro dos princípios
de segurança, erros e omissões. O gerenciamento de vulnerabilidade é a prática cíclica de
identificar, classificar, remediar e mitigar vulnerabilidades.

2.10. Hardening

Contramedida, preventiva, que visa tornar o sistema mais seguro sob o aspecto de suas
configurações e o propósito de uso. Esse procedimento baseia-se nas recomendações de
fabricantes e em boas práticas de segurança.

2.11. Cópias de Segurança (Backup)

Backup é uma cópia de segurança dos seus dados (informações) de um dispositivo de

armazenamento (celulares, tablets, computadores) ou sistema (aplicativos, softwares e
jogos) para outro ambiente para que esses mesmos dados possam ser restaurados em
caso de perda dos dados originais ou que ocorra um incidente.

2.12. Ameaças à Segurança da Informação e Cibernética

A segurança cibernética permite implementar políticas, procedimentos e mecanismos

técnicos para proteger, detectar e corrigir problemas que ameacem a segurança da
instituição.

A ameaça é algo que possa provocar danos à segurança da informação, prejudicar as

ações da empresa e sua sustentação no negócio, mediante a exploração de uma
determinada vulnerabilidade.

7
 #10 Interno
As ameaças à segurança da informação são relacionadas diretamente à perda de uma de
suas três principais características, quais sejam:

Perda de confidencialidade: há uma quebra de sigilo de uma determinada

informação, como exemplo a senha de um usuário ou administrador de
sistema, permitindo que sejam expostas informações restritas as quais seriam
acessíveis apenas por um determinado grupo de usuários.

Perda de integridade: determinada informação fica exposta a manuseio por

uma pessoa não autorizada, que efetua alterações que não foram aprovadas
e não estão sob o controle do proprietário (corporativo ou privado) da
informação.

Perda de disponibilidade: a informação deixa de estar acessível por quem

necessita dela. Seria o caso da perda de comunicação com um sistema
importante para o BRB, como por exemplo a indisponibilidade de um servidor
ou de uma aplicação crítica para o negócio, que apresentou uma falha devido a um erro
causado por motivo interno ou externo ao equipamento ou por ação não autorizada de
pessoas com ou sem má intenção.

2.12.1. Tipos de Ameaças mais comuns

Naturais: são aquelas decorrentes dos fenômenos da natureza, como incêndio,

enchentes, terremotos e etc.

Involuntárias: normalmente são aquelas são realizadas por falta de

conhecimento. Elas podem ser causadas por acidentes, erros, falta de energia
e etc.

Voluntárias: são aquelas realizadas de forma proposital pelo agente, como os

hackers, crakers, invasores, espiões, disseminadores de vírus, incendiários e etc.

Os avanços tecnológicos criam facilidades e possibilitam o uso de novas

ferramentas para a atuação das instituições, permitindo agilidade na construção e
disponibilização de serviços, ampliação dos meios de comunicação, entre outros avanços.
Por outro lado, o aumento do uso de tais ferramentas potencializa os riscos de ataques
cibernéticos, ameaçando a confidencialidade, a integridade e a disponibilidade dos dados
ou dos sistemas das instituições. Existem diversas razões para que esses ataques sejam
realizados por vários agentes (organizações criminosas ou hackers individuais, terroristas,
colaboradores, competidores etc.). Os principais motivos identificados são:

8
 #10 Interno
 Obter ganho financeiro.
 Roubar, manipular ou adulterar informações.
 Obter vantagens competitivas e informações confidenciais de empresas
concorrentes.
 Fraudar, sabotar ou expor a instituição invadida, podendo ter como motivo uma
vingança.
 Promover ideias políticas e/ou sociais.
 Praticar o terror e disseminar pânico e caos.
 Enfrentar desafios e/ou ter adoração por hackers famosos.

2.12.1.1. Os invasores podem utilizar vários métodos para os ataques cibernéticos.

Destacam-se os mais comuns:

Malware – software malicioso projetado para infiltrar um sistema

computacional com a intenção de roubar dados ou danificar aplicativos ou o
sistema operacional. Esse tipo de software acostuma entrar em uma rede por
meio de diversas atividades aprovadas pela empresa, como e-mail ou sites. Entre
os exemplos de malware estão:

 Vírus: seção oculta e auto replicante de um software de computador,

geralmente utilizando lógica maliciosa, que se propaga pela infecção (isto é,
inserindo uma cópia sua e se tornando parte) de outro programa. Não pode se
auto executar, ou seja, necessita que o seu programa hospedeiro seja executado
para que se tornar ativo;

 Worm: é um programa capaz de se propagar automaticamente pelas redes, enviando

cópias de si mesmo de computador para computador;

 Bot e Botnet: é um programa que dispõe de mecanismos de comunicação com o invasor

que permitem que ele seja controlado remotamente.

