INTRODUÇÃO

Em tempos de transformação digital acelerada, em que o nível de

digitalização dos negócios vem aumentando a cada dia, as ameaças
cibernéticas estão encontrando um espaço maior para atuação. Este curso
visa garantir que o profissional seja capaz de identificar as ameaças
cibernéticas mais comuns e atuais, a partir de fontes públicas ou “não
convencionais” – como a deep web –, e os vetores de ataques que possam
afetar o ambiente sob a sua responsabilidade.
Nesse contexto, o curso pretende explorar os vetores mais comuns
de ataques e exploração de vulnerabilidades tecnológicas, de processos,
bem como o fator humano. A inteligência provida pela análise de ameaças
e vulnerabilidades deve ser considerada como ferramenta essencial para um
planejamento estratégico de defesa das organizações.
Sob essa ótica, analisaremos como identificar uma ameaça,
conhecendo os vetores comuns de ataques e exploração de vulnerabilidades,
inclusive explorando a anatomia clássica de um ataque.
Pretendemos mostrar os diversos aspectos das ciberameaças, o fator
tecnológico, o fator físico, e o fator humano, conhecendo as principais
formas de monitoramento de ameaças e propondo soluções e maneiras
de proteção contra as ciberameaças, de forma reativa e proativa.
O uso amplo e intenso de Tecnologia de Informação (TI), tanto
pelas organizações como pelos indivíduos, exige que as organizações
tratem a questão de cibersegurança como um tema corporativo, que
envolve todas as áreas.
Nesse novo ambiente, a função de TI passa a ser da responsabilidade
de todas as áreas, em especial do corpo gerencial, exigindo um novo tipo
de competência para a administração de TI como um recurso corporativo
de responsabilidade de todos.
Este curso proporcionará competências para o desenvolvimento de
estratégias de prevenção e defesa contra ameaças do ciberespaço a partir
de uma compreensão situacional.
 Dessa forma, o curso tem como objetivo apresentar conceitos visando aprimorar a
competência para, de forma integrada e transversal nas organizações, promover as transformações
corporativas necessárias para reduzir a superfície de exposição da empresa aos riscos que possam
atentar contra a integridade, a disponibilidade, a confidencialidade e a privacidade dos dados, da
infraestrutura, das informações e de toda a cadeia de valor do negócio.
Já como objetivos específicos podemos listar:
 identificar as diversas formas de ameaças cibernéticas que possam afetar a organização,
independentemente do meio de exploração ou da modalidade de ataque por parte externa;
 propor estratégias viáveis de proteção e
 abordar possíveis diretrizes práticas para defesa e prevenção da organização, bem como
priorizar as medidas a serem tomadas.

Para alcançar tais objetivos, esta apostila será dividia em quatro módulos. No módulo 1,
Inteligência sobre cibersegurança, faremos uma reflexão a respeito do valor da inteligência sobre
as ameaças cibernéticas, entendendo a importância de se pensar em segurança da informação como
um tema corporativo, que envolve todas as áreas da organização. Conheceremos a anatomia clássica
de um ataque, para assim facilitar a identificação de uma ameaça, entendendo as opções de proteção
reativas e proativas contra ameaças cibernéticas.
No módulo 2, Ameaças por meio do fator cibernético, contemplaremos os diversos
aspectos das ciberameaças: o fator tecnológico, o fator físico e o fator humano. Veremos alguns
exemplos de tipos de ataques conhecidos, para assim pensarmos nos vetores comuns de ataques e
exploração de vulnerabilidades.
Já no módulo 3, Ferramentas contra as ciberameaças, abordaremos as principais ferramentas
e formas de monitoramento de ciberameaças, identificando os principais conceitos sobre o assunto,
além das melhores práticas de mercado: Network Operations Center (NOC), Security Operations
Center e outros serviços. Abordaremos também a importância e as funções dos chamados blue team
e red team na inteligência de cibersegurança.
Por fim, no módulo 4, Cibersegurança como facilitadora da organização, analisaremos
aspectos da cibersegurança relacionados à governança corporativa, sejam exigências, sejam
recomendações de mercado, visando propor um caminho em que a cibersegurança fortaleça a
retaguarda operacional da organização. Além disso, veremos a importância da integração da
cibersegurança com outros times e outras áreas dentro das organizações, especialmente em tempos
de Lei Geral de Proteção de Dados Pessoais (LGPD).
SUMÁRIO
MÓDULO I – INTELIGÊNCIA EM CIBERSEGURANÇA ........................................................................... 7

INTRODUÇÃO ..................................................................................................................................... 7
Histórico de TI nas organizações ............................................................................................. 9
Era do computador .................................................................................................................. 11
Era da informação ................................................................................................................... 11
TRANSFORMAÇÃO DIGITAL E CIBERSEGURANÇA ........................................................................ 12
Maturidade e papel de TI ........................................................................................................ 13
Maturidade e papel de TI nas pequenas e nas médias empresas .................................... 18
SEGURANÇA DA INFORMAÇÃO: UM TEMA CORPORATIVO ........................................................ 20
Empresas no contexto da cibersegurança ........................................................................... 21
Desafios de segurança corporativa ....................................................................................... 22
ANATOMIA CLÁSSICA DE UM ATAQUE E OPÇÕES DE PROTEÇÃO ............................................. 23
TIPOS DE ATAQUES CONHECIDOS................................................................................................. 26
Engenharia social ..................................................................................................................... 26
Ransomware .............................................................................................................................. 26
Ataques DDoS........................................................................................................................... 27
Software de terceiros ............................................................................................................... 27
Vulnerabilidades de computação em nuvem ...................................................................... 27
Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou
sistemas .................................................................................................................................... 28
Furto de identidade (identity thief) ......................................................................................... 28
Golpe do boleto falso .............................................................................................................. 29

MÓDULO II – FATORES INERENTES ÀS CIBERAMEAÇAS ................................................................... 31

FATOR TECNOLÓGICO ..................................................................................................................... 31

Inovação e competitividade: posturas .................................................................................. 32
Líder em inovação .............................................................................................................. 33
Seguidor rápido .................................................................................................................. 33
Seguidor lento ..................................................................................................................... 34
Não seguidor ....................................................................................................................... 34
FATOR FÍSICO: INFRAESTRUTURA DE TI ........................................................................................ 38
Principais vantagens do outsourcing de TI ............................................................................ 38
Principais razões alegadas pelas empresas para fazer outsourcing de TI ........................ 39
Principais riscos do outsourcing de TI .................................................................................... 40
Estratégias básicas sobre outsourcing de TI ......................................................................... 41
Cloud computing: computação em nuvem ............................................................................ 42
FATOR HUMANO .............................................................................................................................. 43
MÓDULO III – FERRAMENTAS CONTRA AS CIBERAMEAÇAS ............................................................ 47

INTRODUÇÃO ................................................................................................................................... 47
RESPOSTA A INCIDENTES ................................................................................................................ 49
BLUE TEAM E RED TEAM..................................................................................................................... 51
Red team .................................................................................................................................... 53
Blue team ................................................................................................................................... 53
PROCESSOS E PROCEDIMENTOS ................................................................................................... 54
Metodologia Ooda Loop ......................................................................................................... 55
Importância dos checklists ...................................................................................................... 56
Checklist de análise forense............................................................................................... 56
Checklist de listas de contatos de emergência................................................................ 56
Checklist de sistemas de backup ....................................................................................... 57
Checklist de pós-incidente.................................................................................................. 57

MÓDULO IV – CIBERSEGURANÇA COMO FACILITADORA DA GOVERNANÇA ................................ 59

GOVERNANÇA CORPORATIVA E CIBERSEGURANÇA .................................................................... 59

GOVERNANÇA DE TI E PLANEJAMENTO ESTRATÉGICO ............................................................... 61
GOVERNANÇA DE TI: MATRIZ DE ARRANJOS DE GOVERNANÇA ................................................ 62
GOVERNANÇA DE TI: QUADROS DE REFERÊNCIA OU FRAMEWORK ........................................... 64

BIBLIOGRAFIA ...................................................................................................................................... 67

PROFESSOR-AUTOR ............................................................................................................................. 69
MÓDULO I – INTELIGÊNCIA EM
CIBERSEGURANÇA

Neste módulo, faremos uma reflexão a respeito do valor da inteligência sobre as ameaças
cibernéticas, entendendo a importância de se pensar em segurança da informação como um tema
corporativo, que envolve todas as áreas da organização. Conheceremos a anatomia clássica de um
ataque, para assim facilitar a identificação de uma ameaça, entendendo as opções de proteção
reativas e proativas contra ameaças cibernéticas.

Introdução
O objetivo final de uma empresa é alcançar lucro perene, e, para tanto, busca fazer o melhor
uso possível dos seus recursos, alocando-os de acordo com as estratégias de negócio traçadas, para
desse modo buscar competitividade. Muitas são as teorias acadêmicas que nos mostram tal fato,
bem como a observação do cenário corporativo também pode comprovar.
Ao longo do tempo, vemos a atenção se deslocar de um tipo de recurso para outro. Dessa
forma, os primeiros pensadores da moderna ciência da administração surgida após a chamada
Revolução Industrial focam as suas teorias na organização da produção, como fizeram Frederic
Taylor (1903) e Henri Fayol (1916), as quais foram seguidas e implementadas por empresários
como Henry Ford, fundador da Ford.
Logo em seguida, vemos também as teorias focarem os recursos humanos, tanto nos trabalhos
da psicóloga Lilian Gilbreth, precursora da psicologia aplicada ao trabalho, que defendeu a ideia de
que o aumento da produtividade depende fundamentalmente da atitude dos empregados, das
oportunidades a eles oferecidas e do ambiente físico no local de trabalho, quanto nas contribuições
seguintes de psicólogos e sociólogos como Elton Mayo e Mary Parker Follet, culminando com o
surgimento da Teoria das Relações Humanas em 1940.
 Mais adiante, na década de 1950, logo após a II Guerra Mundial, surgiu o conceito moderno
de marketing, e as teorias se deslocaram também para o estudo dos mercados, com as primeiras
teorias de Levitt, Drucker e Kotler.
Mais recentemente, e cada vez mais, vemos a tecnologia desempenhar um papel relevante
nas empresas, tornando-se assim um recurso dos mais importantes na busca pelo objetivo final
de qualquer empresa.
Conforme podemos ver em diversos trabalhos acadêmicos já realizados, a tecnologia sempre
foi uma variável central na teoria organizacional, e o seu uso pelas empresas se intensifica, como
apontam os gastos cada vez maiores. No Brasil, o total anual de gastos e investimentos em TI nas
empresas, quando medido como um percentual da receita, cresceu a uma taxa média de 8,0% ao
ano, conforme apontado por pesquisa que vem sendo realizada há mais de 30 anos pelo Centro de
Tecnologia de Informação Aplicada (FGVcia) da Escola de Administração de Empresas de São
Paulo da Fundação Getulio Vargas (FGV Eaesp).
Uma questão também central quanto ao uso de TI pelas empresas é verificar se tal prática
leva à melhoria do desempenho, fato ainda com resultados controversos, uma vez que alguns
estudos apontam resultados positivos, enquanto outros dizem que não há relação, ou até mesmo
que os resultados são negativos, havendo espaço para maior entendimento.
Tanto as organizações como a tecnologia têm passado por dramáticas mudanças no formato
e na função, consequentemente também é imperativa a mudança nas formas de gestão e de
avaliação. O ritmo vertiginoso de mudança no mundo da tecnologia e as mudanças que a TI pode
trazer para os negócios elevam os assuntos relativos à TI a um alto grau de importância, tanto que
nesta nova realidade, as organizações se tornam virtuais em um ambiente totalmente
interconectado, o que tem exigido mudanças significativas nas diretrizes organizacionais, inclusive
na sua estrutura e nas regras de autoridade e responsabilidade.
As mudanças são tão profundas no uso de TI pelas empresas e pelas pessoas, levando o
conceito de computação ubíqua a ser uma realidade presente nos nossos dias, que até mesmo o
estudo da área deveria levar isso em conta, expandindo o escopo das pesquisas, portanto, neste atual
estágio de informatização, em que vemos muitas empresas convivendo em um ambiente de total
digitalização, os desafios para a gestão em alto desempenho são enormes.
Uma complexidade ainda maior é encontrada ao analisar as pequenas e as médias empresas,
que, apesar de desempenharem um importante papel no desenvolvimento econômico e social no
mundo todo, não podem ser vistas com as mesmas lentes usadas relativamente às grandes empresas.
Com base nessas mudanças e em alguns fatores, como o crescente ambiente de negócios
digitais, nota-se o papel de políticos e governos criando leis que obrigam as pequenas empresas a se
informatizarem, e os fornecedores de tecnologia cada vez mais enxergando as pequenas e as médias
empresas como potenciais clientes.

8
 Por todo o exposto e em função do uso crescente de TI pelas empresas, é imperativo que o
tema cibersegurança ganhe também maior relevância. Uma primeira abordagem que se faz
necessária é entender o nível de maturidade em gestão de TI em cada empresa em particular, o que
vai impactar sobremaneira a gestão de ciberameaças também.

Histórico de TI nas organizações

Com o intuito de entender o histórico de TI nas organizações, e desse modo contextualizar e
entender melhor onde estávamos e para onde estamos indo, podemos observar a evolução da
informática dividindo-a em dois momentos distintos: a Era do Computador e a Era da Informação.
No ambiente das empresas, quando pensamos em TI estamos pensando fundamentalmente em
informação, especialmente para tomar boas decisões. O papel central das informações nos negócios
não é uma característica nova, ao contrário, desde sempre na história da administração de empresas a
informação vem tendo um lugar de protagonismo. O que podemos considerar novidade é o aumento
crescente do volume de informações, bem como o valor dessas informações para a tomada de decisão.
Esse gigante volume de informações que temos disponíveis atualmente leva-nos até a cunhar um novo
termo, o chamado big data, para fazer referência a esse contexto de explosão de informações.
A informação é o insumo básico para a inteligência na tomada de decisão, pois enquanto no
passado era comum se tomar decisão baseado somente em feeling, quando a experiência contava
muito; hoje se busca intensamente a inteligência, derivada de informação, para tomar decisões
consistentes, baseadas em dados e fatos.
O valor das informações também é muito diferente do que foi no passado, como exemplo,
pensemos em uma reunião de diretoria com gerentes há 30 anos: se algum gerente tivesse alguma
nova informação relevante, e a apresentasse na reunião, esse fato seria visto como positivo, a
pessoa ficaria valorizada, pois mostraria que era bem informada. Nesse sentido, o fato de ter a
informação significava poder.
Hoje, a mesma situação, isto é, apresentar uma informação relevante somente na reunião,
pode significar até mesmo um problema, pois a informação deveria ter sido compartilhada no
momento em que se soube dela.
Por outro lado, ao olharmos a competição entre empresas, a complexidade dos negócios hoje
é muito maior do que era no passado, o nível de competição está muito mais acirrado na maioria
dos mercados, fato que não deriva exclusivamente de TI, mas também de vários outros fatores, por
exemplo, a globalização. Essa competição maior exige que as empresas sejam mais competitivas, e
para ser mais competitiva a empresa precisa ter informações mais apuradas para tomar boas decisões,
de onde concluímos que o aspecto central para o sucesso da gestão é o bom uso das informações,
que é justamente o centro da nossa conversa na área de TI.

9
 Um esclarecimento inicial se faz necessário sobre o nome da nossa área: enquanto no passado
nos referíamos à Informática, no presente chamamos a área de Tecnologia da Informação, e, ainda,
se nos restringirmos ao ambiente acadêmico, o nome mais comum é Sistemas de Informação.
Quanto ao entendimento do que seja TI, vamos definir como sendo qualquer conjunto de
hardware, software e pessoas; e o primeiro grande desafio para uma boa gestão de TI é justamente a
integração de todos esses elementos, de tal maneira que não se enxergue TI como fim em si, mas,
sim, como meio para ajudar o negócio a atingir os seus objetivos.
Olhando ao longo da história, notamos em primeiro lugar uma crescente redução de custos
de TI nas empresas, seja hardware, seja software, telecomunicações e até mesmo transformação de
modelos de negócios dos ofertantes de TI, pois hoje é muito comum tratar a tecnologia como
serviço, e aqui nos referimos à computação em nuvem, ou cloud computing, em que a empresa
contrata somente o necessário, pode ter uma escalabilidade rápida para satisfazer novas necessidades
e não desperdiça recursos.
Um aspecto interessante que vale ressaltar é que, apesar dessa redução de custos para a
obtenção de TI, o gasto total das empresas com tecnologia aumenta a cada ano, fato apontado por
pesquisa que vem sendo realizada há mais de 30 anos pelo FGVcia.
Um segundo aspecto que observamos também com muita clareza é que cada vez mais
encontramos todos os funcionários da empresa atuando como usuários de TI, o que não era comum
até meados dos anos 1980, pois, quando se olhava para informática, o mais comum era se encontrar
a figura do “usuário-chave”, que de alguma forma interagia com a área.
Hoje, por sua vez, é muito comum encontrarmos todos os funcionários da empresa como
usuários de TI, porque a TI de muitas maneiras permeia todos os processos de negócio das empresas,
o que, obviamente, também contribui para a mudança de muitos processos de trabalho, mudando
a forma como as pessoas fazem as suas tarefas.
Justamente aqui, encontramos um terceiro aspecto fundamental que notamos ao olhar a evolução
do uso de TI pelas empresas: o uso cada vez mais intensivo de TI implica a mudança nos processos e
nas formas de trabalho na empresa, o que também poderá trazer uma resistência das pessoas às mudanças
necessárias. Como bem sabemos, muitas pessoas não gostam de mudanças, e tentarão resistir ao
máximo, o que pode significar muitas vezes uma sabotagem às novas tecnologias e processos.
Portanto, ao pensarmos o uso de TI pelas empresas, não podemos esquecer a dimensão
pessoas, e devemos buscar maior entendimento para fazer com que a adoção de novas tecnologias
aconteça da forma mais tranquila possível.
Para entendermos um pouco melhor a realidade da empresa no que diz respeito a esses três
aspectos – redução de custos de TI, aumento de usuários na empresa, resistência humana às novas
tecnologias –, vamos utilizar o modelo com os dois momentos distintos: a Era do Computador e a
Era da Informação. Entretanto lembremos que, como qualquer modelo, este também é uma
redução da realidade, mas nos permite melhor entendimento à medida que nos traz maior clareza
dos contextos. Com isso podemos pensar esse modelo como duas fotos distintas, uma tirada no
passado e a outra no presente, e cada uma delas nos mostra um cenário bem diferente do outro.

