Como citar este material:

MARTINS, Álvaro Luiz Massad. Cibersegurança: Anatomia Clássica de um Ciberataque.

Rio de Janeiro: FGV, 2022.

Todos os direitos reservados. Textos, vídeos, sons, imagens, gráficos e demais componentes
deste material são protegidos por direitos autorais e outros direitos de propriedade intelectual, de
forma que é proibida a reprodução no todo ou em parte, sem a devida autorização
SUMÁRIO
CIBERSEGURANÇA: ANATOMIA CLÁSSICA DE UM CIBERATAQUE .................................................... 5

INTRODUÇÃO ..................................................................................................................................... 5
Histórico de TI nas organizações ............................................................................................. 7
Era do computador.................................................................................................................... 9
Era da informação ..................................................................................................................... 9
TRANSFORMAÇÃO DIGITAL E CIBERSEGURANÇA ........................................................................ 10
Maturidade e papel de TI ........................................................................................................ 11
Maturidade e papel de TI nas pequenas e nas médias empresas.................................... 16
SEGURANÇA DA INFORMAÇÃO: UM TEMA CORPORATIVO ........................................................ 18
Empresas no contexto da cibersegurança ........................................................................... 19
Desafios de segurança corporativa ....................................................................................... 20
ANATOMIA CLÁSSICA DE UM ATAQUE E OPÇÕES DE PROTEÇÃO ............................................. 21
TIPOS DE ATAQUES CONHECIDOS ................................................................................................ 24
Engenharia social ..................................................................................................................... 24
Ransomware .............................................................................................................................. 24
Ataques DDoS........................................................................................................................... 25
Software de terceiros ............................................................................................................... 25
Vulnerabilidades de computação em nuvem ...................................................................... 25
Virus e outros ataques que visam prejudicar ou inibir o funcionamento de processos ou
sistemas .................................................................................................................................... 26
Furto de identidade (identity thief) ......................................................................................... 26
Golpe do boleto falso .............................................................................................................. 27

BIBLIOGRAFIA ...................................................................................................................................... 29

PROFESSOR-AUTOR ............................................................................................................................. 31

ÁLVARO LUIZ MASSAD MARTINS ................................................................................................... 31

Formação acadêmica: ............................................................................................................. 31
Experiência profissional: ......................................................................................................... 31
CIBERSEGURANÇA: ANATOMIA CLÁSSICA
DE UM CIBERATAQUE

Neste curso, faremos uma reflexão a respeito do valor da inteligência sobre as ameaças
cibernéticas, entendendo a importância de se pensar em segurança da informação como um tema
corporativo, que envolve todas as áreas da organização. Conheceremos a anatomia clássica de um
ataque, para assim facilitar a identificação de uma ameaça, entendendo as opções de proteção
reativas e proativas contra ameaças cibernéticas.