 Cavalo de Troia (Trojan): é um dos programas maliciosos mais comuns, ele

acessa seu dispositivo disfarçado como um programa comum e legítimo. Seu
papel é possibilitar a abertura de uma “porta”, de forma que usuários mal-
intencionados possam invadir seu computador.


 Spyware: tipo específico de código malicioso. Programa

projetado para monitorar as atividades de um sistema e enviar
as informações coletadas para terceiros.

 Backdoor: é usado para assegurar o acesso futuro ao

computador comprometido, permitindo que ele seja acessado remotamente,

9
 #10 Interno
sem que haja necessidade de recorrer novamente aos métodos utilizados na
realização da invasão ou infecção e, na maioria dos casos, sem que seja notado.

 Rootkit: é um conjunto de programas e técnicas que permite

esconder e assegurar a presença de um invasor ou de outro
código malicioso em um computador comprometido.

 Ransomware: software malicioso que

bloqueia o acesso a sistemas e bases de dados através de uma
criptografia, solicitando um resgate para que o acesso seja
reestabelecido.

VOCÊ SABIA QUE...?

 Padrões de e-mails corporativos são copiados para enviar anexos e links maliciosos para outros
funcionários;
 Os hackers também conseguem acessar computadores desconectados da internet;
 Os hackers estudam seus alvos e aprendem a driblar suas defesas para, furtivamente, obter
aquilo que querem.

COMO SE PROTEGER?

 Existem dois itens que são necessários para evitar a aparição de malwares no seu computador.
A vigilância pessoal e o uso de ferramentas de proteção. A vigilância pessoal é, em resumo, ter
cuidado com tudo o que você for abrir e baixar em seu computador;
 Mesmo fora da internet, é não confiar em estranhos. Portanto, tenha cuidado ao receber e-mails
desconhecidos, alertas tentadores de serem clicados e perfis falsos. Se você não sabe de onde
vem um conteúdo, não abra;
 Não conecte dispositivos USB, tais como pen-drive e celular, na sua estação de trabalho pois eles
podem estar contaminados com malware sem que você saiba.
 Tome cuidado com sites que você navega. Quando eles possuem um sistema de segurança fraco
a chance de encontrar um malware ali é muito maior. Além disso, também fique atento aos seus
downloads. Isso porque, mesmo vindo de sites confiáveis, ele pode ter um software malicioso.

10
 #10 Interno

Conforme já citado, existem vários tipos de malwares e formas de disseminação na tentativa de

capturar novas vítimas para o agente malicioso, abaixo destacamos os principais tipos e como tentam
se propagar no meio digital:

Figura 1 - Tabela: Resumo comparativo entre os códigos maliciosos (CERT).

11
 #10 Interno

2.12.1.2. Engenharia social – técnica por meio da qual uma pessoa procura persuadir outra
a executar determinadas ações. No contexto da SI, é considerada uma prática de
má-fé, usada por indivíduos para tentar explorar a boa-fé ou abusar da
ingenuidade e da confiança de outras pessoas, a fim de aplicar golpes, ludibriar ou
obter informações sigilosas e importantes:

 Pharming: é um tipo específico de phishing que envolve o redirecionamento da

navegação do usuário para sites falsos, de forma que, quando ele tenta acessar
um site legítimo, o navegador Web é redirecionado para uma página falsa.

 Phishing: links transmitidos por e-mails, simulando ser uma pessoa ou empresa
confiável que envia comunicação eletrônica oficial para obter informações
confidenciais;

 Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações
telefônicas, tenta obter informações confidenciais;

 Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens
de texto, tenta obter informações confidenciais;

 Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e

restaurantes que captam qualquer tipo de informação que possa ser utilizada
posteriormente para um ataque.

2.12.1.3. Ataques de DDoS (distributed denial of services) e botnets – ataques visando

negar ou atrasar o acesso aos serviços ou sistemas da instituição; no caso dos
botnets, o ataque vem de um grande número de computadores infectados
utilizados para criar e mandar spam ou vírus, ou inundar uma rede com
mensagens resultando na negação de serviços.