10
Era do computador
A área de informática era administrada pelo gerente do Centro de Processamento de Dados
(CPD), que fundamentalmente era um profissional de formação técnica, um gestor de nível
hierárquico médio, que tinha como principal missão garantir que o computador estivesse sempre
funcionando, para assim garantir ganhos de produtividade em vários processos de negócio da empresa.
O computador, que ainda era uma máquina de grande porte, o chamado mainframe, era o recurso
focado, era o protagonista. Esses equipamentos eram caros e, por essa razão, o gerente do CPD muitas
vezes se reportava ao executivo financeiro da organização, que era quem assinava o cheque.
Nesse momento, somente gestores também de nível hierárquico médio se envolviam com o
tema na empresa, não era comum que os principais gestores se envolvessem com o assunto, pois,
apesar de o computador custar caro, o investimento total feito em informática não era muito elevado;
na verdade, era bastante conservador.

Era da informação
Neste momento, o contexto muda bastante, a área de TI passa a ser gerenciada pelo Chief
Information Officer (CIO), que deve reportar-se ao Chief Executive Officer (CEO). O CIO é um
profissional de nível hierárquico elevado, cuja competência necessária não se limita mais a aspectos
técnicos, mas acima de tudo deve entender o negócio e pensar como um estrategista. A sua principal
missão é promover o alinhamento entre a TI e o negócio, para desse modo buscar níveis mais
elevados de competitividade.
O recurso focado não é mais o computador, mas, sim, os dados e a comunicação, muitas
vezes nem importando onde elas estão, se dentro da empresa ou na “nuvem”; o envolvimento com
o assunto não se limita mais a gestores de nível médio, ao contrário, a alta gestão da organização
também está bastante envolvida com o tema e com as decisões sobre TI, especialmente pelo fato de
agora as empresas gastarem fortunas com TI.
Como podemos perceber, são dois momentos com características bastante distintas, e esse
modelo nos ajuda a entender onde cada empresa se situa atualmente, mais próxima da Era do
Computador ou mais parecida com a Era da Informação. A partir desse entendimento, podemos
traçar melhor um diagnóstico de quais ações devemos empreender para conseguir fazer o melhor
uso possível de TI na empresa.
Lembremos que uma das principais competências de qualquer gestor é justamente a sua
capacidade de diagnosticar, para então tomar as decisões necessárias para atingir os seus objetivos,
e os modelos servem para nos ajudar nesse processo.
Ao observarmos a realidade das empresas e olharmos para o passado, podemos notar que o
“velho modelo econômico” tinha como característica grandes barreiras de entrada, a necessidade de
muito capital, a presença de economias de escala, com grandes volumes e pequenas margens. Era
um mundo em que só o forte sobrevivia.

11
 Olhando para hoje, o mais comum é encontrarmos um “novo modelo econômico”, em que
não importa mais somente ser grande, o que tem muito valor é ter criatividade, saber inovar, fazer
gestão do conhecimento. Neste momento, as barreiras de entrada são baixas ou até inexistentes, e
para sobreviver o aspecto mais importante é a agilidade.
Neste novo cenário, que parece ser o mais comum em diversos mercados, quanto mais
próxima da Era da Informação a empresa estiver maior agilidade terá para tomar decisões, e quanto
mais ágil for para tomar decisões maior a capacidade de sobreviver, maior será a sua capacidade de
competir. Por isso é imperativo que as empresas amadureçam na gestão de TI, caminhem no sentido
da Era da Informação, para que tenham maior competência para tomar boas decisões, em tempos
adequados, pois somente dessa forma conseguirão alcançar níveis de competitividade que as
permitam ter agilidade para desempenhos superiores.
Neste “novo modelo econômico”, também é bastante comum encontrarmos pequenas
empresas fazendo bastante sucesso, pois não há mais a necessidade de ser grande, de ter muito
capital, ao contrário, é muito comum encontrarmos grandes empresas que não conseguem fazer
essa transformação, justamente por serem grandes e não ágeis.
Obviamente, esse amadurecimento na gestão de TI será muito necessário para uma gestão
adequada das ciberameaças.

Transformação digital e cibersegurança

Em função do alto grau de competição na maioria dos mercados, as empresas se defrontam
com o desafio de se transformar para continuar tendo competitividade, e a tecnologia pode ser uma
aliada fundamental, e a importância de se pensar em segurança da informação cresce. Entretanto
não existe mágica, e muitas vezes o caminho não é fácil, exigindo não somente um grande esforço,
mas também profundas mudanças.
O alinhamento entre a estratégia de TI e as estratégias de negócios é a principal questão a ser
tratada para se ter sucesso nessa transformação digital, e esse assunto tem início na visão que se tem
sobre o papel que a TI deve desempenhar no negócio.
Alguns acreditam que a TI tem um papel estratégico no negócio, sendo até mesmo vista como
um recurso para reconfigurar modelos de negócios, e, no limite, redefinir a competitividade, habilitando
a chamada inovação disruptiva; enquanto outros acreditam que TI não deve ser tratada como um
assunto estratégico, visão também compartilhada pelo pesquisador e autor americano Nicholas Carr.
Independentemente da visão que se tenha, após a empresa já ter superado os estágios iniciais
do uso de TI, as operações se tornam cada vez mais dependentes dos sistemas de informação, de
modo que, se o sistema integrado parar, o negócio também para. Então, quanto mais a empresa usa
TI, quanto mais gasta dinheiro em TI, quanto mais maturidade ela alcança, mais a empresa estará
dependente do uso de TI.

12
 Importante ressaltar também que a empresa só vai conseguir extrair benefícios tangíveis do
uso de TI, seja redução de custos, seja aumento de produtividade, melhoria de qualidade, ou maior
flexibilidade para se transformar, à medida que ganhe maturidade.
Portanto somente em estágios mais avançados de maturidade é que a TI não apenas dá
suporte ao negócio, mas também influencia os planos de negócio, e é nesse estágio que pode
contribuir para agregar valor aos produtos e serviços ou aos processos internos.
Por isso é imperativo às empresas que busquem maior maturidade no uso de TI, para assim
conseguirem fazer com que TI funcione como meio para ajudar o negócio a atingir os seus objetivos,
em outras palavras, para que desse modo alinhem a estratégia de TI às estratégias de negócios e com
a gestão adequada de questões de cibersegurança.

Maturidade e papel de TI
Vale lembrar que, na ciência da administração de empresas, os trabalhos de pesquisa buscam
retratar as realidades existentes nas empresas, e, para tanto, o pesquisador vai às empresas para
verificar como os fenômenos estudados estão acontecendo; obviamente, com a metodologia
apropriada a cada caso em si, para ao final apresentar alguma resposta à pergunta de pesquisa, que
pode até mesmo se tornar uma teoria sobre o assunto.
Os conhecimentos adquiridos por meio dos processos de pesquisa são apresentados na forma
de artigos, seja em congressos, seja em revistas das respectivas áreas de conhecimento. Essa teoria
algumas vezes também pode ser apresentada na forma de um modelo, que tem a grande vantagem
de nos ajudar a enxergar a realidade. Os modelos funcionam como lentes, dando-nos parâmetros
para entender a realidade, e assim nos ajudam também a fazer diagnósticos.
Para se pensar gestão de TI nas empresas, devemos levar em conta dois modelos seminais
muito interessantes: o primeiro deles apresentado em 1979 pelo pesquisador e professor da Harvard
Business School, Richard L. Nolan, que aborda o tema “maturidade no uso de TI”; e o segundo do
pesquisador e também professor da Harvard Business School, F. Warren McFarlan, que no seu
modelo apresentado em 1984 aborda “os diferentes papéis que TI pode desempenhar no negócio”.
Em 1979, Nolan nos apresentou o resultado de uma pesquisa bastante abrangente realizada
por ele, por meio da qual percebeu que existiam alguns comportamentos semelhantes de algumas
empresas no que diz respeito a quatro dimensões:
 carteira de aplicações – projetos que tinham em desenvolvimento na área de TI da empresa;
 organização de processamento de dados – compreensão de como era organizada a área
de TI da empresa;
 planejamento e controle de processamento de dados – planejamento e controle da área
de TI da empresa e
 conhecimento do usuário – nível de conhecimento de TI dos funcionários da empresa.

13
 Nolan (1979) olhou para essas quatro dimensões em várias empresas e percebeu que tinham
comportamentos diferentes em cada uma, o que permitiu que ele criasse níveis, que chamou de
estágios de crescimento, apresentando uma primeira versão da pesquisa em 1979 com quatro
estágios, e um pouquinho mais à frente, em 1982, ele melhorou o modelo e chegou à sua versão
final em que propõe seis estágios – iniciação, contágio, controle, integração, administração e
maturidade – apresentados na figura 1.
Percebam que em 1979 a área era ainda chamada de Processamento de Dados, e por isso essa
nomenclatura é a que aparece no modelo, portanto onde lemos “processamento de dados” podemos
entender “TI”, e dessa forma o modelo continua válido, pois é o que chamamos de modelo seminal,
a partir do qual ainda continuamos a desenvolver conhecimento sobre o tema, modelo que ainda
nos ajuda a pensar gestão de TI nas empresas.

Figura 1 – Seis estágios de crescimento de processamento de dados

Fonte: Nolan (1979)

Ao analisarmos esse modelo, percebemos que existem níveis de maturidade diferentes na

gestão de TI, onde a linha tracejada que percorre o centro do modelo de baixo para cima e da
esquerda para a direita representa exatamente o nível de gastos em TI, que é uma das informações
mais importantes, qual é o gasto total da empresa com TI. Dessa forma, o modelo nos mostra que

14
existe uma profunda correlação entre gastos e nível de maturidade em TI. Lembremos que
maturidade não tem relação somente com tempo, mas sobremaneira com aprendizado; e a empresa
somente vai aprender a usar TI se efetivamente usá-la, ou seja, significa que para se conquistar
maturidade é necessário gastar com TI.
A linha tracejada que aparece no meio do modelo representa exatamente o nível de gastos
que vai crescendo à medida que a empresa vai conquistando maturidade no uso de TI; e nos mostra
que, quando a empresa está ainda em níveis iniciais de maturidade, ela apresenta baixo gasto, e para
a empresa conseguir alcançar níveis mais avançados de maturidade precisa gastar mais em TI.
Mas perceba que só gastar não é suficiente, a empresa precisa também estar aprendendo, e
esse é um aspecto que o modelo do Nolan (1979) nos traz, apontando em detalhe quais são as
características de uma empresa que tem baixa maturidade. Se olharmos, por exemplo, empresas
com baixa maturidade no uso de TI, encontraremos as seguintes características: a carteira de
aplicações conta exclusivamente com projetos relacionados à redução de custos; a organização da
área de TI leva em conta aspectos meramente técnicos; o planejamento e o controle da área são
frouxos, dessa forma, no máximo apresenta um planejamento orçamentário; e o conhecimento do
usuário na empresa como um todo é mínimo. Enquanto empresas com alta maturidade na gestão
de TI devem apresentar as seguintes características: os projetos existentes são relacionados com um
fluxo de informação e comunicação; a organização da área de TI é muito mais estratégica fazendo
gestão de dados; o planejamento e o controle da área são de fato estratégicos, alinhados com as áreas
de negócios; e o conhecimento do usuário como um todo é muito maior.
Uma primeira aplicação prática desse modelo é nos ajudar a entender onde se situa alguma
empresa que queiramos analisar, se com maior ou menor maturidade no uso de TI. Se a empresa
tem baixo nível de maturidade, não podemos esperar que ela consiga usufruir muitos benefícios do
uso de TI, pois para conseguir usufruir os benefícios do uso de TI ela deve ter maturidade; e o
modelo nos sugere ainda o que a empresa deveria buscar para atingir os níveis mais elevados de
maturidade e desse modo conseguir melhorar a sua competitividade.
O segundo modelo que apresentamos é o proposto por McFarlan em 1984, apresentado na figura
2, a seguir, que nos permite visualizar como a TI está relacionada à estratégia e à operação do negócio
da empresa. Tal modelo analisa o impacto das aplicações de TI presentes e futuras no negócio, definindo
quatro “quadrantes” que representam a situação para a empresa, com as seguintes definições:
 suporte – a TI tem pequena influência nas estratégias atual e futura da empresa. Não há
necessidade de posicionamento de destaque da área de TI na hierarquia da empresa.
Usualmente, é o que acontece em uma manufatura tradicional;
 fábrica – as aplicações de TI existentes contribuem decisivamente para o sucesso da
empresa, mas não estão previstas novas aplicações que tenham impacto estratégico. A área
de TI deve estar posicionada em alto nível hierárquico. O exemplo clássico é o caso das
companhias aéreas, que dependem dos seus sistemas de reservas de passagens, mas novos
desenvolvimentos apenas atualizam essas aplicações;

15
  transição – a TI passa de uma situação mais discreta (quadrante “suporte”) para uma de
maior destaque na estratégia da empresa. A área de TI tende para uma posição de maior
importância na hierarquia da empresa. O exemplo usualmente citado na bibliografia é a
editoração eletrônica. Hoje, o e-commerce apresenta o mesmo perfil, pois de um papel de
suporte na operação de uma empresa comercial passa a ser agente transformador do negócio;
 estratégico – a TI tem grande influência na estratégia geral da empresa. Tanto as aplicações
atuais como as futuras são estratégicas, afetando o negócio da empresa. Nesse caso, é
importante que a TI esteja posicionada em alto nível da sua estrutura hierárquica. Nos
bancos, por exemplo, a TI apresenta esse papel estratégico.

Figura 2 – Posição de sistemas de informação

Fonte: McFarlan (1984)

Nesse modelo, McFarlan (1984) nos apresenta outro aspecto muito importante para
entendermos a gestão de TI nas empresas, qual o papel que TI desempenha no negócio, e, para
tanto, ele olha para dois momentos distintos: ao citar o impacto estratégico dos sistemas
operacionais existentes, refere-se ao presente; enquanto impacto estratégico da carteira de aplicações
em desenvolvimento, refere-se ao futuro.
Com essas lentes, McFarlan (1984) pesquisou diversas empresas e percebeu a existência de
comportamentos semelhantes entre elas, para algumas empresas o impacto estratégico da TI no
presente é baixo, e o impacto estratégico da TI no futuro também é baixo. Ele classificou a posição
de TI como papel de suporte. Já no outro extremo, existem empresas cujo impacto estratégico da
TI no presente é alto, assim como o impacto estratégico da TI no futuro é alto, posição que ele
classificou como papel estratégico.

16
 Interessante observar que a teoria proposta por McFarlan (1984) leva em conta em grande
medida a teoria proposta por Nolan (1979), permitindo-nos chegar a algumas conclusões
fundamentais para um bom entendimento da gestão de TI.
Dessa forma, podemos perceber claramente a seguinte relação: empresas que têm baixa
maturidade normalmente gastam pouco com TI, e também enxergam TI como suporte, em que se
vê TI como custo. À medida que a empresa vai conquistando maturidade na gestão de TI, vai
também gastando cada vez mais com TI, e o papel que TI desempenha no negócio também vai
mudando, deixando de ser visto como suporte e passando a ter um papel estratégico no negócio.
Como vemos, essas duas teorias estão muito relacionadas e são consideradas conceitos
seminais para se tratar gestão de TI, tanto que os dois pesquisadores continuam as suas pesquisas e
em 2005 desenvolveram outro modelo em conjunto, chamado “Grid de Impacto Estratégico de
TI”, apresentado na figura 3, a seguir, por meio do qual apresentam evoluções sobre as suas teorias
com indicações interessantes para melhor governança das atividades de TI.

Figura 3 – Grade de impacto estratégico de TI

Fonte: Nolan e McFarlan (2005)

17
 Nesse modelo, Nolan e McFarlan (2005) nos propõem um olhar por meio de duas
dimensões: por um lado, a necessidade de tecnologias confiáveis; por outro, a necessidade de novas
tecnologias, ou seja, inovação.
Com essas lentes, os autores pesquisaram diversas empresas e uma vez mais perceberam a
existência de comportamentos semelhantes entre elas: empresas que apresentam baixa necessidade
de tecnologias confiáveis e baixa necessidade de inovação foram classificadas como modo suporte;
no outro extremo, empresas que apresentam alta necessidade de tecnologias confiáveis e alta
necessidade de inovação estão no modo estratégico.
Esse é mais um modelo com grande nível de detalhamento, ajudando-nos a entender e
diagnosticar onde se encontra a empresa que quisermos analisar, embasando-nos a tomar boas decisões.