Introdução
O objetivo final de uma empresa é alcançar lucro perene, e, para tanto, busca fazer o melhor
uso possível dos seus recursos, alocando-os de acordo com as estratégias de negócio traçadas, para
desse modo buscar competitividade. Muitas são as teorias acadêmicas que nos mostram tal fato,
bem como a observação do cenário corporativo também pode comprovar.
Ao longo do tempo, vemos a atenção se deslocar de um tipo de recurso para outro. Dessa
forma, os primeiros pensadores da moderna ciência da administração surgida após a chamada
Revolução Industrial focam as suas teorias na organização da produção, como fizeram Frederic
Taylor (1903) e Henri Fayol (1916), as quais foram seguidas e implementadas por empresários
como Henry Ford, fundador da Ford.
Logo em seguida, vemos também as teorias focarem os recursos humanos, tanto nos trabalhos
da psicóloga Lilian Gilbreth, precursora da psicologia aplicada ao trabalho, que defendeu a ideia de
que o aumento da produtividade depende fundamentalmente da atitude dos empregados, das
oportunidades a eles oferecidas e do ambiente físico no local de trabalho, quanto nas contribuições
seguintes de psicólogos e sociólogos como Elton Mayo e Mary Parker Follet, culminando com o
surgimento da Teoria das Relações Humanas em 1940.
 Mais adiante, na década de 1950, logo após a II Guerra Mundial, surgiu o conceito moderno
de marketing, e as teorias se deslocaram também para o estudo dos mercados, com as primeiras
teorias de Levitt, Drucker e Kotler.
Mais recentemente, e cada vez mais, vemos a tecnologia desempenhar um papel relevante
nas empresas, tornando-se assim um recurso dos mais importantes na busca pelo objetivo final
de qualquer empresa.
Conforme podemos ver em diversos trabalhos acadêmicos já realizados, a tecnologia sempre
foi uma variável central na teoria organizacional, e o seu uso pelas empresas se intensifica, como
apontam os gastos cada vez maiores. No Brasil, o total anual de gastos e investimentos em TI nas
empresas, quando medido como um percentual da receita, cresceu a uma taxa média de 8,0% ao
ano, conforme apontado por pesquisa que vem sendo realizada há mais de 30 anos pelo Centro de
Tecnologia de Informação Aplicada (FGVcia) da Escola de Administração de Empresas de São
Paulo da Fundação Getulio Vargas (FGV Eaesp).
Uma questão também central quanto ao uso de TI pelas empresas é verificar se tal prática
leva à melhoria do desempenho, fato ainda com resultados controversos, uma vez que alguns
estudos apontam resultados positivos, enquanto outros dizem que não há relação, ou até mesmo
que os resultados são negativos, havendo espaço para maior entendimento.
Tanto as organizações como a tecnologia têm passado por dramáticas mudanças no formato
e na função, consequentemente também é imperativa a mudança nas formas de gestão e de
avaliação. O ritmo vertiginoso de mudança no mundo da tecnologia e as mudanças que a TI pode
trazer para os negócios elevam os assuntos relativos à TI a um alto grau de importância, tanto que
nesta nova realidade, as organizações se tornam virtuais em um ambiente totalmente
interconectado, o que tem exigido mudanças significativas nas diretrizes organizacionais, inclusive
na sua estrutura e nas regras de autoridade e responsabilidade.
As mudanças são tão profundas no uso de TI pelas empresas e pelas pessoas, levando o
conceito de computação ubíqua a ser uma realidade presente nos nossos dias, que até mesmo o
estudo da área deveria levar isso em conta, expandindo o escopo das pesquisas, portanto, neste atual
estágio de informatização, em que vemos muitas empresas convivendo em um ambiente de total
digitalização, os desafios para a gestão em alto desempenho são enormes.
Uma complexidade ainda maior é encontrada ao analisar as pequenas e as médias empresas,
que, apesar de desempenharem um importante papel no desenvolvimento econômico e social no
mundo todo, não podem ser vistas com as mesmas lentes usadas relativamente às grandes empresas.
Com base nessas mudanças e em alguns fatores, como o crescente ambiente de negócios
digitais, nota-se o papel de políticos e governos criando leis que obrigam as pequenas empresas a se
informatizarem, e os fornecedores de tecnologia cada vez mais enxergando as pequenas e as médias
empresas como potenciais clientes.

6
 Por todo o exposto e em função do uso crescente de TI pelas empresas, é imperativo que o
tema cibersegurança ganhe também maior relevância. Uma primeira abordagem que se faz
necessária é entender o nível de maturidade em gestão de TI em cada empresa em particular, o que
vai impactar sobremaneira a gestão de ciberameaças também.

Histórico de TI nas organizações

Com o intuito de entender o histórico de TI nas organizações, e desse modo contextualizar e
entender melhor onde estávamos e para onde estamos indo, podemos observar a evolução da
informática dividindo-a em dois momentos distintos: a Era do Computador e a Era da Informação.
No ambiente das empresas, quando pensamos em TI estamos pensando fundamentalmente em
informação, especialmente para tomar boas decisões. O papel central das informações nos negócios
não é uma característica nova, ao contrário, desde sempre na história da administração de empresas a
informação vem tendo um lugar de protagonismo. O que podemos considerar novidade é o aumento
crescente do volume de informações, bem como o valor dessas informações para a tomada de decisão.
Esse gigante volume de informações que temos disponíveis atualmente leva-nos até a cunhar um novo
termo, o chamado big data, para fazer referência a esse contexto de explosão de informações.
A informação é o insumo básico para a inteligência na tomada de decisão, pois enquanto no
passado era comum se tomar decisão baseado somente em feeling, quando a experiência contava
muito; hoje se busca intensamente a inteligência, derivada de informação, para tomar decisões
consistentes, baseadas em dados e fatos.
O valor das informações também é muito diferente do que foi no passado, como exemplo,
pensemos em uma reunião de diretoria com gerentes há 30 anos: se algum gerente tivesse alguma
nova informação relevante, e a apresentasse na reunião, esse fato seria visto como positivo, a
pessoa ficaria valorizada, pois mostraria que era bem informada. Nesse sentido, o fato de ter a
informação significava poder.
Hoje, a mesma situação, isto é, apresentar uma informação relevante somente na reunião,
pode significar até mesmo um problema, pois a informação deveria ter sido compartilhada no
momento em que se soube dela.
Por outro lado, ao olharmos a competição entre empresas, a complexidade dos negócios hoje
é muito maior do que era no passado, o nível de competição está muito mais acirrado na maioria
dos mercados, fato que não deriva exclusivamente de TI, mas também de vários outros fatores, por
exemplo, a globalização. Essa competição maior exige que as empresas sejam mais competitivas, e
para ser mais competitiva a empresa precisa ter informações mais apuradas para tomar boas decisões,
de onde concluímos que o aspecto central para o sucesso da gestão é o bom uso das informações,
que é justamente o centro da nossa conversa na área de TI.