2.12.1.4. Invasões (advanced persistent threats) – ataques realizados por invasores

sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar
fragilidades específicas em um ambiente tecnológico.

As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade

e informações/bens de cada organização. As consequências para as instituições
podem ser significativas em termos de risco de imagem, danos financeiros ou perda
de vantagem concorrencial, além de riscos operacionais. Os possíveis impactos
dependem também da rápida detecção e resposta após a identificação do risco.

12
 #10 Interno
2.13. Mecanismos de Proteção

Os mecanismos para as recomendações de segurança podem ser encontrados em:

 Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a
infraestrutura (que garante a existência da informação) que a suporta. Mecanismos de
segurança que apoiam os controles físicos: portas, trancas, paredes, blindagem, guardas,
etc.

 Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está
em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a
alteração não autorizada por elemento mal-intencionado. Mecanismos de segurança que
apoiam os controles lógicos:

 Criptografia - “Embaralha” e codifica os dados, tornando-os indecifráveis e só os

deixando legíveis para quem possui a chave de acesso e autorização. A criptografia
deve ser utilizada no envio de informações estratégicas e confidenciais, evitando
a possível interceptação de dados, garantindo assim a confidencialidade.

 Certificado Digital - É um arquivo eletrônico que serve como identidade virtual

para uma pessoa física ou jurídica, e por ele pode se fazer transações online com
garantia de autenticidade e com toda proteção das informações trocadas.

 Assinatura Digital – Um conjunto de dados criptografados, associados a um

documento do qual sua função, garantido a integridade e autenticidade do
documento associado, mas não a sua confidencialidade.

 Mecanismos de Controle de acesso: sistemas biométricos, Firewalls e Cartões

inteligentes.

 Honeypot: é uma ferramenta que tem a função de propositalmente simular falhas

de segurança de um sistema e colher informações sobre o invasor enganando-o,
fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele
sistema. É uma espécie de armadilha para invasores.

 Antivírus - Na maior parte do tempo, “antivírus” e “antimalware” significam a

mesma coisa. Os dois são softwares feitos para detectar, proteger contra e
remover softwares maliciosos.

 Protocolos Seguros – Uso de protocolos que garantem um grau de segurança

como: IP (Protocolo Internet), FTP (Protocolo de Transmissão de arquivos), SMTP
(Protocolo de Transferência de Correio simples).

 Identificação - Uma conta de usuário, também chamada de "nome de usuário",

"nome de login" e username, corresponde à identificação única de um usuário em

13
 #10 Interno
um computador ou serviço. Por meio das contas de usuário é possível que um
mesmo, computador ou serviço seja, compartilhado por diversas pessoas, pois
permite, por exemplo, identificar unicamente cada usuário, separar as
configurações específicas de cada um e controlar as permissões de acesso.

 Autenticação - Na autenticação, o usuário deve apresentar algo que só ele saiba

ou possua, podendo até envolver a verificação de características físicas pessoais.
A maioria dos sistemas atuais solicita uma senha (algo que, supostamente, só o
usuário conhece), mas já existem sistemas mais modernos utilizando cartões
inteligentes (algo que o usuário possui) ou ainda características físicas (algo
intrínseco ao usuário), como o formato da mão, da retina ou do rosto, impressão
digital e reconhecimento de voz.

 Senha ou Password - Uma senha, ou password, serve para autenticar uma conta,
ou seja, é usada no processo de verificação da sua identidade, assegurando que
você é realmente quem diz ser e que possui o direito de acessar o recurso em
questão. É um dos principais mecanismos de autenticação devido, principalmente,
a simplicidade que possui.

 Se uma outra pessoa souber a sua conta de usuário e tiver acesso à sua senha
ela poderá usá-las para se passar por você, ou seja, ela realizará ações em seu
nome.

A responsabilidade sobre os controles de acesso lógico pode ser tanto dos gestores negociais
como dos gestores técnicos. O gestor técnico tem o papel de controlar o acesso à rede, ao
sistema operacional e seus recursos e, ainda, aos aplicativos e arquivos de dados. Ele é o
responsável pela proteção dos recursos do sistema contra invasores ou funcionários não
autorizados.