Maturidade e papel de TI nas pequenas e nas médias empresas

As pequenas e as médias empresas também adotam a TI com o mesmo objetivo de obter
benefícios desse uso, porém a sua realidade é, na maioria dos casos, bastante diferente da das grandes
empresas, especialmente por não possuírem os mesmos recursos e as mesmas competências na área
de TI, com diferenças no que diz respeito ao estágio de informatização, sobretudo ao papel que a
área de TI desempenha para cada uma.
Para se pensar gestão de TI, de forma específica nas pequenas e nas médias empresas,
propomos levar em conta o modelo apresentado em 2016 pelo pesquisador e professor da FGV,
Álvaro Luiz Massad Martins, que aponta uma classificação considerando os investimentos em TI e
o impacto no desempenho organizacional, levando em conta também a percepção dos gestores
sobre estágios de informatização e o papel que a TI representa na empresa.
Empresas que apresentam um nível de gastos e investimentos em TI mais elevado, associados
com uma forte percepção dos gestores de que a TI pode contribuir positivamente com os objetivos
da empresa, resultam em um nível de lucratividade superior; enquanto empresas cujos gestores
percebem, de maneira intensa, que a TI não pode contribuir positivamente com os objetivos da
empresa, mesmo que façam níveis considerados acima da média de gastos e investimentos em TI,
apresentam um nível de lucratividade inferior, conforme demonstra os quatro agrupamentos
apresentados na figura 4, a seguir.

18
 Figura 4 – Síntese dos clusters

Fonte: Massad-Martins (2016)

O agrupamento 1, batizado de “Digitais”, é composto, na sua grande maioria, de empresas do

setor de serviços, cujos gestores percebem a TI desempenhando hoje um papel estratégico na empresa
e, no futuro, em todos os aspectos analisados. Consistentes com essa percepção, essas empresas são as
que mais gastam em TI e, como resultado, atingem uma alta lucratividade anual líquida.
O agrupamento 2, batizado de “Prudentes”, é composto, na sua grande maioria, de
empresas dos setores do comércio, cujos gestores percebem a TI desempenhando hoje um papel
estratégico na empresa e, no futuro, em todos os aspectos analisados, porém com menor
intensidade que os “Digitais”. Em contrapartida, essas empresas são as que menos gastam em TI,
e a sua lucratividade anual líquida atinge níveis superiores aos das empresas dos agrupamentos 3
e 4, ficando abaixo da lucratividade dos “Digitais”.
O agrupamento 3, batizado de “Conservadores”, é composto de empresas de todos os setores,
com maior número de funcionários e maior receita anual, cujos gestores percebem a TI
desempenhando hoje um papel discretamente estratégico na empresa e, no futuro, em todos os
aspectos analisados, exceto no que diz respeito ao aumento de produtividade. Essas empresas
também gastam menos em TI, ficando à frente em gastos somente dos “Prudentes”, porém a sua
lucratividade anual líquida está abaixo da alcançada pelos “Prudentes”, ficando um pouco acima
somente em comparação às empresas do agrupamento 4.

19
 O agrupamento 4, batizado de “Analógicos”, tem, na sua composição, igualmente empresas
dos três setores. Os gestores desse grupo percebem a TI desempenhando hoje um papel não
estratégico na empresa e, no futuro, em todos os aspectos analisados, gastam menos em TI que os
“Digitais”, mas gastam mais em TI do que os “Prudentes” e os “Conservadores”. No que diz
respeito à lucratividade anual líquida, ela é a mais baixa de todos os quatro grupos.
A análise apresentada acima nos leva às seguintes conclusões:
 Há evidências da existência de quatro grupos distintos de empresas segundo as características
da amostra, com comportamentos distintos no que diz respeito aos gastos e aos investimentos
em TI e ao aumento da lucratividade da empresa, especialmente diante da presença de
percepções específicas dos gestores acerca do papel que a TI desempenha na empresa.
 Quanto maior a percepção do impacto positivo de TI nos processos de negócio da empresa,
tanto maior é o impacto dos gastos e dos investimentos em TI na lucratividade da empresa.
 Um elevado nível de gastos e investimentos em TI, associados com uma forte percepção
de que a TI contribui com os objetivos da empresa, resulta em maior lucratividade,
como nos “Digitais”.
 Empresas cujos gestores percebem que a TI não contribui com os objetivos da empresa,
mesmo que façam níveis considerados acima da média de gastos e investimentos em TI,
apresentam menor lucratividade, como nos “Analógicos”.
 Empresas cujos gestores têm percepção de que a TI contribui, mesmo essas empresas
mantendo um nível de gastos e investimentos em TI abaixo da média das outras empresas,
ainda assim acabam por apresentar uma lucratividade acima da média, como nos “Prudentes”.
 O comportamento dos “Conservadores” confirma as evidências apontadas acima, pois,
apesar de apresentar níveis maiores de gastos e investimentos em TI do que os “Prudentes”,
o fato de os gestores dessas empresas perceberem, de modo menos intenso, a contribuição
que a TI pode trazer aos objetivos da empresa acaba levando-os a um nível de lucratividade
menor que o dos “Prudentes”, reforçando, desse modo, o impacto da percepção dos
gestores sobre o papel que a TI desempenha na empresa.

Segurança da informação: um tema corporativo

Já faz tempo que não “vamos mais para o on-line”, pois estamos on-line a qualquer hora, de
qualquer local e dispositivo: anytime, anywhere, any device. É um desafio estar em locais onde não
tenha conectividade com qualidade razoável, como 3G, 4G, wi-fi. Se não houver ou faltar energia,
então o desafio fica maior ainda.
A nossa vida está on-line, com uso exponencial do ciberespaço gerando dependência crescente
da TI e consequentemente dos Sistemas de Informação (SIs) interconectados com sistemas globais
e complexos em constante evolução e mutação.

20
 Como bem colocado por Albuquerque, Sousa Júnior e Costa (2015), “tornou a base de
sustentação de múltiplos setores da economia, constituindo-se como fonte de geração de recursos e
capitais, bem como a projeção de poder de vários Estados, através do controle de recursos
tecnológicos que compõem tal espaço”.
Além disso, novas tecnologias, soluções e mercados surgem a todo o momento, fomentando
e gerando volumes de dados e informações cada vez maiores, com acesso, e uso, apenas daqueles
que lhe tem o direito e propriedade. Os demais interessados, simplesmente não devem acessar,
compartilhar nem utilizar essas informações sem o conhecimento e a autorização dos proprietários.
Nesse contexto, estamos – indivíduos, empresas, governos, nações – mais expostos às
vulnerabilidades e aos riscos no espaço cibernético.
De acordo com os mesmos autores supracitados, “se tornou comum explorar vulnerabilidades
da informação neste ambiente”.

Empresas no contexto da cibersegurança

A seguir, vemos um ataque de negação de serviço distribuído no site da VideoLAN –
distribuidor de software de código aberto – ocorrido em abril de 2013.

Figura 5 – Ataque de negação de serviço distribuído

Fonte: FAUVET, Ludovic. DDOS attack on the VideoLAN downloads infrastructure. YouTube, 23 abr. 2013. Disponível em:
<https://www.youtube.com/watch?v=hNjdBSoIa8k>. Acesso em: 20 abr. 2021.

21
 Note os endereços IP dos atacantes à esquerda solicitando o arquivo de instalação do
Windows para o cliente VLC, um player de vídeo.
O volume desse ataque sobrecarrega os servidores do VLC, ao mesmo tempo em que alguns
atacantes também solicitam “download.css”. Isso poderia facilmente ser um tipo de ataque diferente
projetado para roubar dados da VLC, como informações de clientes e códigos fonte.
Esse contexto sugere algumas reflexões:
 A inteligência é importante?
 Como e por que aplicá-la?
 É uma questão técnica e operacional?

Um dos maiores ataques deste ano foi dirigido ao Blackbaud, um provedor de serviços em nuvem.
Os invasores instalaram o ransomware e roubaram informações de pagamento de milhões de usuários
em todo o mundo. A empresa teve de pagar o resgate não revelado e uma ação judicial se seguiu.
Para fortalecer as defesas da computação em nuvem no futuro, as partes interessadas devem
prestar atenção à configuração adequada de armazenamento em nuvem, à segurança das interfaces
de usuário do aplicativo (APIs) e às ações do usuário final em dispositivos em nuvem.

Desafios de segurança corporativa

As empresas e os seus funcionários foram empurrados para um ambiente de trabalho remoto
repentinamente, com os recursos de rede remota de muitas organizações ainda não tão protegidos
quanto as suas infraestruturas de TI locais. Essa rápida mudança deixou muitas lacunas não seguras que
os agentes mal-intencionados estão constantemente procurando explorar para obter ganhos financeiros.
As mudanças tecnológicas que moldaram o local de trabalho em 2020 vieram para ficar, assim
como as crescentes ameaças cibernéticas que as empresas enfrentam. Por conta disso, a maioria dos
executivos afirma que gastará os seus orçamentos de TI principalmente na resiliência cibernética.
As equipes de segurança precisam desenvolver políticas fortes para responder aos desafios da
segurança cibernética, mas esse é apenas o primeiro passo. Eles precisam comunicar efetivamente
essas políticas a toda a força de trabalho e treinar os funcionários para responder a elas.
Apenas a título de exemplo, o CSO on-line compilou uma lista das maiores violações do
século XXI usando critérios simples: o número de pessoas cujos dados foram comprometidos,
distinguindo entre incidentes em que os dados foram roubados com intenção maliciosa e aqueles
em que uma organização inadvertidamente deixou os dados desprotegidos e expostos. O Twitter,
por exemplo, deixou as senhas dos seus 330 milhões de usuários desmascaradas em um log, mas não
havia evidências de uso indevido, portanto o Twitter não entrou nessa lista.

22
 Nessa relação estão listadas empresas, em ordem alfabética, com as 15 maiores violações de
dados da história recente: Adobe, Adult Friend Finder, Canva, Dubsmash, eBay, Equifax,
Heartland Payment Systems, LinkedIn, Marriott International, My Fitness Pal, MySpace,
NetEase, Sina Weibo, Yahoo e Zynga.
De acordo com a Verizon, os aplicativos da web estiveram envolvidos em 43% das violações
e até 80% das organizações experimentaram uma violação de segurança cibernética originada de
uma vulnerabilidade no seu ecossistema de fornecedores terceirizados. Em 2020, exposições de
terceiros afetaram Spotify, General Electric, Instagram e outros nomes importantes.

Anatomia clássica de um ataque e opções de proteção

Ataques de negação de serviço distribuídos ou DDoS (definição mais adiante) ultrapassaram
a casa do 2 Tbps já há alguns anos, atingindo 2,3 Tbps em fevereiro de 2020, segundo informações
da Amazon. 1 Alguns ataques memoráveis:
 GitHub 2 – O ataque DDoS no GitHub inundou a empresa com 1,35 Tbps de dados
(129,6 milhões de PPS), via memcaching. Invasores falsificaram o endereço IP do GitHub
para enviar pequenas consultas a vários servidores memcached para acionar uma resposta
importante na forma de uma resposta de dados 50x;
 WannaCry 3 – ransomware baseado em criptografia;
 Mirai botnet 4 – IP cameras, home routers and video players), 620 Gbps, e
 Mirai botnet 5 – Dyn (serviços de DNS), 1,2 Tbps.

1
Amazon thwarts largest ever DDoS cyber-attack. BBC, 18 jun. 2020. Disponível em: <https://www.bbc.com/news/
technology-53093611>. Acesso em: 27 ago. 2021.
2
NEWMAN, Lily Hay. GitHub Survived the Biggest DDoS Attack Ever Recorded. Wired, 3 jan. 2018. Disponível em:
<https://www.wired.com/story/github-ddos-memcached>. Acesso em: 27 ago. 2021.
3
Massive ransomware infection hits computers in 99 countries. BBC, 13 maio 2017. Disponível em: <https://www.bbc.com/
news/technology-39901382>. Acesso em: 27 ago. 2021.
4
OSBORNE, Charlie. Mirai DDoS attack against KrebsOnSecurity cost device owners $ 300,000. ZDNet, 9 maio 2018.
Disponível em: <https://www.zdnet.com/article/mirai-botnet-attack-against-krebsonsecurity-cost-device-owners-300000>.
Acesso em: 27 ago. 2021.
5
WOLF, Nicky. DDoS attack that disrupted internet was largest of its kind in history, experts say. The Guardian, 26 out. 2016.
Disponível em: <https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet>. Acesso em: 27 ago. 2021.

23
 Basta uma rápida pesquisa no Google para verificar os ataques diários, conforme busca
realizada em 20 de abril de 2021, às 19h:

Figura 6 – Ataques cibernéticos

Fonte: Cyber attacks. Google, 20 de abril de 2021.

Algumas ferramentas de fabricantes mostram ataques em tempo real ao redor do mundo:

 Live Cyber Threat Map; 6
 Digital Attack Map 7 (Google e Arbor);
 FireEye Cyber Threat Map; 8
 Kaspersky Cyber Threat Real-Time Map; 9
 Fortinet Threat Map; 10
 Akamai Globe. 11

6
Live Cyber Threat Map. Disponível em: <https://threatmap.checkpoint.com>. Acesso em: 27 ago. 2021.
7
Digital Attack Map. Disponível em: <https://www.digitalattackmap.com/#anim=1&color=0&country=AU&list=0&time=
18699&view=map>. Acesso em: 27 ago. 2021.
8
FireEye Cyber Threat Map. Disponível em: <https://www.fireeye.com/cyber-map/threat-map.html>. Acesso em: 27 ago. 2021.
9
Kaspersky Cyber Threat Real-Time Map. Disponível em: <https://cybermap.kaspersky.com>. Acesso em: 27 ago. 2021.
10
Fortinet Threat Map. Disponível em: <https://threatmap.fortiguard.com>. Acesso em: 27 ago. 2021.
11
Akamai Globe. Disponível em: <https://globe.akamai.com>. Acesso em: 27 ago. 2021.

24
 Para conseguir entender melhor a anatomia de um ataque e como evitar o pior, devem-se
fazer algumas perguntas básicas: o que proteger primeiro? Como proteger?
O sistema global de TI pode ser explorado por uma variedade de usuários ilegítimos e ainda
pode ser usado como uma ferramenta de agressão em nível de Estado, portanto precisamos pensar
em vários níveis de ofensores: hackers, criminosos e terroristas.
Dessa forma, podemos basicamente sistematizar em quatro níveis as ameaças:
 crime de baixo-nível/individual (hacking);
 criminalidade grave e organizada;
 extremismo político e ideológico e
 ataques cibernéticos patrocinados pelo Estado.

Registros indicam que o primeiro ataque DDoS conhecido ocorreu em 1996, quando um
antigo ISP (Panix) ficou off-line por vários dias por uma inundação de SYN, e desde então não
pararam de crescer:

Gráfico 1 – Total de ataques DDoS

Fonte: GURINAVICIUTE, Juta. Five biggest cybersecurity threats: how hackers utilize remote work and human error to
steal corporate data. 3 fev. 2021. Disponível em: <https://www.securitymagazine.com/articles/94506-5-biggest-
cybersecurity-threats>.

Desde o início da pandemia, o FBI viu um aumento de quatro vezes nas reclamações de segurança
cibernética, enquanto as perdas globais com o crime cibernético ultrapassaram US$ 1 trilhão em 2020.
O “Relatório de Riscos Globais 2020” do Fórum Econômico Mundial afirma que as chances
de capturar e processar um cibercriminoso são quase nulas (0,05%). Dadas as circunstâncias, a
consciência comercial e a resiliência são essenciais para proteger dados confidenciais e evitar violações.

25
Tipos de ataques conhecidos
As ameaças cibernéticas tornam-se mais sofisticadas e intensas em meio aos níveis crescentes
de trabalho remoto e dependência de dispositivos digitais. Aqui estão as oito mais prejudiciais para
as empresas em 2020: engenharia social; ransomware; ataques DDoS; software de terceiros; e
vulnerabilidades de computação em nuvem.

Engenharia social
Em 2020, quase 1/3 das violações incorporou técnicas de engenharia social, das quais 90%
eram phishing. Os ataques de engenharia social incluem, mas não estão limitados a, e-mails de
phishing, scareware, quid pro quo e outras técnicas, e todas manipulam a psicologia humana para
atingir objetivos específicos.
A Cisco indica que ataques de spear phishing bem-sucedidos são responsáveis por 95% das
violações em redes corporativas. Na verdade, as tentativas de phishing aumentaram 667% em março, e
43% dos funcionários admitem ter cometido erros que comprometeram a segurança cibernética. Em
julho de 2021, o Twitter foi vítima de um ataque de phishing bem-sucedido, que rendeu aos golpistas
mais de US$ 100 mil. Além disso, os cibercriminosos roubaram US$ 2,3 milhões de uma escola do
Texas e tentaram obter dados pessoais forjando um e-mail da Organização Mundial da Saúde (OMS).
Para evitar golpes de engenharia social, as empresas podem implementar o Zero Standing
Privileges. Isso significa que um usuário recebe privilégios de acesso para uma tarefa específica que
dura apenas o tempo necessário para concluí-la. Portanto, mesmo que os hackers tenham acesso às
credenciais, eles não poderão acessar sistemas internos e dados confidenciais.

Ransomware
É um programa de criptografia de dados que exige pagamento para liberar os dados
infectados. A soma total dos pedidos de resgate terá atingido US$ 1,4 bilhão em 2020, com uma
soma média para retificar o dano atingindo até US$ 1,45 milhão. Ransomware é o terceiro tipo de
malware mais popular usado em violações de dados e é empregado em 22% dos casos.
Em 2021, os hackers comprometeram os dados de pesquisa da Covid-19 e exigiram US$ 1,14
milhão da Universidade da Califórnia, atacaram a gigante da fotografia Canon e foram até responsáveis
por incidentes letais. Na Alemanha, os cibercriminosos buscaram um hospital em busca de resgate, com
os sistemas de atendimento ao paciente sendo desativados e resultando na morte de um paciente.