7
 Um esclarecimento inicial se faz necessário sobre o nome da nossa área: enquanto no passado
nos referíamos à Informática, no presente chamamos a área de Tecnologia da Informação, e, ainda,
se nos restringirmos ao ambiente acadêmico, o nome mais comum é Sistemas de Informação.
Quanto ao entendimento do que seja TI, vamos definir como sendo qualquer conjunto de
hardware, software e pessoas; e o primeiro grande desafio para uma boa gestão de TI é justamente a
integração de todos esses elementos, de tal maneira que não se enxergue TI como fim em si, mas,
sim, como meio para ajudar o negócio a atingir os seus objetivos.
Olhando ao longo da história, notamos em primeiro lugar uma crescente redução de custos
de TI nas empresas, seja hardware, seja software, telecomunicações e até mesmo transformação de
modelos de negócios dos ofertantes de TI, pois hoje é muito comum tratar a tecnologia como
serviço, e aqui nos referimos à computação em nuvem, ou cloud computing, em que a empresa
contrata somente o necessário, pode ter uma escalabilidade rápida para satisfazer novas necessidades
e não desperdiça recursos.
Um aspecto interessante que vale ressaltar é que, apesar dessa redução de custos para a
obtenção de TI, o gasto total das empresas com tecnologia aumenta a cada ano, fato apontado por
pesquisa que vem sendo realizada há mais de 30 anos pelo FGVcia.
Um segundo aspecto que observamos também com muita clareza é que cada vez mais
encontramos todos os funcionários da empresa atuando como usuários de TI, o que não era comum
até meados dos anos 1980, pois, quando se olhava para informática, o mais comum era se encontrar
a figura do “usuário-chave”, que de alguma forma interagia com a área.
Hoje, por sua vez, é muito comum encontrarmos todos os funcionários da empresa como
usuários de TI, porque a TI de muitas maneiras permeia todos os processos de negócio das empresas,
o que, obviamente, também contribui para a mudança de muitos processos de trabalho, mudando
a forma como as pessoas fazem as suas tarefas.
Justamente aqui, encontramos um terceiro aspecto fundamental que notamos ao olhar a evolução
do uso de TI pelas empresas: o uso cada vez mais intensivo de TI implica a mudança nos processos e
nas formas de trabalho na empresa, o que também poderá trazer uma resistência das pessoas às mudanças
necessárias. Como bem sabemos, muitas pessoas não gostam de mudanças, e tentarão resistir ao
máximo, o que pode significar muitas vezes uma sabotagem às novas tecnologias e processos.
Portanto, ao pensarmos o uso de TI pelas empresas, não podemos esquecer a dimensão
pessoas, e devemos buscar maior entendimento para fazer com que a adoção de novas tecnologias
aconteça da forma mais tranquila possível.
Para entendermos um pouco melhor a realidade da empresa no que diz respeito a esses três
aspectos – redução de custos de TI, aumento de usuários na empresa, resistência humana às novas
tecnologias –, vamos utilizar o modelo com os dois momentos distintos: a Era do Computador e a
Era da Informação. Entretanto lembremos que, como qualquer modelo, este também é uma
redução da realidade, mas nos permite melhor entendimento à medida que nos traz maior clareza
dos contextos. Com isso podemos pensar esse modelo como duas fotos distintas, uma tirada no
passado e a outra no presente, e cada uma delas nos mostra um cenário bem diferente do outro.

8
Era do computador
A área de informática era administrada pelo gerente do Centro de Processamento de Dados
(CPD), que fundamentalmente era um profissional de formação técnica, um gestor de nível
hierárquico médio, que tinha como principal missão garantir que o computador estivesse sempre
funcionando, para assim garantir ganhos de produtividade em vários processos de negócio da empresa.
O computador, que ainda era uma máquina de grande porte, o chamado mainframe, era o recurso
focado, era o protagonista. Esses equipamentos eram caros e, por essa razão, o gerente do CPD muitas
vezes se reportava ao executivo financeiro da organização, que era quem assinava o cheque.
Nesse momento, somente gestores também de nível hierárquico médio se envolviam com o
tema na empresa, não era comum que os principais gestores se envolvessem com o assunto, pois,
apesar de o computador custar caro, o investimento total feito em informática não era muito elevado;
na verdade, era bastante conservador.