No BRB os gestores negociais são responsáveis pelo controle de acesso, identificando quem pode
acessar cada um dos sistemas e que tipo de operações podem executar. Por conhecerem bem o
sistema sob sua responsabilidade, os proprietários são as pessoas mais indicadas para definir
privilégios de acesso de acordo com as reais necessidades dos usuários. No BRB, a regra consta
no Manual de Acesso Lógico.

Dessa forma, as responsabilidades sobre segurança de acesso são segregadas entre o gestor
técnico e os gestores negociais.

A cooperação dos usuários autorizados é essencial à eficácia da segurança. Os usuários devem

estar cientes de suas responsabilidades para a manutenção efetiva dos controles de acesso,
considerando particularmente, o uso de senhas e a segurança dos equipamentos de informática
que costumam utilizar.

14
 #10 Interno
3. GERENCIAMENTO DE SEGURANÇA E RISCOS CIBERNÉTICOS

3.1. Gestão de Riscos Cibernéticos

Atualmente o BRB está focado em seu desenvolvimento digital, rapidamente se adequando e

evoluindo tecnologicamente. À medida que isto vem acontecendo, a ocorrência de ataques
cibernéticos e vazamento de informações aumentam na mesma proporção.
Então a exposição por ameaças cibernéticas, causam danos que podem acarretar o
comprometimento do negócio, das informações de clientes, parceiros, fornecedores, operações
e até mesmo a reputação e marca, que por muito tempo, mesmo após a solução de um incidente,
pode ficar prejudicada.
Torna-se uma necessidade, realizar corretamente um gerenciamento de riscos e executá-los com
as devidas tratativas para mitigá-los, de forma que, a organização consiga estruturar seus
processos de negócio para que não sejam afetados drasticamente em caso destes riscos se
materializarem.
A gestão de riscos cibernéticos evita desperdício de recursos, bem como
potencializa a efetividade de processos, garantindo que ações preventivas
sejam feitas sempre que forem necessárias à saúde da empresa. Além
disso, permite criar uma estratégia para gerir os riscos envolvidos na falha
de sistemas críticos ou de segurança, com o objetivo de identificar todos
os ativos, suas vulnerabilidades e as ameaças que podem tirar proveito dessas
fraquezas. O processo de gestão de riscos cibernéticos é um processo contínuo e
iterativo. São benefícios decorrentes desta adoção:
❑ riscos são identificados;
❑ riscos são apreciados em termos de consequências e chances de ocorrência;
❑ as chances e consequências de riscos são comunicadas e compreendidas;
❑ uma ordem de prioridade para tratamento de riscos é estabelecida;
❑ uma ordem de prioridade para redução dos riscos é estabelecida;
❑ os gerentes e o staff são educados sobre riscos e ações tomadas para mitigá-los;
O Processo de gestão de riscos cibernéticos compreende o seguinte fluxo:

Figura 2- Processo de Gestão de Riscos (ISO 27005).

15
 #10 Interno

I. Definição de escopo - Onde as informações relevantes sobre a organização

devem ser reunidas para auxiliar na definição das limitações e escopo para
análise/avaliação de riscos.
II. Identificação - A identificação de riscos serve para identificar eventos que
possam causar uma perda potencial, deixando claros os motivos pelo qual tal
perda pode vir a ocorrer. A identificação de riscos ocorre através da
identificação e valoração dos ativos, identificação de ameaças, identificação
de controles existentes, identificação de vulnerabilidades e mensuração
destas variáveis.
III. Análise de Risco - Determina o valor dos ativos de informação, identifica quais
informações a empresa armazena e seus respectivos valores. É a fase de
descobrir quais são as ameaças que pode sofrer e apontar suas
vulnerabilidades, distinguir o grau de impacto de cada risco e ameaça, e
apontar os que tiverem maior impacto. Também nessa fase é necessário
estimar o custo de um incidente versus o custo dos métodos de segurança
necessários.
IV. Avaliação de Risco - Em sistemas computacionais, nada é estático, isto é, as
informações, os sistemas e os produtos estão em constante mudança. Dessa
forma, os riscos também se apresentam dinâmicos. Uma avaliação de risco
ajuda a determinar as estratégias necessárias para minimizar os riscos. É um
processo que ajuda a identificar possíveis riscos, possível severidade dos
riscos, frequência de exposição aos riscos e a estratégias a implementar para
minimizar riscos e evitar danos.

V. Tratamento do Risco - Há quatro opções disponíveis para o tratamento do

risco: redução do risco, retenção do risco, evitar o risco e transferência do
risco.