26
Ataques DDoS
Houve 4,83 milhões de tentativas de ataques DDoS apenas no primeiro semestre de 2020, e
cada hora de interrupção do serviço pode ter custado às empresas até US$ 100 mil, em média.
Para formar um botnet necessário para um ataque DDoS coordenado, os hackers empregam
dispositivos previamente comprometidos por malware ou hacking. Dessa forma, toda máquina pode
estar realizando atividades criminosas sem que o seu proprietário saiba. O tráfego pode então ser
direcionado contra, digamos, AWS, que relatou ter impedido um ataque de 2,3 Tbps em fevereiro.
No entanto, o aumento do tráfego não é a única coisa que preocupa os especialistas em
segurança cibernética. Os criminosos agora empregam inteligência artificial (IA) para realizar
ataques DDoS. Há alguns anos, eles conseguiram roubar dados de 3,75 milhões de usuários do
aplicativo TaskRabbit, e 141 milhões de usuários foram afetados pelo tempo de inatividade do
aplicativo. Entretanto o veneno é a cura, pois a IA também pode ser empregada para procurar os
pontos fracos, especialmente se houver uma grande quantidade de dados envolvidos.
Em 2021, as organizações adotaram o trabalho remoto a taxas sem precedentes. O aumento do
tráfego on-line e a dependência de serviços digitais os tornaram mais vulneráveis aos cibercriminosos.
Os ataques DDoS não custam muito, portanto há um fornecimento crescente de serviços DDoS de
aluguel, aproveitando a escala e a largura de banda das nuvens públicas.

Software de terceiros
Os 30 maiores varejistas de comércio eletrônico nos EUA estão conectados a 1.131 recursos
de terceiros cada, e 23% desses ativos têm pelo menos uma vulnerabilidade crítica. Se um dos
aplicativos desse ecossistema for comprometido, ele abrirá aos hackers um portal para outros
domínios. Uma violação causada por terceiros custa US$ 4,29 milhões em média.

Vulnerabilidades de computação em nuvem

Estima-se que o mercado global de computação em nuvem cresça 17% em 2021, totalizando
US$ 227,8 bilhões. Enquanto a pandemia dura, a economia também testemunhou um aumento
de 50% no uso da nuvem em todos os setores.
Essa tendência é uma isca perfeita para os hackers, que realizaram 7,5 milhões de ataques
externos em contas na nuvem no segundo trimestre de 2020. Desde o início do ano, o número de
tentativas de violação cresceu 250% em comparação com 2019. Os criminosos procuram servidores
em nuvem sem senha, explora sistemas não corrigidos e executa ataques de força bruta para acessar
as contas de usuário. Alguns tentam plantar ransomware ou roubar dados confidenciais, enquanto
outros usam sistemas de nuvem para criptojacking ou ataques DDoS coordenados.

27
Virus e outros ataques que visam prejudicar ou inibir o funcionamento
de processos ou sistemas
Um vírus de computador é um programa malicioso desenvolvido por programadores que, tal
como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros
computadores, utilizando-se de diversos meios.
O vírus de computador se instala com o objetivo de prejudicar o desempenho de uma
máquina, destruir arquivos ou mesmo se espalhar para outros computadores. Com isso, um
computador que tem um vírus instalado pode ficar vulnerável a pessoas mal-intencionadas, que
podem vasculhar os arquivos do sistema, bem como roubar dados pessoais, como senhas e números
de cartões de crédito.
A maioria das contaminações ocorre pela ação do usuário executando o arquivo infectado
recebido como um anexo de um e-mail, por exemplo. Porém, a contaminação também pode ocorrer
por meio de arquivos infectados em pen-drives.
Outro modo de contaminação é através do sistema operacional desatualizado, que sem
correções de segurança, que poderiam corrigir vulnerabilidades conhecidas dos sistemas
operacionais ou aplicativos, podem causar o recebimento e execução do vírus inadvertidamente.
Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas horas,
entrando em execução em horas especificas. Quem desenvolve tais vírus são pessoas com grande
conhecimento em programação e sistema operacional de computadores. Na internet há um grande
comércio de vírus, principalmente aqueles para roubo de senhas de banco e de cartões.

Furto de identidade (identity thief)

Os ladrões de identidade geralmente obtêm informação pessoal, como senhas, números de
identidade, números de cartão de crédito ou CPF, e fazem mau uso destes dados para agir de forma
fraudulenta em nome da vítima. Os detalhes sensíveis podem ser usados com vários propósitos
ilegais incluindo pedidos de empréstimo, compras on-line ou acessar os dados médicos e financeiros
da vítima.
O furto de identidade está muito próximo do phishing e de outras técnicas de engenharia
social que são frequentemente usadas para bisbilhotar informação sensível da vítima. Perfis públicos
nas redes sociais ou em outros serviços on-line populares também podem ser usados como fonte de
dados, ajudando criminosos a se passarem por seus alvos.

28
 Quando os ladrões de identidade coletam tais informações, eles podem usá-las para fazer
compras em nome da vítima, controlar as suas contas on-line ou realizar ações legais em seu nome.
Em curto prazo, os indivíduos afetados podem sofrer perda financeira, devido a saques não
autorizados e compras feitas em seu nome. A médio prazo, as vítimas podem ser responsabilizadas
pelas ações dos executores e serem investigadas pelos órgãos legais, bem como encarar
consequências, como o pagamento de encargos legais, mudanças no seu status de crédito ou danos
no seu nome limpo.

Golpe do boleto falso

É uma prática realizada por criminosos que fazem cópias de documentos de cobrança como
se fossem verdadeiros para que o pagamento da vítima caia na conta bancária do bandido. O golpe
do boleto falso está cada vez mais sofisticado, mas há alguns indícios que ajudam a identificá-lo
antes que você se torne uma vítima deste tipo de cilada. Entre eles, estão:

 Código de barras duvidoso: é possível identificar algumas características peculiares nos

boletos falsos que podem ser verificadas por quem está em dúvida se o documento é ou
não verdadeiro. Comece conferindo se os últimos dígitos do código de barras
correspondem ao valor a ser pago. Caso sejam diferentes, o boleto não é verdadeiro. E se
a cobrança for uma conta recorrente, como a de energia elétrica, água, mensalidade escolar
e afins, duvide de qualquer alteração. Verifique, ainda, se os primeiros dígitos do código
de barras coincidem com o código do banco emissor.
 Beneficiário desconhecido: outro cuidado importante para averiguar a veracidade do
boleto é sempre verificar o nome da pessoa ou empresa que receberá o pagamento.
Também é recomendado verificar se o CNPJ da emissora é real no aplicativo da Receita
Federal para smartphones e nas listas constantemente divulgadas pelo Procon
(Departamento Estadual de Defesa do Consumidor).
 Impossibilidade de leitura do código de barras: boletos adulterados geralmente possuem
leitura imcompatível, obrigando o destinatário a digitar manualmente a sua numeração.
Por isso é recomendado tentar lê-lo com a câmera do celular ao invés de digitá-lo e sempre
redobrar a atenção quando encontrar essa dificuldade.
 Boleto recebido pelos Correios: como o golpe do boleto falso tem sido cada vez mais
frequente, o mais indicado é dar prioridade para pagar o documento emitido direto no site
da instituição, já que vias físicas têm mais chances de ter sido adulteradas. Existem alguns
casos em que os golpistas sequestram as correspondências e adulteram os dados bancários.
Neste tipo de situação, a melhor saída para evitar cair no golpe do boleto falso é solicitar
à instituição correta para que o valor seja debitado automaticamente da sua conta bancária.

29
 As ferramentas de exploração de vulnerabilidades se encontram no centro de um processo de
produção e comercialização que, com os seus diversos atores, constituem um mercado à parte. É
importante para o profissional de segurança da informação e combate ao cibercrime ter
conhecimento desse mercado específico, no sentido de organizar proteções de sistemas de
informação, e também realizar investigações de evidências do cibercrime” (ALBUQUERQUE;
SOUSA JÚNIOR; COSTA (2015).
Entretanto com as ameaças e os ataques cada vez mais volumosos, complexos e frequentes,
como se proteger?

30
MÓDULO II – FATORES INERENTES ÀS
CIBERAMEAÇAS

Neste módulo, contemplaremos os diversos aspectos das ciberameaças: o fator tecnológico, o

fator físico e o fator humano. Veremos alguns exemplos de tipos de ataques conhecidos, para assim
pensarmos nos vetores comuns de ataques e exploração de vulnerabilidades.

Fator tecnológico
A velocidade de inovação tecnológica é cada dia maior, seja quando pensamos em
hardware, software ou até mesmo novos modelos de negócios, como a chamada computação em
nuvem; o que inclusive leva a competição entre as empresas a níveis também mais elevados.
Nesse contexto, é importante pensar qual estratégia a empresa deve adotar para continuar
competitiva e ao mesmo tempo segura.
Como já abordamos anteriormente, hoje as empresas gastam grandes somas de dinheiro em
TI não mais buscando produtividade somente, mas, sobretudo, a melhora da sua competitividade.
Para a empresa continuar competitiva e segura, qual deveria ser a melhor postura? Sair na
frente dos concorrentes, tendo uma postura pioneira; ou acompanhá-los bem de perto, vendo os
melhores caminhos e evitando os piores; ou ainda ficar mais para traz, deixando as outras empresas
sempre à frente para aprender com os erros delas?
Na verdade, para a empresa tomar boas decisões a respeito, precisa ainda analisar alguns
outros aspectos, por exemplo, a estratégia de negócio da empresa, o mercado em que está inserida,
a quantidade de dinheiro que tem para investir em inovação, e até mesmo a quantidade de dinheiro
para perder com esse assunto!
Para entender melhor o tema, vamos analisar um modelo que propõe quatro possíveis
posturas relativas a inovação: líder, seguidor rápido, seguidor lento e não seguidor.
 Mas antes de analisar cada uma das posturas e dos riscos a elas associados, precisamos fazer
algumas considerações. A primeira delas é deixar claro que o parâmetro utilizado para definir a
postura é o gasto total em TI, representado pelo indicador G, que significa o gasto total da
empresa com TI dividido pela sua receita, sendo que o líder é aquele que mais gasta, e o não
seguidor é o que menos gasta.
Uma segunda consideração importante antes de nos aprofundarmos no entendimento do
modelo é que liderança tecnológica é um conceito relativo: só podemos comparar empresas do mesmo
setor e do mesmo âmbito de atuação. Comparar empresas de setores diferentes seria um grande
equívoco, pois toda comparação é realizada para se chegar a algum diagnóstico e à consequente
tomada de decisões. Se for feita uma comparação equivocada, obviamente, o diagnóstico e a decisão
também serão equivocados.
Uma última consideração ainda é também deixar claro que o mais importante não é
exatamente a postura adotada pela empresa, mas, sim, os riscos associados a cada postura, por
isso a nossa análise do modelo a seguir deve ser focada nos riscos e nas decisões que a empresa
deveria tomar a partir desse entendimento ou, ainda, na mitigação dos riscos de decisões que a
empresa tenha de tomar.

Inovação e competitividade: posturas

O modelo que vamos abordar é composto das seguintes posturas: líder, seguidor rápido,
seguidor lento e não seguidor, como mostrado na figura 7, a seguir. Vamos agora abordar cada
uma dessas posturas.

Figura 7 – Posturas perante inovação

Fonte: elaborado pelo autor

32
Líder em inovação
A primeira das posturas é a do líder em inovação, cuja proposta é desbravar caminhos, sair na
frente, não importando se com tecnologia própria ou de terceiros. O líder quer sempre estar na frente,
então ele está muito preocupado, gastando bastante dinheiro com pesquisa e desenvolvimento,
porque ele quer sair na frente. Como já mencionado, não importa se ele mesmo está bancando,
patrocinando a pesquisa ou se outra empresa. Um caso muito recorrente é o das startups. Em Israel,
por exemplo, muitas nascem e proliferam, e uma empresa com postura de líder muito acentuada,
como a Google, está sempre atenta a essas startups com tecnologias muito inovadoras, e com modelos
de negócios que façam sentido para a empresa, para que sejam adquiridas e integradas a ela.
A postura de líder em inovação é a que apresenta o risco mais elevado, tanto risco positivo
como risco negativo, desse modo, risco de dar certo e risco de dar errado.
O risco negativo dessa postura é representado pelo fato de que muito do dinheiro investido
em pesquisa e desenvolvimento pode não resultar em inovações para o negócio, exemplos não
faltam de empresas que investem bastante dinheiro em inovação e não conseguem chegar a
nenhum resultado positivo. Especialistas no assunto mostram que apenas de 10% a 20% dos
projetos são implementados com sucesso, então existe o risco de perder muito dinheiro quando
se está investindo em algo muito novo, e também perder tempo caminhando em uma direção que
não levará a lugar algum.
Já o risco positivo da postura de líder em inovação é exatamente a situação oposta: se a inovação
der certo, a empresa pode promover o que se costumou chamar de “inovação disruptiva”, que nada
mais é do que uma inovação que rompe com os padrões anteriores. Na hora que o líder rompe um
padrão, ele cria uma vantagem competitiva e dificilmente quem está vindo atrás o alcançará.
Seguidor rápido
A segunda postura é a do seguidor rápido, cuja proposta é estar muito próximo do líder, mas
deixá-lo na frente; estar muito perto do líder, até mesmo ajudando a definir o ritmo de inovações
no seu setor de atuação. A intenção do seguidor rápido é aprender com os erros do líder; não raro,
ele escolhe um caminho diferente daquele escolhido pelo líder.
O risco do seguidor rápido é moderado em relação ao risco do líder. O risco negativo mais
importante é que muitas vezes, quando o líder consegue promover a ruptura, o seguidor rápido fica
tão para trás que não consegue alcançar mais o líder, ficando, assim, menos competitivo. Em casos
de rupturas muito acentuadas, ele pode até ficar fora do mercado.
O risco positivo é que, ao não cometer os mesmos erros do líder, o seguidor rápido deixa de
perder o tanto de dinheiro que o líder vai perder quando errar; além disso, pode ganhar muito em
eficiência, ao evitar soluções inviáveis.
Vale ressaltar que nem sempre é fácil saber exatamente em que posição a empresa está, pois,
como já mencionamos, o parâmetro que define esse modelo é o G: gasto total em TI dividido pela
receita. No mundo real, dificilmente saberemos com precisão o que os nossos concorrentes estão

33
fazendo com respeito a inovação, menos ainda quanto estão de fato gastando no assunto. Então, ao
assumir uma postura de seguidor rápido, podemos imaginar que o líder está a uma distância
próxima de nós no assunto, mas podemos estar equivocados, e ele estar muito à frente!

Seguidor lento
A terceira postura é a do seguidor lento, cuja proposta é só adotar o que já está consolidado,
tecnologias já padronizadas. Ele vai investir em tecnologia antes que seja tarde demais, mas somente
depois que os protagonistas já o fizeram; não será um dos últimos, mas nunca estará entre os
primeiros a inovar no setor.
Podemos dizer que o risco do seguidor lento é até certo ponto imponderável, sendo que o
risco positivo é que dificilmente o seguidor lento vai adotar alguma tecnologia que não pegará, ou
seja, ele terá uma baixa probabilidade de insucesso tecnológico, no sentido de apostar em algo que
não vai dar certo, pois quando ele for adotar a tecnologia já terá grande convicção de como funciona,
uma vez que já está bem padronizada.
Porém o risco negativo muito forte e muito intenso é representado pela possibilidade de
comprar tecnologia velha, já em declínio, obsoleta. Lembremos que o parâmetro para definir esse
modelo é o nível de gastos em TI, e uma vez que o seguidor lento gasta pouco no assunto, seja em
hardware, seja em software, bem como em pessoas, logo é de se esperar que a sua capacidade interna
de gestão do assunto seja também limitada. Em outras palavras, é de se esperar que o conhecimento
da sua equipe sobre o assunto seja baixo. Além disso, na hora de buscar “novas” tecnologias, essa
equipe terá dificuldades para discernir e escolher, ficando muitas vezes à mercê de quem está
vendendo, que obviamente tem de vender tanto as soluções mais novas, como também as que já
estão a caminho da obsolescência, que fatalmente serão vendidas aos seguidores lentos.
Esse é um grande risco, porque comprar tecnologia em declínio pode ser um grande
problema: dependendo do uso que a empresa terá de fazer, quando precisar de suporte para essa
tecnologia pode ser difícil encontrar ou pode também, devido à escassez, ser bastante oneroso.
Mesmo antes de apresentar problemas que demandem suporte, uma tecnologia obsoleta pode deixar
de ser compatível com um mundo em constante e rápida evolução tecnológica.