VI. Comunicação do Risco - As informações obtidas através do processo de

análise e avaliação de riscos devem ser compartilhadas entre o tomador de
decisão e/ou partes interessadas.

VII. Monitoramento de Riscos - Os riscos e seus fatores como relevância,

vulnerabilidades e ameaças, devem ser monitorados e analisados
criticamente, a fim de se identificar, o mais rapidamente possível, eventuais
mudanças no contexto da organização, oferecendo aos tomadores de decisão
uma visão geral dos riscos.

No BRB, a gestão de riscos cibernéticos é conduzida pela GERIT e o processo está normatizado no
Manual de Análise e Avaliação de Riscos Cibernéticos.

16
 #10 Interno
3.2. Gestão de Incidentes de Segurança Cibernética

Um incidente de segurança pode ser definido como qualquer evento adverso,

confirmado ou sob suspeita, relacionado a segurança de sistemas de computação ou
de redes de computadores. Em geral, toda situação onde uma entidade de informação
está sob risco é considerado um incidente de segurança. Alguns exemplos de
incidentes de segurança são: tentativas de uso ou acesso não autorizado a sistemas
ou dados, tentativa de tornar serviços indisponíveis, modificação em sistemas (sem
conhecimento u consentimento prévio dos donos) e o desrespeito à política de
segurança ou à política de uso aceitável de uma instituição.
A seguir conheceremos, conforme normatizado no Manual para tratamento de
Incidentes de Segurança Cibernética as três fases para garantir os objetivos do
processo de Gestão de Incidentes de Segurança Cibernética, Triagem e Análise,
Resposta ao Incidente e Pós Incidente:

3.2.1. Triagem e Análise

É a fase em que é estruturado todo o processo necessário para subsidiar as

fases seguintes de Resposta ao incidente e Pós incidente. Durante essa fase
são geridos os recursos que subsidiam o tratamento dos incidentes de
segurança através da gestão de sensores e fontes de logs, gestão dos casos de
uso de detecção, correlação de eventos, qualificação da informação, triagem
e análise de causa raiz.

Na triagem e análise, que identifica os pontos de melhorias em aspectos visem

a capacidade, a resolução de deficiência conhecidas, viabilizando
infraestrutura e serviços adequados ao processo.

3.2.2. Resposta ao Incidente de Segurança Cibernética

Essa fase define atividades necessárias para paralisar ou levar a execução de

um incidente a níveis aceitáveis, impedir a proliferação da ameaça e recuperar
os ativos envolvidos. Busca ainda a preservação de evidências, documentação
de todas as rotinas executadas e possíveis recomendações para a fase Pós
incidente.

3.2.3. Pós Incidente

Nessa fase todos os casos devem ser encerrados. Tem finalidade de avaliar a
eficácia das fases anteriores. Essa fase é também uma oportunidade de avaliar
falhas cometidas em outras fases, onde os envolvidos no tratamento do
incidente devem reunir-se para revisar todo o processo, identificar potenciais
vulnerabilidade, pontos de melhorias, lições aprendidas e o conhecimento
acumulado.

17
 #10 Interno
Compete aos colaboradores e usuários dos sistemas de informação do BRB,
notificar os Incidentes de Segurança, através da caixa de serviço: //SOC,
endereço: soc@brb.com.br ou através da ferramenta GIS.

3.3. Desenvolvimento e Aquisição de Sistemas Seguros

O principal objetivo é garantir que a segurança seja parte integrante dos sistemas de
informação na instituição e que as melhores práticas de segurança sejam adicionadas
ao sistema antes de sua entrada em produção.
Os sistemas de informação incluem os sistemas operacionais, infraestrutura,
aplicações de negócios, pacotes e sistemas em gerais. Convém que os requisitos de
segurança sejam identificados e acordados antes do desenvolvimento e/ou
implementação dos sistemas.
O normativo, sob responsabilidade da GERIT, Manual para Desenvolvimento e
Aquisição de Sistemas Seguros é o documento que compõe referência única para os
requisitos de segurança e validação dos sistemas desenvolvidos ou adquiridos para o
BRB.