Não seguidor
A quarta postura é a do não seguidor, cuja proposta é somente adotar inovações quando for
obrigado a fazê-lo, quando for inadiável. Ele está entre os últimos do setor em que atua na adoção
de novas tecnologias, portanto é o que apresenta o menor nível de gastos em TI.
O risco do não seguidor é elevado e, apesar da baixa probabilidade de insucesso tecnológico,
o risco de sobrevivência do negócio, em médio ou em longo prazo, é inevitável. Se estamos
acreditando, e na verdade enxergando a realidade – a tecnologia está presente em tudo, as empresas
estão elevando o nível de informatização e, como consequência, o mundo está cada vez mais

34
competitivo –, uma empresa que escolha adotar a postura de não seguidor estará correndo um risco
de continuidade do negócio muito grande.
É importante ressaltar que não existe uma “escolha certa”, à medida que não existem
“fórmulas mágicas”, portanto estamos tratando de decisões difíceis.
O que devemos sempre considerar são os riscos inerentes a cada postura, e a partir do
entendimento do mercado em que a empresa esteja situada, da sua estratégia de negócio, bem como
de quanto dinheiro esteja disposta a arriscar, podemos tomar alguma decisão.
As empresas que adotam posturas protagonistas, seja como líder, seja como seguidor rápido,
estarão mais sujeitas ao risco chamado de aprisionamento, pois quando se escolhe alguma tecnologia
é muito difícil mudar de opção. Muitas vezes, quando a empresa escolhe e inicia o processo de
adoção de determinada tecnologia, acaba ficando presa a ela, seja pelos custos em que já incorreu e
não conseguirá recuperar, seja ainda pelos processos que já alterou. Por outro lado, as empresas que
optarem por posturas menos protagonistas, seja como seguidor lento, seja como não seguidor,
estarão mais sujeitas ao risco de obsolescência do seu investimento.
Existe também um preço a pagar para ser protagonista: liderança em inovação exige
disponibilidade de capital de risco, exige que a empresa tenha predisposição à perda de parcelas
significativas dos investimentos. Além disso, também é muito importante que a empresa que
pretende adotar a postura de líder cultive a chamada “cultura de inovação”, permitindo e até mesmo
estimulando tentativas e erros.
Mas também existe um preço a pagar quando a empresa precisa reposicionar-se, o que poderá
ocorrer com as posturas de menor protagonismo. Uma decisão de reposicionamento da estratégia
tecnológica exige também alguma disponibilidade de capital de risco, visto que a empresa não vai
acertar em exatamente todas as decisões. Fundamentalmente, exige predisposição para sair da
retaguarda, isto é, em uma empresa que não está habituada ao uso de tecnologia, é muito natural
que os seus funcionários também não tenham facilidade com o assunto, e será um grande desafio
conseguir que todos estejam engajados e consigam adaptar-se às mudanças que certamente virão da
adoção de novas tecnologias.
De maneira sintética, podemos, por meio da figura 8 a seguir, visualizar os riscos inerentes
a cada postura.

35
 Figura 8 – Riscos da inovação

Fonte: elaborado pelo autor

Quanto mais à frente a empresa estiver, seja como líder, seja como seguidor rápido, mais
correrá os seguintes riscos:
 aprisionamento – significa ficar presa à tecnologia escolhida;
 obsolescência precoce – situação de escolha de uma tecnologia que, por qualquer razão,
será precocemente substituída, pois, quando a tecnologia “não pega”, o padrão que se
estabelece no mercado é outro;
 inviabilidade da solução proposta – toda vez que estamos tratando de tecnologia muito
nova, corremos o risco de comprar mais do que precisamos, ou menos, uma vez que não
conhecemos completamente a situação e os cenários, e
 explosão de custos – advém exatamente do risco anterior, pois, quando estamos tratando de
tecnologias muito inovadoras, é de se esperar que se exceda o orçamento inicialmente pensado.

À medida que a empresa caminhe no sentido de posturas menos protagonistas, como a do

seguidor lento, estará mais sujeita aos seguintes riscos:
 distanciamento muito grande de quem está à frente – pode ser que as inovações adotadas
pelas empresas com posturas mais protagonistas criem um abismo intransponível, levando
a empresa a perder competitividade e até mesmo sair do mercado, e
 ultrapassagem por uma mais lenta – é de se esperar que a empresa não esteja tão atenta às
inovações e aos movimentos nesse campo, e pode ser ultrapassada por outra empresa sem
que perceba de imediato.

36
 Já as empresas que optarem pela postura de não seguidor estarão sujeitas principalmente
aos seguintes riscos:
 obsolescência – situação em que a tecnologia adotada é substituída, o que pode deixar a
empresa em situação bastante desconfortável, seja pela dificuldade de obter suporte para a
tecnologia, seja pela dificuldade de compatibilidade com outras tecnologias, e
 inviabilidade de superar o gap nas dimensões Gestão e Pessoas – é natural esperar que, em uma
empresa que não tenha a prática de adotar tecnologia nos seus processos, também os seus
funcionários não sejam habituados ao uso de tecnologia, e não tendo muita familiaridade com
tecnologia podem apresentar dificuldades quando a empresa for obrigada a adotar inovações,
o que se não for adequadamente tratado pode levar até níveis elevados de sabotagem.

Como podemos ver, escolher o que fazer com respeito à inovação tecnológica não é uma
decisão fácil. O importante para uma boa gestão do assunto é entender os riscos associados a cada
postura, e o que podemos indicar como apropriado é a adoção de qualquer uma das três posturas
iniciais – líder, seguidor rápido ou seguidor lento –, desde que a empresa saiba muito bem o que
está fazendo, uma vez que a consistência e a coerência ajudam muito nessas decisões. Em outras
palavras, estamos tratando da existência de governança adequada, tema que abordaremos mais à
frente. Portanto a postura de não seguidor é a única não recomendada, pelo fato de representar um
risco muito grande para o negócio.
O que vemos com mais frequência e também mais eficácia no mercado são as posturas
híbridas, pois a abordagem não precisa e talvez nem deva ser homogênea para a organização toda.
A essência da postura híbrida é ter pioneirismo naquilo que diferencia a empresa, e outras
abordagens nos demais casos. A empresa então adota várias posturas diferentes ao mesmo tempo,
nas áreas e nos processos principais do negócio: em áreas e processos que diferenciam o negócio do
dos outros, a empresa deveria ter postura protagonista; e, nas áreas e nos processos auxiliares do
negócio, a empresa poderia ter posturas menos protagonistas.
Mesmo a postura híbrida apresenta alguns desafios, seja para coordenar esforços entre as áreas
e as tecnologias, uma vez que terá tecnologias sofisticadas e ao mesmo tempo tecnologias mais
simples convivendo dentro da empresa; seja para dar suporte adequado para diferentes níveis
tecnológicos, pois essa dispersão tecnológica também leva à necessidade de ter uma equipe de TI
suficientemente capaz ou bem distribuída para dar suporte a tecnologias de ponta e também a
tecnologias tradicionais, padronizadas e algumas até quase defasadas. Por último, mas não menos
importante, diz respeito à dimensão pessoas, é preciso fazer gestão adequada das pressões políticas
das áreas que forem preteridas, ou seja, gerenciar o possível descontentamento das pessoas em áreas
onde não houver grandes investimentos e adoção de tecnologias inovadoras.
O que devemos sempre considerar são os riscos inerentes a cada postura, e a partir do
entendimento do mercado em que a empresa esteja situada, da sua estratégia de negócio, bem como
de quanto dinheiro esteja disposta a arriscar, podemos tomar alguma decisão.

37
Fator físico: infraestrutura de TI
Aspectos relacionados à infraestrutura física da TI podem gerar impactos severos nas questões
de segurança da informação, a depender do nível de maturidade que a organização tenha no assunto.
Uma interessante opção para o melhor endereçamento do tema pode ser o outsourcing, na sua
versão atual mais conhecido como cloud computing.
As empresas já adotam a estratégia de terceirizar funções e serviços de TI há muito tempo,
porque já entenderam que uma terceirização bem realizada pode trazer diversos benefícios para o
negócio, até mesmo contribuir para um melhor alinhamento entre a estratégia de TI e as
estratégias de negócios.
A escolha pela terceirização tem aumentado muito, especialmente pelo fato de que a
indústria de TI como um todo vem desenvolvendo novos modelos de negócios onde a TI é
ofertada como serviço, por exemplo, a chamada cloud computing, ou computação em nuvem, que
é um tipo específico de terceirização.
Entretanto precisamos considerar que a prática do outsourcing, além de poder trazer
benefícios, apresenta alguns riscos importantes também, senão corremos o risco de acreditar que o
outsourcing vai resolver todas as questões referentes à TI na empresa, crença que encontramos em
empresas com sintomas de má governança de TI.
Para um melhor entendimento do assunto, vamos abordar as principais vantagens, os principais
riscos, bem como algumas estratégias básicas para nos ajudar a decidir quando e o que terceirizar.

Principais vantagens do outsourcing de TI

Entre as principais vantagens do outsourcing de TI, destacamos:
 modularidade – a empresa que decide terceirizar pode fazê-lo em partes, ou módulos, o
que representa uma vantagem pelas seguintes razões:
 A empresa pode separar o que julgar ser mais estratégico e manter em casa, e assim
diminuir riscos.
 A empresa pode experimentar um fornecedor, terceirizando primeiro uma parte das
suas aplicações.
 A empresa pode minimizar riscos também à medida que coloca as suas aplicações
em diferentes fornecedores.
 escalabilidade – quando contrata um serviço de terceirização, a empresa pode com
facilidade aumentar ou diminuir a capacidade, para dessa forma enfrentar as sazonalidades
do negócio, conhecidas ou não, o que não ocorre quando a empresa tem de comprar
hardware, software ou mesmo contratar pessoas;

38
  foco no negócio – ao terceirizar a TI, a empresa transfere ao fornecedor, que é especialista
no assunto, a responsabilidade pela gestão das aplicações terceirizadas, e pode com maior
liberdade, mais tempo e mais energia focar o seu próprio negócio;
 uso de tecnologia de ponta – terceirizando a empresa pode usufruir de tecnologias mais
modernas de modo mais fácil e econômico, uma vez que o fornecedor é especialista no assunto.
 mão de obra especializada – da mesma forma que o exposto acima, terceirizando a empresa
pode também usufruir de mão de obra mais especializada de modo mais fácil e econômico.

Principais razões alegadas pelas empresas para fazer outsourcing de TI

Em recentes pesquisas realizadas com gestores de empresas que realizaram algum tipo de
terceirização de TI, quando questionados sobre as razões que os levaram a tal prática, curiosamente
as respostas dadas não refletem na sua totalidade as vantagens de se terceirizar, mas, sim, a percepção
desses gestores. As principais razões alegadas são:
 foco da empresa contratante no seu core business;
 redução ou reestruturação dos custos – despesas fixas versus despesas variáveis;
 melhoria da qualidade dos serviços;
 acesso rápido a conhecimento tecnológico especializado;
 escalabilidade para crescimento acelerado e
 garantia de qualidade por contrato.

No tocante ao foco, à qualidade, ao conhecimento especializado e à escalabilidade, notamos

que a percepção corresponde à realidade. Entretanto a segunda razão mais alegada – adotar
terceirização para reduzir custos – pode ser considerada um equívoco, pois nem sempre o outsourcing
vai trazer redução de custos, principalmente pelo fato de que o fornecedor, por ser especialista no
assunto, tem muito mais condições de fornecer um serviço de melhor qualidade, o que dificilmente
custará menos do que quando realizado dentro da empresa contratante. Outro aspecto diferente é a
reestruturação dos custos, o que pode ser uma boa razão para se buscar a terceirização, uma vez que
algumas estratégias financeiras privilegiam custos variáveis em detrimento de custos fixos.
A sexta razão mais alegada é a que diz respeito à garantia de qualidade por contrato, pois todo
contrato de terceirização envolve algumas cláusulas comumente chamadas de Service Level Agrement
(SLA), que nada mais são do que acordos de níveis de serviços contratados, o que normalmente é
expresso em termos de disponibilidade do sistema terceirizado, mas na prática pode ser que a
empresa contratante não tenha essa garantia, como veremos ao abordar os riscos da terceirização.

39
Principais riscos do outsourcing de TI
Entre os principais riscos do outsourcing de TI, destacamos:
 perda do controle gerencial – quando a empresa terceiriza alguma parte ou função de TI,
normalmente visa transferir a responsabilidade sobre o tema para o terceiro e assim ficar
livre para focar o seu negócio, entretanto o outro lado dessa moeda é que a empresa pode
chegar até a perder o controle sobre o serviço; desse jeito, por falta de familiaridade a
empresa tende a não querer mais medir e prestar atenção em como o serviço é realizado.
Em casos extremos, quando a terceirização é feita com baixos critérios, na eventualidade
de algum problema legal na relação do terceiro com os seus colaboradores, a empresa
contratante pode até mesmo ser também acionada e responsabilizada;
 problemas de comunicação com os provedores externos – ao terceirizar alguma função ou
parte de TI, a empresa terá de utilizar infraestrutura de telecomunicações para conseguir
acessar as suas aplicações terceirizadas, o que dependerá, obviamente, da existência dessa
infraestrutura, e dependendo de onde estiver isso pode ficar comprometido. Outra
dimensão do risco de comunicação diz respeito ao nível de interlocução que a empresa
tem com o provedor da terceirização, pois, quando uma empresa pequena contrata uma
empresa grande, quando precisar de suporte, por exemplo, nem sempre conseguirá ter
uma comunicação que atenda às suas necessidades;
 custos em serviços adicionais não previstos em contrato – ao terceirizar, eventualmente
podem aparecer custos adicionais que não foram previstos em contrato, ao contrário do
que muitas empresas esperam;
 nível e qualidade real dos serviços versus os SLAs acordados – quando uma empresa
contrata um serviço de terceirização, também faz o ajuste dos níveis de serviços
esperados, por meio dos SLAs, ou acordos de nível de serviço, que normalmente
estabelecem sanções financeiras em caso de não cumprimento. Porém ter um SLA
contratado não significa necessariamente que se terá o nível de serviço esperado; além
disso, quem normalmente medirá o nível de entrega é o fornecedor, portanto este é
sempre um ponto de atenção dos contratos de terceirização;
 ameaça à segurança e à confidencialidade da informação – este é um ponto em que ainda
resta bastante controvérsia, pois muitos acreditam que ao terceirizar a empresa aumentará
a vulnerabilidade em questões de segurança e confidencialidade, o que nem sempre é
verdade. Como sabemos, nenhuma empresa consegue ter 100% de segurança nas suas
aplicações de TI, pois o nível de segurança que a empresa vai conseguir depende
basicamente do tanto de dinheiro que investirá no assunto, bem como da sua capacidade
de gerenciar processos, políticas e regras voltadas a preservar a segurança do ambiente, o
que a especialista tem muito mais condição de fazer do que a empresa não especializada
no assunto. Outro fato também relevante é observado por diversas pesquisas sobre o tema,

40
 as quais apontam que as falhas de segurança na maioria das vezes são originadas dentro da
própria empresa, portanto terceirizar não vai aumentar a ameaça, ao contrário, na maioria
das vezes o ambiente estará mais seguro no terceiro. Obviamente, as empresas devem ter
especial atenção ao escolher os seus fornecedores, inclusive dirimindo qualquer dúvida
sobre a capacidade e a idoneidade desse fornecedor, só devendo terceirizar as suas
aplicações de TI com empresas que julguem capazes de tomar conta desse assunto.

Estratégias básicas sobre outsourcing de TI

Escolher entre terceirizar ou não nem sempre é uma decisão fácil, e já há muito tempo as
empresas vêm discutindo sobre o tema. Uma regra bastante simples, mas ao mesmo tempo útil para
começar a pensar no assunto, leva em consideração a capacidade da área interna de TI, o nível de
conhecimento e de experiência da equipe de TI, bem como a criticidade da aplicação que a empresa
esteja considerando terceirizar, seja porque não pode ficar indisponível, seja por se tratar de
aplicação estratégica do negócio, conforme apresentado na figura 9, a seguir.

Figura 9 – Estratégia básica sobre outsourcing de TI

Fonte: elaborado pelo autor

Segundo esses parâmetros, uma empresa somente deve considerar manter internamente
aplicações de missão crítica se possuir alta capacidade interna na área de TI; caso contrário, deve
considerar terceirizar todas as aplicações. Empresas que não tenham alta capacidade interna na área
de TI deveriam considerar terceirizar todas as aplicações, mesmo correndo alguns riscos, pois se as
mantiver possivelmente terão problemas com a qualidade das aplicações.

41
 Como regras gerais, podemos pensar da seguinte maneira:
 Aplicação estratégica, de alto risco, especializada, de alto custo e baixo volume – não terceirize.
 Aplicação não estratégica, de baixo risco, padronizada, de baixo custo e alto volume –
terceirize.
 Aplicações de alta criticidade, quando se tem alta capacidade interna na área de TI, deveriam
permanecer dentro de casa; já aplicações de baixa criticidade deveriam ser terceirizadas, assim
como qualquer aplicação quando se tem baixa capacidade interna na área de TI.

No caso das pequenas empresas, cabe ainda mais um alerta: ao escolher o fornecedor dos
serviços de terceirização ou computação em nuvem, especialmente para aplicações de grande
criticidade para o negócio, deve-se buscar um fornecedor com o qual a empresa tenha um intenso
e forte relacionamento, para que quando necessitar de suporte consiga ser prontamente atendida.

Cloud computing: computação em nuvem

Como já mencionamos acima, a indústria de TI vem desenvolvendo novos modelos de negócios
em que a TI é ofertada como serviço, por exemplo, a chamada cloud computing, ou computação em
nuvem. Essa tendência rapidamente demonstrou ser uma evidência, justamente pelos benefícios e pelas
possibilidades que oferece. Esses modelos de negócio permitem que as empresas pequenas ou com
poucos recursos também usufruam dos benefícios de TI ao terceirizar e contratar especialistas.
Podemos considerar a computação em nuvem como um tipo particular de outsourcing, uma
vez que se trata também de contratar um serviço de um terceiro especializado no assunto. Dessa
forma, cloud computing deve apresentar as seguintes características essenciais:
 autoatendimento sob demanda – a empresa contratante, à medida da sua necessidade,
contrata mais capacidade automaticamente;
 acesso amplo à rede – para que a empresa contratante possa acessar a sua aplicação é
necessário que tenha acesso à internet;
 central de recursos compartilhados – o fornecedor conta com recursos, como hardware,
software e pessoas, que são compartilhados entre os seus clientes;
 elasticidade rápida – a empresa contratante pode rapidamente aumentar ou diminuir a
capacidade da TI contratada e
 serviços medidos – todos os serviços utilizados devem ser precisamente medidos para uma
cobrança adequada.

42
 A oferta atual existente no mercado de tecnologia, especialmente o brasileiro, ainda não
contempla totalmente todas essas características, mas está evoluindo com velocidade. Em teoria, é
um modelo muito interessante, pois bem ajustado pode trazer uma série de benefícios para as
empresas, entre eles:
 eliminar as despesas de capital antecipado e reduzir os custos operacionais;
 consumir a quantidade certa de tecnologia sem gastos excessivos;
 escalar para cima ou para baixo para atender aos requisitos do negócio;
 assumir novas oportunidades que foram previamente de custo proibitivo;
 permitir que a TI desenvolva novas competências com foco central em negócios e
 executar a TI mais eficiente para uma menor emissão de carbono.

Fator humano
Para pensar em segurança de informação, bem como para pensar em gestão de TI de modo
geral, é necessário levar em conta o fator humano, como já vimos ao abordar as questões relativas à
maturidade da organização no tema.
As empresas gastam cada vez mais dinheiro com TI buscando maior capacidade de competir, mas
não basta somente usar TI, é necessário saber usar, saber o que se está fazendo. Para uma boa gestão de
TI na empresa e um consequente ganho em competitividade, um primeiro ponto a ser pensado é o que
diz respeito ao já conhecido alinhamento entre a estratégia de TI e as estratégias do negócio.
Para pensar em alinhamento, precisamos inicialmente entender muito bem quais são as
estratégias do negócio e o contexto em que a empresa está inserida.
Vejamos como exemplo algumas estratégias competitivas básicas:
 liderança em custos – use sistemas de informação para produzir produtos e serviços a um
preço mais baixo que o da concorrência e, ao mesmo tempo, aumentar a qualidade e o
nível dos serviços, por exemplo, Walmart;
 diferenciação de produto – use sistemas de informação para diferenciar produtos e facilitar
a criação de novos produtos e serviços, por exemplo, Google, eBay e Apple;
 foco em nichos de mercado – use sistemas de informação para facilitar uma estratégia
focada em um único nicho de mercado, especialize-se, por exemplo, hotéis Hilton, e
 relacionamento mais estreito com cliente e fornecedor – use sistemas de informação para
desenvolver laços mais fortes com clientes e fornecedores e conquistar a sua lealdade, por
exemplo, Amazon.com.

43
 Para se pensar o contexto em que a empresa está inserida, propomos levar em conta o modelo
que aborda as dimensões do uso de TI em benefício dos negócios, conforme figura 10, a seguir.
Figura 10 – Dimensões do uso de TI em benefício dos negócios

Fonte: Albertin (2012)

Esse modelo é bem abrangente e nos ajuda a pensar diversos aspectos do uso de TI pelas
empresas. Neste momento, interessa-nos abordar apenas os chamados direcionadores: mercado,
organização, indivíduo e TI.
São esses direcionadores que contribuem ou não para que a empresa venha a utilizar alguma
aplicação de TI, e nos ajudam a analisar o contexto em que ela está inserida.
O primeiro direcionador é o mercado. Se a empresa está em um mercado muito intensivo no
uso de TI, por exemplo, o mercado financeiro, de alguma maneira esse seu mercado vai forçá-la a
adotar TI; já se a empresa está em um mercado não muito intensivo no uso de TI, por exemplo, o
mercado de construção civil, ela pode até pensar se vai usar ou não, dependendo da sua estratégia,
uma vez que o mercado não força a empresa a usar TI.
O segundo direcionador é a sua própria organização. Se a empresa é formada
predominantemente por gente mais jovem, com bastante facilidade para o uso de tecnologia, os
chamados “nativos digitais”, naturalmente esse ambiente vai forçar a empresa a usar TI. Se, por
outro lado, a empresa é composta predominantemente de pessoas que não têm muita afinidade

44
com o uso de tecnologia, os chamados “imigrantes digitais”, que acham muito difícil usar a
tecnologia, nesse caso a organização vai inibir o uso de TI pela empresa.
O terceiro direcionador proposto pelo modelo é o indivíduo, que pode estar dentro ou fora
da empresa. Talvez o indivíduo mais relevante de qualquer empresa seja o cliente, pois se os clientes
forem “nativos digitais”, de certa forma vão forçá-la a adotar TI; de modo oposto, se os clientes são
na sua maioria “imigrantes digitais”, tenderão a inibir a adoção de TI pela empresa.
O quarto e último direcionador é a TI em si. Dessa forma, toda vez que a TI se renova e
muda os seus padrões, ela força as empresas a também mudar, pois, caso não o façam, ficarão com
tecnologia obsoleta, o que poderá trazer diversos problemas.
Esses quatro direcionadores são muito úteis para nos ajudar a entender o contexto em que a
empresa está inserida, para a partir desse entendimento, associado também ao entendimento da
estratégia de negócio da empresa, pensar que tipo de tecnologia a empresa deve adotar, que tipo de
tecnologia faz sentido, e assim tratar TI de maneira apropriada, fundamentalmente funcionando
como meio para ajudar o negócio a atingir os seus objetivos, para que dessa forma continue
competitivo e obtenha o tão esperado lucro.

45
46
MÓDULO III – FERRAMENTAS CONTRA AS
CIBERAMEAÇAS

Neste módulo, abordaremos as principais ferramentas e formas de monitoramento de

ciberameaças, identificando os principais conceitos sobre o assunto, além das melhores práticas
de mercado: Network Operations Center (NOC), Security Operations Center e outros serviços.
Abordaremos também a importância e as funções dos chamados blue team e red team na
inteligência de cibersegurança.

Introdução
Contra as ciberameaças é preciso contar com sistemas, aplicativos e pessoas preparadas para
oferecer suporte e manter tudo funcionando, para evitar que o pior cenário aconteça.
A primeira ferramenta necessária para combater os crimes cibernéticos é um plano de resposta
a incidentes, associado a uma equipe de resposta a incidentes bem treinada.
Gestão de incidentes é como uma simulação de incêndio para um responsável da TI. Quando
o pior cenário se torna realidade, é essencial ter o plano certo em prática, as pessoas certas no
trabalho, bem como as ferramentas e o treinamento certos para permanecer vigilante.
O problema com os planos é que eles são projetados para ficar na prateleira até o dia em que
algo acontece e precisamos reagir. Caso contrário, eles apenas acumulam poeira, exceto para as
visitas ocasionais de um auditor ou revisões executivas. Deve-se, portanto, adotar a abordagem pró-
ativa porque sabemos que o investimento de tempo e recursos gastos no aprimoramento da resposta
a incidentes terá benefícios imediatos e contínuos para as operações de TI. A segurança está baseada
na mais pura confiabilidade, e todos desejam que os seus sistemas sejam os mais confiáveis possíveis.
 Temos então de focar a construção de um plano básico de resposta a incidentes e processo
de monitoramento de segurança, abrangendo habilidades para adquirir todos os recursos úteis
ao longo do caminho.
Existem muitos níveis de sucesso no trabalho defensivo, entretanto o senso comum é que o
atacante só precisa estar certo uma vez, mas o defensor tem de estar certo todas as vezes, mas isso
nem sempre é verdade. Os ataques não são tudo ou nada, eles acontecem ao longo do tempo, com
vários estágios antes do sucesso final. Para não ser detectado contra um defensor atento, é o atacante
que deve fazer todos os movimentos corretamente; se um defensor astuto o detectar pelo menos
uma vez, ele tem a possibilidade de localizar e interromper todo o ataque. Nem sempre se vai
detectar imediatamente tudo o que acontece durante um ataque, mas contanto que se detecte – e
identifique corretamente – o suficiente de um ataque para detê-lo nas suas trilhas, isso é sucesso.
Alguns aspectos são fundamentais para um bom time de gestão de ciberameaças: não entrar
em pânico, manter o foco, lembrar que a execução é a chave. Como a variedade de maneiras de
atacar um alvo pode parecer ilimitada, esperar ser um especialista em todas elas é inutilmente irreal.
A parte mais importante da resposta a incidentes é lidar com cada situação de uma forma
que limite os danos e reduza o tempo e os custos de recuperação. Essa é a medida final para
avaliar se um trabalho foi bem-feito, e não se a gestão cobriu todos os ângulos de todas as
vulnerabilidades em potencial.
Vale a lembrança de sempre começar com etapas simples, pois muitas vezes os atacantes são
preguiçosos, além de terem imperativos técnicos e econômicos de usar o mínimo de esforço e recursos
para violar os seus alvos, portanto, quanto mais se removem os frutos mais fáceis da sua rede, mais
aumentará o nível real de trabalho que um invasor precisará despender para ter sucesso e se infiltrar.
A primeira etapa é entender o máximo possível sobre o ambiente de computação atual.
Algumas pessoas se referem a isso como consciência ambiental ou consciência situacional ou mesmo
consciência contextual. Pode-se resumir esse conceito em inteligência de ameaças locais.
Após combinar informações valiosas sobre a própria rede com as mais recentes informações de
ameaças globais – detalhes sobre ferramentas, técnicas e tendências de invasores –, poderá ser
alcançada uma triagem mais eficaz, colocando-se o valioso tempo nos tipos de incidentes de segurança
que realmente importam em vez de perder tempo com falsos positivos ou ruídos irrelevantes.
Ao compreender o que está acontecendo na rede (consciência ambiental) e conectar esse
entendimento a informações sobre fontes conhecidas de atividades maliciosas – Global Threat
Intelligence –, torna-se simples obter relatórios em grande escala sobre ameaças ativas na infraestrutura.
Por exemplo, em vez de pesquisar listas massivas de alertas de vários controles de segurança para
determinar possíveis explorações e ataques e tentar priorizá-los com base no valor do ativo, observam-
se os dados de consciência ambiental que podem ser conectados aos indicadores de comprometimento
– Indicators of Compromise (IOC) – associados com os próprios agentes de ameaças.

48
 Atualmente, os recursos de computação são baratos e abundantes – os ataques podem vir
de qualquer lugar – especialmente de sistemas comprometidos em redes remotas legítimas. Os
invasores travam uma batalha constante tentando dificultar a localização dos sistemas que
controlam o seu malware, enquanto permitem que este alcance esses sistemas para receber
instruções externas de execução.
A necessidade crescente de técnicas de atribuição de responsabilidades na resposta a incidentes
não é apenas um subproduto de um analista de segurança que deseja bancar o agente de
contrainteligência. Na verdade, essa atribuição é vital para correlacionar e priorizar a onda de dados
de transmissão necessária para a tomada de decisões de resposta corretas.
Ser capaz de correlacionar duas tentativas de ataque menores aparentemente não relacionadas
em partes diferentes da infraestrutura lançadas de dois hosts aleatórios no mesmo provedor
multinacional de computação em nuvem pode fazer uma grande diferença.
Há muito trabalho em andamento para estabelecer a reputação entre os provedores de
serviços de nuvem e os seus clientes, mas a necessidade de estabelecer informações de reputação de
instâncias de nuvem para o resto do mundo é essencial no mundo de resposta a incidentes.

Resposta a incidentes
As seis fases da resposta a incidentes são, basicamente: preparação, identificação, contenção,
erradicação, recuperação e lições aprendidas.
Na fase da preparação, o objetivo é deixar os usuários e os profissionais de TI prontos para
lidar com os potenciais incidentes no caso de acontecerem, e, como sabemos, eles vão ocorrer
independentemente da nossa vontade.
Na fase de identificação, o objetivo é descobrir o que é o “incidente de segurança”, para ter
clareza de quais eventos se pode ignorar, e quais eventos exigem uma ação imediata.
Já na fase de contenção, o objetivo passa a ser o isolamento dos sistemas afetados para prevenir
danos adicionais e, normalmente, quarentenas automatizadas são as ações mais indicadas.
Na sequência, ocorre a erradicação, que é, basicamente, encontrar e eliminar a causa raiz –
Root Cause Analysis (RCA) –, removendo sistemas de produção afetados.
Na fase de recuperação, o objetivo é permitir que os sistemas afetados voltem ao ambiente de
produção e a situação se normalize definitivamente.
Por fim, na fase de lições aprendidas, quando devemos ter todo o incidente documentado, é
necessário analisar com todos os membros da equipe o que se pode fazer para ter uma melhor
resposta a incidentes futuros.

49
 A melhor maneira de determinar a resposta apropriada a incidentes em qualquer situação é
entender quais tipos de ataques podem ser usados contra a sua organização. Por exemplo, o National
Institute of Standards and Technology (Nist) forneceu a seguinte lista dos diferentes vetores de ataque:
 ataques executados por meio de mídia externa/removível;
 ataques que utilizem métodos de força bruta que comprometem, degradam ou destroem
sistemas, redes ou serviços;
 ataques executados a partir da web;
 ataques executados via mensagens de e-mail ou anexos;
 incidentes resultantes de violação de políticas de segurança da organização e
 perda ou roubo de algum equipamento da organização.

A empresa deve analisar a lista acima com atenção e garantir que as suas políticas de
segurança e controle mitiguem a maioria dos riscos apresentados por esses vetores de ataque. Além
disso, essa lista servirá para orientar a equipe na determinação de como classificar os vários tipos
de incidentes de segurança.
Devem-se identificar os equipamentos que podem causar maior risco para a empresa em caso
de perda ou roubo. Na maioria das empresas, o laptop do CFO deve ser incluído junto com qualquer
HD de servidor contendo propriedade intelectual ou outros dados sensíveis.
Uma das maiores falácias da segurança da informação é a suposição de que a empresa conhece
qual caminho um invasor seguirá dentro da rede. Por exemplo, os invasores raramente entram pela
porta da frente ou, nesse contexto, pelo firewall de borda. Cada ataque geralmente funciona por
meio de um determinado padrão, também conhecido por “cadeia de destruição cibernética”, ou
Cyber Kill Chain (CKC), que é uma sequência de estágios necessários para que um invasor se infiltre
com sucesso em uma rede e extraia os dados dela. Cada estágio demonstra um objetivo específico
ao longo do caminho do atacante. Projetar o plano de monitoramento e resposta tomando por base
o CKC se configura em um método eficaz porque se concentra em como os ataques reais acontecem.
Frequentemente, pensa-se na resposta a incidentes como um trabalho forense detalhado e
meticuloso, observando atentamente um sistema por vez. No entanto, a grande maioria do trabalho
de monitoramento de segurança pode ser resolvida por meio de uma visão mais ampla e holística
do estado e da atividade na sua infraestrutura.
Entender onde, quais e como os sistemas se comunicam com outros sistemas e as mudanças
que estão sendo feitas neles pode revelar ataques que outros controles de segurança não revelariam.
A inteligência de ameaças permite que o foco vá além das vulnerabilidades, das explorações e
dos patches e se concentre nas coisas que estão ativamente causando danos à confidencialidade, à
integridade e à disponibilidade dos dados da organização.
A conscientização de segurança é um dos trabalhos mais difíceis porque é o mais importante,
mas também o menos respeitado. Se todos o fizessem corretamente, provavelmente se reduziriam
significativamente os problemas com incidentes de segurança.

50
 Todo exame pós-incidente deve incluir com a maior celeridade uma avaliação da sua postura
geral de segurança, especialmente o programa de conscientização de segurança.
Independentemente da causa raiz do incidente, ainda é importante revisitar e entender como
uma comunidade de funcionários mais experientes – Subject Matter Experts (SMEs) – em segurança
poderia ter evitado a crise.
As campanhas de phishing e spearphishing podem enganar até os usuários mais sofisticados.
Na verdade, cerca de 91% dos ataques de hackers começam com um e-mail de phishing ou
spearphishing. Portanto cada questão de segurança deve ser investigada da forma mais abrangente
possível, com a perspectiva de compreender onde o programa de conscientização de segurança
poderia ter evitado esse incidente ou minimizado o seu impacto.

Blue team e red team

Apesar de existirem muitas ferramentas contra ciberameaças, existem algumas coisas que
apenas as pessoas e, em alguns casos, apenas certas pessoas podem fazer. Nem tudo pode ser
automatizado quando pensamos em resposta a incidentes.
Em primeiro, lugar a equipe de resposta a incidentes precisará estar armada e bem preparada
em termos de ferramentas de resposta a incidentes, para em seguida ser bem direcionada. Esse
direcionamento começa pela definição de metas que permitem que se mantenha o foco, mesmo em
tempos de crise e estresse extremos.
Quando se trata de resposta a incidentes de segurança cibernética, a TI deve liderar os
esforços, com representação executiva de cada unidade de negócios principal, especialmente quando
se trata de jurídico e RH.
Embora os membros ativos da equipe de resposta a incidentes provavelmente não sejam
executivos seniores, deve-se pedir aos executivos que participem dos principais esforços de
recrutamento e comunicação. Devem ser definidas, documentadas e comunicadas claramente as
funções e as responsabilidades de cada membro da equipe para que esta seja bem coordenada e saiba
o que se espera dela, antes que uma crise aconteça.
A comunicação eficaz é o segredo do sucesso de qualquer projeto e é especialmente verdadeiro
para a resposta a incidentes. É importante imprimir as informações de contato dos membros da equipe
e distribuí-las amplamente, não confiando apenas em cópias eletrônicas de listas telefônicas.
Provavelmente, não se terá acesso a elas durante um incidente. Deve-se incluir também contatos
externos importantes e certificar-se de discutir e documentar quando, como e quem deverá entrar em
contato com entidades externas, como a polícia, a mídia ou outras organizações de resposta a incidentes.
Uma equipe de resposta a incidentes analisa informações, discute observações e atividades
e compartilha relatórios e comunicações importantes em toda a empresa. A quantidade de tempo
gasto em qualquer uma dessas atividades depende de uma pergunta-chave: este é um momento
de calma ou crise?