3.4. LGPD
A Lei Geral de Proteção de Dados (LGPD) é uma legislação que entrou em vigor em
agosto de 2020 no Brasil para estabelecer normas relacionadas ao tratamento de
dados de pessoa física nas suas mais variadas aplicações e ambientes. Seguindo as
bases do regulamento geral de proteção de dados europeu (GDPR), a LGPD mudará a
forma de funcionamento e operação das organizações, e estabelece regras de coleta,
armazenamento, tratamento e compartilhamento de dados pessoais, tornando a
proteção de dados ainda mais relevante.
A Lei é válida para qualquer pessoa natural ou jurídica, de direito público ou privado,
que realize o tratamento de dados pessoais, de qual seja o país sede em que os dados
estejam localizados.
Os 5 principais atores da LGPD são:

1- Titular : pessoa natural a quem se referem os dados pessoais que são objeto
de tratamento
2- Controlador : pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
3- Operador : pessoa natural ou jurídica, de direito público ou privado, que
realiza o tratamento de dados pessoais em nome do controlador;
4- Encarregado : encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados
e a Autoridade Nacional de Proteção de Dados (ANPD);
5- Autoridade Nacional de Proteção de dados: órgão da administração pública
federal, integrante da Presidência da República

18
 #10 Interno

São 10 os princípios da LGPD:

Figura 3- Princípios LGPD.

Os Titulares dos dados pessoais têm o direito diante essa lei de obter:
1- Confirmação da existência de tratamento de dados;
2- Acesso aos dados;
3- Correção de informações incompletas ou desatualizadas;
4- Conhecimento sobre possíveis compartilhamentos;
5- Direito a esclarecimentos sobre as consequências de não fornecer dados;
6- Direito a revogar o consentimento das informações

Outro quesito importante que merece destaque nessa Lei é quanto a Dados Sensíveis: que são
aqueles dados que podem gerar algum tipo de discriminação:

Figura 4- Tipificação de dados sensíveis.

A Lei Geral de Proteção de Dados já está em vigor desde 18/09/2020 e começará a aplicar
suas sanções no mês de Agosto de 2021.

19
 #10 Interno

3.5. Testes de Segurança (Pentest)

É uma medida para avaliar a segurança de uma infraestrutura

de TI, tentando de forma segura explorar suas
vulnerabilidades. Essas vulnerabilidades podem existir em
sistemas operacionais, serviços e aplicações falhas,
configurações impróprias, ou comportamento de risco por
parte do usuário final. Essas avaliações também são úteis
para validar a eficácia dos mecanismos de defesa, bem como, a
adesão do usuário final às políticas de segurança.

O teste de segurança fornece informações detalhadas sobre ameaças reais e

exploráveis na segurança da informação, identificando quais vulnerabilidades são
mais críticas, as menos relevantes e as que não passam de falsos positivos.
Essas informações são apresentadas aos gestores dos sistemas de TI e rede para
ajudar a definir estratégicas e priorizar esforços de remediação dos pontos de falha
relacionados.

3.6. Investigação Forense Digital

Forense Digital é um ramo da ciência forense que abrange a recuperação e

investigação de material encontrado em dispositivos digitais, geralmente em relação
a crimes computacionais, ela tem como objetivo a preservação, coleta, análise e
apresentação de resultados de análise das evidências digitais.

Etapas da Investigação Forense Computacional:

Figura 5 – Fases de uma investigação forense computacional.

20
 #10 Interno

3.7. Normas de Segurança da Informação e Risco Cibernético

Os normativos de Segurança Cibernética têm como objetivo estabelecer os controles

que deverão assegurar a confidencialidade, integridade e disponibilidade dos dados e
sistemas de informação para os processos citados à cima.

No portal de normativos estão publicados os seguintes documentos sob responsabilidade da

GERIT que normatizam os procedimentos a serem adotados pela instituição sob ótica da
segurança da informação, cibernética e riscos de Ti/Cibernéticos:

 Manual para Análise e Avaliação de Riscos Cibernéticos;

 Manual para Desenvolvimento e Aquisição de Sistemas Seguros;
 Manual para Monitoramento de Logs;
 Manual de Hardening de Tecnologia Web;
 Manual para Tratamento de Incidentes de Segurança Cibernéticos;
 Manual para Repasse e Tratamento das informações de incidentes críticos de
TI;
 Manual de Segurança da Informação e Comunicações;
 Manual para Acesso ao Ambiente Controlado;
 Procedimento Operacional Padrão Implementação SGSI;
 Procedimento Operacional Padrão Identificação de Riscos Cibernéticos;
 Política de Segurança Cibernética;
 Política de Segurança da Informação.

21