51
 Quando não estiver investigando ativamente ou respondendo a um incidente, a equipe de
resposta a incidentes deve reunir-se pelo menos trimestralmente para revisar as tendências de
segurança atuais e os procedimentos de resposta a incidentes.
Quanto mais informações uma equipe de resposta a incidentes puder fornecer à equipe
executiva, melhor será em termos de retenção do apoio executivo e da participação quando for
especialmente necessário, durante uma crise ou imediatamente após.
O objetivo da equipe de resposta a incidentes é coordenar e alinhar os principais recursos e
os membros da equipe durante um incidente de segurança cibernética para minimizar o impacto
e restaurar as operações o mais rápido possível. Isso inclui as seguintes funções críticas:
investigação e análise, comunicações, treinamento e conscientização, bem como documentação e
desenvolvimento de cronograma.
Em termos de recrutamento de membros da equipe de resposta a incidentes, aqui estão três
considerações principais com base nas recomendações do Nist do documento denominado
Computer Security Incident Handling:
 Provavelmente, a sua empresa é como a maioria, e você precisará ter membros da equipe
de resposta a incidentes disponíveis 24 horas por dia, sete dias por semana, 365 dias por
ano. Na verdade, a julgar pela experiência de vários especialistas, a tarde de sexta-feira
sempre parece ser a “melhor” hora, especialmente quando haverá um final de semana de
feriado. Nessas horas, pode-se precisar de algum suporte da equipe local em certos casos,
portanto morar perto do escritório pode ser um verdadeiro trunfo para um membro da
equipe de resposta a incidentes.
 Pode não ser possível atribuir responsabilidades em tempo integral a todos os membros da
equipe de resposta a incidentes. Com uma equipe pequena, deve-se considerar ter alguns
membros do time atuando como parte de uma equipe “virtual” de resposta a incidentes.
Uma equipe virtual é como se fosse um corpo de bombeiros voluntário. Quando ocorre
uma emergência, os membros da equipe são contatados e acionados rapidamente, e aqueles
que podem ajudar assim o fazem. Normalmente, o help desk de TI serve como o primeiro
ponto de contato para relatórios de incidentes. Os membros do help desk podem ser
treinados para realizar a investigação inicial e a coleta de dados e, em seguida, alertar a
equipe de resposta a incidentes se parecer que ocorreu algo sério.
 O trabalho de resposta a incidentes é muito estressante, e estar constantemente de plantão
pode custar um preço alto para a equipe. Isso torna mais fácil para os membros da equipe
ficarem cansados ou perderem a motivação e o foco. É importante neutralizar o
esgotamento da equipe, oferecendo oportunidades de aprendizado e crescimento, bem
como construção de equipes e comunicação aprimorada. Pode-se querer a terceirização de
algumas atividades de resposta a incidentes – por exemplo, monitoramento de Siem – para
um parceiro confiável ou Management Security Sevices Provider (MSSP).

52
 O objetivo da equipe de resposta a incidentes é coordenar e alinhar os principais recursos e
membros da equipe durante um incidente de segurança cibernética para minimizar o impacto e
restaurar as operações o mais rápido possível. Isso inclui as seguintes funções críticas: investigação e
análise, comunicações, treinamento e conscientização, bem como documentação e desenvolvimento
de cronograma. Análise de segurança é um trabalho de detetive em que a organização compete contra
o conhecimento de uma pessoa desconhecida e anônima sobre a tecnologia. O trabalho de detetive
está cheio de pistas falsas, becos sem saída, evidências ruins e testemunhas não confiáveis.
A crescente demanda pela eficiência na segurança da informação fez com que as organizações
passassem a lidar com o assunto de forma mais estratégica. A formação de um blue team e um red
team é um bom exemplo disso.
Com atribuições específicas, as equipes promovem um trabalho de cibersegurança em nível
mais elevado nas empresas. Cada uma delas tem a sua importância, e o alinhamento entre as duas
traz inúmeros benefícios.

Red team
O red team é formado com o objetivo de realizar testes de ciberataque na empresa. Estamos
falando de profissionais com alto conhecimento sobre as principais ameaças e os ataques existentes,
sendo capazes de simular tentativas de penetrar na rede e ou sistemas. Com isso, eles se tornam
capazes de identificar vulnerabilidades e, consequentemente, eliminá-las.
Resumidamente, eles assumem o papel de alguém que tentaria atacar a empresa, o que
geralmente pode envolver a contratação de alguém de fora, sem o olhar acostumado àquele ambiente.
Os ataques podem envolver engenharia social para enviar phishing aos funcionários, por exemplo.

Blue team
O papel do blue team é justamente se opor aos ataques ensaiados pelo red team. Desse modo,
ele deve desenvolver estratégias para aumentar as defesas, modificando e reagrupando os mecanismos
de proteção da rede para que eles se tornem mais fortes.
Um time desse tipo deve ter também um alto nível de conhecimento sobre a natureza das
ameaças da rede. Entretanto eles devem ser capazes não só de eliminar brechas, mas de reformular
a infraestrutura de defesa como um todo.
Isso envolve, por exemplo, análises de log, auditorias de segurança, análises de risco, testes
Distributed Denial of Service (DDoS), ou ataque de negação de serviço, e desenvolvimento de
cenários de risco.

53
Processos e procedimentos
Um processo de resposta a incidentes é composto de negócios para que a empresa permaneça em
atuação. Especificamente, é uma coleção de procedimentos que visam identificar, investigar e responder
a possíveis incidentes de segurança de uma forma que minimize o impacto e ofereça suporte à
recuperação rápida. Quanto mais se aproxima de um processo de resposta a incidentes como um
processo de negócios – de todos os ângulos e com todos os públicos – mais a empresa tende a ter sucesso.
Um processo de resposta a incidentes é todo o ciclo de vida – e ciclo de feedback – de uma
investigação de incidente, enquanto os procedimentos de resposta a incidentes são as táticas
específicas nas quais a equipe estará envolvida durante um processo de resposta a incidentes.
Um bom processo de gestão de incidentes envolve uma preparação, em que se deve saber quais
são os ativos mais importantes da organização, quais servidores, aplicativos, cargas de trabalho ou
segmentos de rede poderiam tirar a organização do mercado se ficassem off-line por uma hora ou um
dia. O que aconteceria com a empresa se informações internas ou sensíveis caíssem nas mãos erradas?
Ativos considerados importantes para a empresa podem não ser aqueles que o invasor vê
como importantes. Há, portanto, de se ter uma lista dos principais aplicativos, usuários, redes,
bancos de dados e outros ativos-chave com base no seu impacto nas operações de negócios caso
fiquem off-line ou sejam comprometidos de outras maneiras.
Deve-se, para isso, quantificar os valores dos ativos com a maior precisão possível, pois isso
ajudará a justificar o orçamento da empresa.
Também é fundamental saber os padrões de tráfego da empresa para que se possa construir
uma imagem precisa do que é a “normalidade”. Essa base será para detectar anomalias que possam
sinalizar um potencial incidente.
O responsável pelo processo de segurança deve reunir-se com a liderança executiva,
compartilhar a análise da postura de segurança atual da empresa, análise das tendências do setor, as
principais áreas de preocupação e as recomendações.
Também fica bastante clara a necessidade de definir as expectativas sobre o que a equipe de
resposta a incidentes fará, junto com o que outras empresas estão fazendo, bem como o que esperar
em termos de comunicações, métricas e contribuições. Há de se descobrir a melhor maneira de
trabalhar com as equipes jurídicas, de RH e de aquisições para agilizar as solicitações durante os
procedimentos essenciais de resposta a incidentes.
Os membros da equipe de resposta a incidentes – especialmente aqueles que estão fora da TI
– precisarão de ampla instrução, e orientação sobre as suas funções e responsabilidades. O tempo
investido antes de um grande incidente valerá o investimento mais tarde quando a crise chegar.

54
Metodologia Ooda Loop
Ooda Loop é uma metodologia criada por militares da Força Aérea dos EUA, esse acrônimo
pensado pelo estrategista John Boyd significa, na verdade, observar, orientar, decidir e agir (observe,
orient, decide and act). Assim como para um piloto de caça militar em ação é muito necessária uma
ferramenta para determinar a melhor maneira de agir o mais rápido possível quando está sob ataque;
para uma empresa, também é bastante útil e eficaz uma ferramenta que indique a melhor maneira
de agir, quando aplicada a um processo de resposta a incidentes.
Para observar existem diversas ferramentas e táticas: análise de logs; alertas de Siem; alertas de
IDS/IPS; análise de tráfego; ferramentas de fluxos (Netflow Tools); análise de vulnerabilidades,
análise e monitoramento de performance da aplicação.
Todas essas ferramentas ajudam a responder questões como: qual é a atividade normal na
rede de nossa organização? Como podemos capturar e categorizar eventos ou atividades de usuários
que não são normais? Quais requerem a atenção dos responsáveis pela tomada de decisões? Como
posso ajustar a segurança da infraestrutura de monitoramento?
Quanto mais observações puderem ser feitas e documentadas sobre o estado da rede e as
operações de negócio melhor será para a resposta cibernética diante do incidente iminente.
Para orientar existem também diversas ferramentas e táticas: triagem do incidente,
consciência situacional, inteligência de ameaças e pesquisas de segurança.
Vale questionar se a empresa está lançando um novo pacote de software ou planejando
demissões. Foram percebidos ataques oriundos de endereços de alguma rede, em particular? Qual
é a causa raiz? Qual é o escopo e o impacto?
Tentar entender a mente do atacante permite uma melhor definição das estratégias de defesa
contra as mais recentes ferramentas e táticas de ataque. Ciberatacantes estão mudando
constantemente de técnicas e táticas. Dessa forma, a empresa deve buscar o mais avançado sistema
de inteligência de ameaças possível, alimentando a base de conhecimento com ferramentas de
monitoramento de segurança e capturando as informações corretas dentro do contexto necessário.
Na hora de agir, a organização deve documentar todos os aspectos do processo de resposta a
incidentes, especialmente comunicações sobre a coleta de dados e os processos de tomada de decisão.
Nesse momento, as listas de verificação para resposta múltipla e procedimentos de
recuperação são de extrema valia, pois quanto mais detalhado for o playbook de incidentes,
melhor será a resposta.
Agora é o momento de se ter em mãos toda a captura de dados e ferramentas de análise forense,
backup do sistema, ferramentas de recovery, gestão de patches e outros sistemas de gerenciamento.
Muito importante é já ter sido realizado o treinamento de conscientização de segurança de
todos os colaboradores para que todos saibam exatamente o que fazer nesse crítico momento.

55
 Treinamento, comunicação e melhoria contínua são as chaves para o sucesso na atuação
efetiva durante um incidente. Os membros da equipe devem saber o que se espera deles e isso
significa treinamento aprofundado, ensaios detalhados e grande atenção em como melhorar
continuamente o trabalho em equipe e o processo geral.

Importância dos checklists

Quando uma organização se vê diante de uma crise, os checklists podem ajudar muito. Os
melhores são aqueles que se aplicam a cenários específicos e dividem uma tarefa ou atividade
específica em partes. Entretanto, por mais que uma organização tenha precaução sobre esse tipo de
situação, deve-se entender que a empresa não conseguirá prever todos os cenários de incidentes,
pois cada operação de negócio ditará o que é considerado essencial para aquele negócio específico,
porque os processos de recuperação dos sistemas críticos de negócio e as operações a serem
recuperadas primeiro serão diferentes para cada caso. Dito isso, existem alguns tipos gerais de
checklists que podem ser considerados essenciais para qualquer negócio.

Checklist de análise forense

Durante o processo de investigação de incidentes, a empresa precisará examinar mais a fundo
os sistemas individuais. Um checklist que fornece comandos úteis para procurar comportamentos
anômalos terá um valor inestimável. Se a sua empresa for como a maioria, possivelmente, você terá
um ambiente heterogêneo com a mistura de sabores Windows e Unix. Deve-se personalizar cada
checklist com base no sistema operacional, bem como as suas funcionalidades, por exemplo, servidor
de arquivos x banco de dados x servidor da web x controlador de domínio x DNS.

Checklist de listas de contatos de emergência

Não espere até um incidente acontecer para tentar descobrir para quem você precisa ligar,
quando é apropriado fazer isso, como você pode entrar em contato com eles, por que precisa entrar
em contato com eles e o que dizer depois de fazer isso.
Em vez disso, desenvolva um plano de comunicação detalhado com as especificações de
quando colocá-lo em prática e não se esqueça de obter um consenso geral sobre a sua abordagem.
Toda a equipe de resposta a incidentes deve saber quem contatar, quando for apropriado contatar
e o porquê. Em particular, analise os piores cenários potenciais – por exemplo, um sistema de
pedidos on-line caindo bem no meio da Black Friday – e identifique a equipe essencial que pode
colocar esses sistemas críticos de volta on-line, bem como a equipe de gerenciamento que precisará
permanecer atualizando as informações ao longo da crise. Será útil documentar quando é ou não
apropriado incluir a aplicação das autoridades da lei durante um incidente, portanto tenha sempre
essa lista de contatos à mão na hora da necessidade.

56
Checklist de sistemas de backup
Cada sistema terá um conjunto diferente de checklist de tarefas com base no sistema
operacional e configurações específicas. É importante observar o tempo que leva para restaurar as
operações e também testar o backup completo do sistema e a recuperação do sistema afetado
enquanto se documenta cada checklist. Também deve haver etapas específicas listadas para testar e
verificar se todos os sistemas comprometidos estão completamente limpos e funcionais.

Checklist de pós-incidente
As lições mais importantes a aprender depois de um incidente são como evitar que um
incidente semelhante aconteça no futuro. Além de possíveis atualizações na política de segurança,
os incidentes devem incluir atualizações no programa de conscientização de segurança porque,
invariavelmente, a maioria dos incidentes resulta da falta de educação do usuário sobre as melhores
práticas básicas de segurança. No mínimo, esse checklist deve ter:
 quando o problema foi detectado pela primeira vez, por quem e por qual método;
 o escopo do incidente;
 como foi contido e erradicado;
 o trabalho realizado durante a recuperação;
 áreas onde as equipes de resposta a incidentes foram eficazes;
 áreas que precisam de melhorias;
 quais controles de segurança falharam, incluindo as ferramentas de monitoramento;
 como se pode melhorar esses controles e
 como melhorar os programas de conscientização de segurança.

57
MÓDULO IV – CIBERSEGURANÇA COMO
FACILITADORA DA GOVERNANÇA

Neste módulo, analisaremos aspectos da cibersegurança relacionados à governança corporativa,

sejam exigências, sejam recomendações de mercado, visando propor um caminho em que a
cibersegurança fortaleça a retaguarda operacional da organização. Além disso, veremos a importância
da integração da cibersegurança com outros times e outras áreas dentro das organizações,
especialmente em tempos de Lei Geral de Proteção de Dados Pessoais (LGPD).

Governança corporativa e cibersegurança

Enquanto a governança corporativa se ocupa de garantir que os agentes, de forma adequada
executem as tarefas e os procedimentos necessários para a implementação das estratégias do negócio,
com o objetivo de atender aos interesses do principal; a governança de TI deve ocupar-se da
administração de TI, para garantir que esta seja efetiva em trazer os benefícios esperados pelo
negócio, como exemplificado na figura 11, a seguir.
 Figura 11 – Governança de TI

Fonte: elaborado pelo autor

Em outras palavras, governança de TI significa tomar conta da administração de TI, que é

composta basicamente de seis temas principais:
 alinhamento – a TI não deve ser encarada como fim em si, mas, sim, como meio para que
o negócio consiga atingir os seus objetivos, e isso somente é possível quando existe uma
conversa constante entre a área de TI e as áreas de negócio;
 suporte – nos momentos em que a TI venha a apresentar problemas, é importante um
rápido atendimento e tratamento da questão para que se volte às atividades da empresa;
 operações – para a empresa funcionar bem, é preciso que a TI também esteja funcionando
a contento, e para tanto são necessários diversos procedimentos rotineiros da área de TI;
 resiliência – faz referência à capacidade da TI se adaptar às necessidades do negócio, por
vezes expandindo e por vezes contraindo, obviamente, sem desperdiçar recursos;
 alavancagem – capacidade da TI de colocar o negócio em posições de aproveitar novas
oportunidades e
 futuro – como as tendências e as novidades na área de tecnologia podem afetar o negócio
e como se preparar para isso.

Devido à falta de maturidade na gestão de TI encontrada em muitas empresas, a maior parte

do tempo e da energia da área de TI dessas empresas é dedicada aos temas suporte e operações,
sobrando bem pouco tempo para se olhar para os temas, de fato, mais relevantes, que são
alinhamento, alavancagem e futuro.
Como já sabemos, para que consiga extrair os melhores benefícios do uso de TI, a empresa
precisa saber o que está fazendo, precisa ter maestria para administrar todos os recursos envolvidos
na área. Por essa razão, o tema governança de TI se faz tão importante, pois uma boa governança
de TI aumenta muito a possibilidade de a empresa tratar do assunto de modo inteligente e dessa
maneira conseguir atingir melhores resultados.

60
 Uma governança de TI adequada tem de, em primeiro lugar, garantir que as estratégias de
TI estejam alinhadas com as estratégias do negócio, então o primeiro requisito necessário é o correto
entendimento da estratégia do negócio, definindo inclusive qual papel a TI vai desempenhar no
negócio, para assim começar a desenhar o planejamento das estratégias de TI.
Governança de TI também e principalmente tem de ajudar a responder a algumas questões
importantes para o negócio, entre elas:
 Os seus recursos de TI aumentam a sua competitividade?
 Os administradores da sua organização assumem responsabilidade pela gestão e pelo uso
efetivo da TI, ou presumem que o departamento de TI dará conta disso?
 Os seus investimentos de TI têm como alvo prioridades estratégicas da empresa como um
todo, ou a sua empresa desperdiça recursos em iniciativas táticas diversas?
 A sua empresa tem retornos aceitáveis dos seus investimentos em TI?

Diversas pesquisas apontam que empresas que conseguem obter sucesso nos seus processos
de governança de TI apresentam os seguintes aspectos:
 garantia de interdependência entre o seu planejamento estratégico e as suas atividades de TI;
 alinhamento da TI com a capacidade da organização de obter vantagem das suas informações,
maximizando benefícios, capitalizando oportunidades e ganhando vantagem competitiva;
 todos os resultados de TI medidos e analisados;
 participação da alta gerência na identificação de indicadores necessários para essas avaliações e
 responsabilidade dos executivos do negócio, e não somente dos executivos de TI.

É papel da governança de TI nos ajudar a entender quais decisões devemos tomar na empresa
sobre o assunto, quem deve tomar tais decisões e como monitorar tais decisões e efeitos. Na
definição do pesquisador e professor da MIT Sloan School of Management, Peter Weill, governança
de TI trata da especificação dos direitos decisórios e do framework de responsabilidades para
estimular comportamentos desejáveis na utilização da TI.

Governança de TI e planejamento estratégico

Um planejamento estratégico definido é fator crítico de sucesso para a atuação no mercado
de vulnerabilidades, assim como é fundamental para a correta atuação e inserção na área de
segurança cibernética, mais especificamente para a investigação no mercado de vulnerabilidades
de sistemas computacionais, seja ela com o intuito de trabalho forense, seja ela para a atuação
contra o crime cibernético.

61
 Essa atuação parece ser considerada por diversos países como atividade sistemática, contínua,
merecedora de alocação de recursos humanos, tecnológicos e financeiros, caracterizando-se, portanto,
como estratégica para tais países. Vale ressaltar que a área cibernética não é um espaço para ações
estanques e isoladas, sem foco e muito menos sem objetivo concreto. Dessa forma, é estratégica também
a geração de conhecimento específico sobre os processos e as tecnologias de produção de exploits, o que
é fundamental para a consecução do entendimento e o avanço da análise de ameaças cibernéticas.
O alinhamento entre a estratégia de TI e as estratégias de negócios é a principal questão
a ser tratada para uma boa gestão de TI nas empresas, e esse assunto tem início na visão que se
tem sobre o papel que a TI deve desempenhar no negócio, tema já tratado inclusive por
McFarlan e apresentado anteriormente.
Alguns acreditam que TI tem um papel estratégico no negócio, sendo até mesmo vista como
um recurso para reconfigurar modelos de negócios e, no limite, pode redefinir a competitividade
habilitando a chamada inovação disruptiva; enquanto outros acreditam que TI não deve ser
tratada como um assunto estratégico, visão também compartilhada pelo pesquisador e autor
americano Nicholas Carr.
Entretanto, independentemente da visão que se tenha, após a empresa já ter superado os
estágios iniciais do uso de TI, as operações se tornam cada vez mais dependentes dos sistemas de
informação, de modo que se o sistema integrado parar o negócio também para. Então, quanto mais
a empresa usa TI, quanto mais ela gasta dinheiro em TI, quanto mais maturidade ela alcança, mais
estará dependente do uso de TI.
É importante ressaltar também que a empresa só vai conseguir extrair benefícios tangíveis do
uso de TI, seja redução de custos, aumento de produtividade, melhoria de qualidade, ou maior
flexibilidade para poder se transformar, à medida que ganhe maturidade. Portanto somente em
estágios mais avançados de maturidade é que a TI não apenas dá suporte ao negócio, mas também
influencia os planos de negócio, e é nesse estágio que pode contribuir para agregar valor aos
produtos e serviços ou aos processos internos.
Por isso é imperativo às empresas que busquem maior maturidade no uso de TI, para assim
conseguirem fazer com que esta funcione como meio para ajudar o negócio a atingir os seus objetivos.
Em outras palavras, para conseguirem fazer com que haja o alinhamento entre a estratégia de TI e as
estratégias de negócios, e não veja as questões relativas à segurança da informação comprometidas.

Governança de TI: matriz de arranjos de governança

O professor Peter Weill nos propõe um modelo para que nos aprofundemos no entendimento
de governança de TI, modelo chamado por ele de Matriz de Arranjos de Governança, por meio do
qual ele aponta algumas decisões críticas que precisam ser tomadas sobre TI no negócio, bem como
quem deveria tomar tais decisões, conforme figura 12, a seguir.

62
 Figura 12 – Matriz de arranjos de governança

estratégias de necessidades de
princípios de TI arquitetura de TI investimentos em TI
infraestrutura de TI aplicações de negócio

contribuição decisão contribuição decisão contribuição decisão contribuição decisão contribuição decisão

monarquia
de negócio

monarquia
de TI
estilos de governança

feudalismo

federalismo

duopólio

anarquia

Fonte: Center for Information Systems Research (CISR) da MIT Sloan School

De acordo com o modelo do professor Peter Weill, existem cinco decisões críticas que estão
inter-relacionadas, são elas:
 princípios de TI – esclarece o papel de negócio da TI;
 arquitetura de TI – define a organização lógica de dados, aplicações e infraestruturas, a
partir de um conjunto de políticas, relacionamentos e opções técnicas adotadas para obter
a padronização e a integração técnica e de negócio desejadas;
 infraestrutura de TI – determina como os serviços de TI serão coordenados, se de
maneira centralizada e compartilhada, se vai terceirizar, como vai prover o suporte, entre
outras questões;
 necessidade de aplicações do negócio – especifica a necessidade comercial de aplicações de
TI compradas ou desenvolvidas internamente e
 investimentos e priorização de TI – escolhe quais iniciativas financiar e quanto gastar.

Outra questão importante para uma boa governança de TI é saber quem tomará cada uma
das decisões expostas acima, e o professor Peter Weill nos aponta seis possibilidades, que no seu
modelo ele chama de estilos de governança, apontando quem decide:
 monarquia de negócio – grupo de executivos de negócios, inclui comitês de executivos
seniores de negócios, podendo incluir o CIO;
 monarquia de TI – grupo de executivos de TI;
 feudalismo – líderes das unidades de negócio, detentores de processos-chave ou os seus
delegados, decidindo dentro das próprias áreas;

63
  federalismo – executivos responsáveis pelas áreas de negócios, grupos de negócios,
incluindo executivos de TI como participantes adicionais, decidindo em conjunto;
 duopólio de TI – executivos de TI e um outro grupo e
 anarquia – usuário individual.

Como todos os outros modelos, a Matriz de Arranjos de Governança nos ajuda a entender
melhor o contexto que desejemos analisar, ou seja, o modelo não vai dizer o que é certo ou errado,
mas, sim, nos ajudará a enxergar o que está acontecendo, para auxiliar nas tomadas de decisão.
Portanto não existem “fórmulas mágicas”, para cada situação podemos escolher um estilo que nos
pareça mais adequado, o que dependerá também de outros aspectos, como a cultura da empresa, a
urgência da decisão, as preferências particulares dos gestores, e assim por diante.
Por exemplo, ao compararmos o feudalismo com o federalismo, ambos têm pontos positivos e
pontos negativos. Enquanto o federalismo favorece o engajamento de todos e também pode contribuir
para uma diminuição de riscos, também é um estilo por demais moroso, consumindo muito tempo
para a tomada de decisões. Já o feudalismo tem como principal vantagem a celeridade, uma vez que não
envolve tantas pessoas, mas por sua vez pode acarretar maiores riscos e dificuldades na implantação.

Governança de TI: quadros de referência ou framework

Uma abordagem mais operacional de governança de TI leva em conta os chamados “quadros
de referência”, ou frameworks, que são ferramentas para ajudar a verificar se a TI está sendo
administrada de maneira adequada, segundo essas referências.
Os principais quadros de referência hoje utilizados pelas empresas são:
 Control Objectives for Information and Related Technology (Cobit), que na versão atual
Cobit-5, envolvendo cinco princípios:
 reunir as necessidades dos stakeholders – o Cobit-5 provê todos os processos requeridos
e outros facilitadores para suportar a criação de valor ao negócio;
 cobrir a organização fim a fim – abranger todas as funções e os processos dentro da
organização, tratando informação e tecnologia como ativos que precisam ser
negociados como qualquer outro bem dentro da empresa;
 aplicar um framework único e integrado – framework que deve estar alinhado com
outras normas e melhores práticas, que sirva como padrão geral para a governança
da TI corporativa;
 aplicar uma abordagem holística – definir um conjunto de facilitadores para apoiar a
implementação de uma governança global e um sistema de gestão da TI corporativo;
 separar governança de gerenciamento – duas disciplinas que englobam diferentes tipos
de atividade, exigindo diferentes estruturas organizacionais e servindo a diferentes
objetivos dentro da organização.

64
  Information Technology Infrastructure Library (Itil), que na versão atual, Itil V4,
apresenta a estrutura principal de Sistema de Valor de Serviço (SVS) composto de sete
princípios orientadores:
 focar o valor – entregar valor para as partes interessadas, abrangendo várias perspectivas,
incluindo a experiência dos clientes, colaboradores, parceiros e acionistas;
 começar de onde você está – não comece do zero, construa algo considerando o que já
está disponível para ser aproveitado;
 progredir iterativamente com feedback – não tente fazer tudo de uma vez, organize o
trabalho em partes menores e gerenciáveis, sabendo que o uso de feedback antes,
durante e após cada iteração garantirá que as ações sejam focadas e apropriadas;
 colaborar e promover visibilidade – trabalhar de forma colaborativa com times
multidisciplinares produz melhores resultados;
 pensar e trabalhar holisticamente – os resultados são entregues aos clientes internos e
externos por meio de uma gestão eficaz e eficiente com a integração dinâmica de
informações, tecnologia, pessoas, práticas, etc.
 manter as coisas simples e práticas – produzir soluções simples e práticas para entregar
os resultados desejados, eliminando tudo aquilo que não gere valor.
 otimizar e automatizar – a intervenção humana só deve acontecer quando realmente
contribuir com a geração de valor, por isso procure automatizar atividades simples
e rotineiras.
 Capability Maturity Model Integration (CMMI), que apresenta três modelos:
 CMMI for Development (CMMI-DEV) – voltado ao processo de desenvolvimento de
produtos e serviços;
 CMMI for Acquisition (CMMI-ACQ) – voltado aos processos de aquisição e
terceirização de bens e serviços e
 CMMI for Services (CMMI-SVC) – voltado aos processos da prestação de serviços.
 ISO 9000-3 – destina-se a fornecer orientação quando um contrato entre duas partes
exigir a demonstração da capacidade do fornecedor em desenvolver, fornecer e manter
produtos de software.

Já para contrapor as ameaças cibernéticas de forma mais direta é interessante também a

implementação das metodologias mais pertinentes a cada situação/organização, conforme as
diversas certificações relacionadas à segurança digital, entre elas:
 Norma ISO/IEC 27001 – uma norma internacional de gestão de segurança da
informação, que tem como principal objetivo o atendimento de uma série de requisitos,
processos e controles, que visam gerir a segurança da informação em uma empresa.

65
 A implementação da norma ISO 27001 busca garantir um alto compromisso com a proteção
da informação, que é uma das principais preocupações da atualidade, oferecendo às empresas uma
referência e as melhores práticas para identificar, analisar e implementar controles para gerenciar
riscos de segurança da informação e proteger a confidencialidade, a integridade e a disponibilidade
de dados essenciais aos negócios.
Na prática, uma empresa com a certificação ISO 27001 garante ao mercado que ela se
preocupa com a disponibilidade, a confidencialidade e a integridade da informação, ou seja, é uma
organização em que se pode oferecer informações pessoas com segurança, pois há garantias de que
estão sendo bem geridas.
A ISO 27001 tem um foco organizacional e detalha os requisitos pelos quais o sistema de
gerenciamento de segurança de informação de uma organização pode ser auditado.

 Norma ISO/IEC 27002 – fornece diretrizes para práticas de gestão de segurança da

informação e normas de segurança da informação para as organizações, incluindo a
seleção, a implementação e o gerenciamento de controles, levando em consideração os
ambientes de risco da segurança da informação da organização.

Esta norma é projetada para ser usada por organizações que pretendam:
a) selecionar controles dentro do processo de implementação de um sistema de gestão da
segurança da informação baseado na ISO/IEC 27001;
b) implementar controles de segurança da informação comumente aceitos;
c) desenvolver os seus próprios princípios de gestão da segurança da informação.

A ISO 27002 é mais focada no indivíduo e fornece um código de prática para uso por
indivíduos dentro de uma organização.

66
BIBLIOGRAFIA
Livros
ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Estratégias de governança de tecnologia
da informação. São Paulo: Elsevier, 2010.

ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Tecnologia de informação e desempenho

empresarial: as dimensões de seu uso e sua relação com os benefícios de negócio. São Paulo:
Atlas, 2012.

WEILL, Peter; ROSS, Jeanne W. Governança de TI. São Paulo: M.Books, 2006.

Artigos
ABRAHAM, C.; SIMS, R. R.; GREGORIO, T. Develop your cyber resilience plan, 2020.

ALBUQUERQUE, R. O.; SOUSA Júnior, R. T. de; COSTA, J. P. C. T. Um Levantamento

sobre o mercado de exploração de vulnerabilidades do espaço cibernético. Departamento de
Engenharia Elétrica, Universidade de Brasília (UnB), 2015.

CARR, N. G. TI já não importa. HBR Brasil, 2003.

COWAN, C.; GASKINS, C. Monitoring physical threats in the data center. American Power
Conversion, 2006.

CYBERSECURITY GOVERNANCE GUIDELINES. Information Technology Authority,

Governance & Standard Division, 2007.

GOUVEIA, L. B. O recurso e a contribuição potencial da inteligência artificial para a

cibersegurança em ambientes digitais. Universidade Fernando Pessoa, 2016.

HEPFER, M.; POWELL, T. C. Make cybersecurity a strategic asset. MIT Sloan Review, 2020.

HUANG, K.; SIEGEL, M.; PEARLSON, K.; MADNICK, S. Casting the dark web in a new
light. MIT Sloan Review, 2019.

HUMAYUN, M.; NIAZI, M.; JHANJHI, N. Z.; ALSHAYEB, M.; MAHMOOD, S. Cyber
security threats and vulnerabilities: a systematic mapping study. Arabian Journal for Science
and Engineering, 2020.

67
HUSSAIN, S. N.; SINGHA, N. R. A survey on cyber security threats and their solutions.
International Journal for Research in Applied Science & Engineering Technology, 2020.

KLINCZAK, M. Uso da inteligência na detecção de ameaças cibernéticas. MIS Quarterly, The

Eleventh International Conference on Forensic Computer Science and Cyber Law, 2014.

KWON, J.; JOHNSON, M. E. Proactive versus reactive security investments in the healthcare
sector. MIS Quarterly, 2014.

PEREIRA, C. R. Sistema de detecção de intrusão usando big data, inteligência artificial e

sistemas colaborativos. Escola de Comando e Estado-Maior do Exército, 2020.

ROSS, J. W.; WEILL, P. Seis decisões que sua equipe de TI não deve tomar. HBR Brasil, 2002.

SCHINAGL, S.; SCHOON, K.; PAANS, R. A framework for designing a security operations
centre (SOC), 2015.

SOLMS, R.; NIEKERK, J. From information security to cyber security. School of ICT, Nelson
Mandela Metropolitan University, 2013.

SUÁREZ, F.; LANZOLA, G. A meia verdade da vantagem do pioneiro. HBR Brasil, 2005.

TISDALE, S. M. Cybersecurity: challenges from a systems, complexity knowledge

management and business intelligence perspective. Issues in Information Systems, 2015.

VENKATRAMAN, N. IT-enabled business transformation: from automation to business scope

redefinition. MIT, SMR, 1994.

WILSON, S. A.; HAMILTON, D.; STALLBAUM, S. The unaddressed gap in cybersecurity:

human performance. MIT Sloan Review, 2020.

68
PROFESSOR-AUTOR
Álvaro Luiz Massad Martins
Formação acadêmica:
 Doutor, mestre e graduado em Administração de Empresas pela
Escola de Administração de Empresas de São Paulo da Fundação
Getulio Vargas (FGV Eaesp).

Experiência profissional:
 Mais de 30 anos de experiência no segmento de TI, tendo atuado em posições de direção
em empresas como: Alcatel-Lucent, Mandriva, PCS do Brasil, Intelbras, Diveo, Embratel,
Datasites, Xerox e American Express.
 Atualmente, é diretor executivo da IT by Insight, empresa de consultoria na área de TI,
que tem por missão maximizar a performance dos negócios dos seus clientes, ajudando-os
na jornada em direção à transformação digital.

69
70