Era da informação
Neste momento, o contexto muda bastante, a área de TI passa a ser gerenciada pelo Chief
Information Officer (CIO), que deve reportar-se ao Chief Executive Officer (CEO). O CIO é um
profissional de nível hierárquico elevado, cuja competência necessária não se limita mais a aspectos
técnicos, mas acima de tudo deve entender o negócio e pensar como um estrategista. A sua principal
missão é promover o alinhamento entre a TI e o negócio, para desse modo buscar níveis mais
elevados de competitividade.
O recurso focado não é mais o computador, mas, sim, os dados e a comunicação, muitas
vezes nem importando onde elas estão, se dentro da empresa ou na “nuvem”; o envolvimento com
o assunto não se limita mais a gestores de nível médio, ao contrário, a alta gestão da organização
também está bastante envolvida com o tema e com as decisões sobre TI, especialmente pelo fato de
agora as empresas gastarem fortunas com TI.
Como podemos perceber, são dois momentos com características bastante distintas, e esse
modelo nos ajuda a entender onde cada empresa se situa atualmente, mais próxima da Era do
Computador ou mais parecida com a Era da Informação. A partir desse entendimento, podemos
traçar melhor um diagnóstico de quais ações devemos empreender para conseguir fazer o melhor
uso possível de TI na empresa.
Lembremos que uma das principais competências de qualquer gestor é justamente a sua
capacidade de diagnosticar, para então tomar as decisões necessárias para atingir os seus objetivos,
e os modelos servem para nos ajudar nesse processo.
Ao observarmos a realidade das empresas e olharmos para o passado, podemos notar que o
“velho modelo econômico” tinha como característica grandes barreiras de entrada, a necessidade de
muito capital, a presença de economias de escala, com grandes volumes e pequenas margens. Era
um mundo em que só o forte sobrevivia.

9
 Olhando para hoje, o mais comum é encontrarmos um “novo modelo econômico”, em que
não importa mais somente ser grande, o que tem muito valor é ter criatividade, saber inovar, fazer
gestão do conhecimento. Neste momento, as barreiras de entrada são baixas ou até inexistentes, e
para sobreviver o aspecto mais importante é a agilidade.
Neste novo cenário, que parece ser o mais comum em diversos mercados, quanto mais
próxima da Era da Informação a empresa estiver maior agilidade terá para tomar decisões, e quanto
mais ágil for para tomar decisões maior a capacidade de sobreviver, maior será a sua capacidade de
competir. Por isso é imperativo que as empresas amadureçam na gestão de TI, caminhem no sentido
da Era da Informação, para que tenham maior competência para tomar boas decisões, em tempos
adequados, pois somente dessa forma conseguirão alcançar níveis de competitividade que as
permitam ter agilidade para desempenhos superiores.
Neste “novo modelo econômico”, também é bastante comum encontrarmos pequenas
empresas fazendo bastante sucesso, pois não há mais a necessidade de ser grande, de ter muito
capital, ao contrário, é muito comum encontrarmos grandes empresas que não conseguem fazer
essa transformação, justamente por serem grandes e não ágeis.
Obviamente, esse amadurecimento na gestão de TI será muito necessário para uma gestão
adequada das ciberameaças.

Transformação digital e cibersegurança

Em função do alto grau de competição na maioria dos mercados, as empresas se defrontam
com o desafio de se transformar para continuar tendo competitividade, e a tecnologia pode ser uma
aliada fundamental, e a importância de se pensar em segurança da informação cresce. Entretanto
não existe mágica, e muitas vezes o caminho não é fácil, exigindo não somente um grande esforço,
mas também profundas mudanças.
O alinhamento entre a estratégia de TI e as estratégias de negócios é a principal questão a ser
tratada para se ter sucesso nessa transformação digital, e esse assunto tem início na visão que se tem
sobre o papel que a TI deve desempenhar no negócio.
Alguns acreditam que a TI tem um papel estratégico no negócio, sendo até mesmo vista como
um recurso para reconfigurar modelos de negócios, e, no limite, redefinir a competitividade, habilitando
a chamada inovação disruptiva; enquanto outros acreditam que TI não deve ser tratada como um
assunto estratégico, visão também compartilhada pelo pesquisador e autor americano Nicholas Carr.
Independentemente da visão que se tenha, após a empresa já ter superado os estágios iniciais
do uso de TI, as operações se tornam cada vez mais dependentes dos sistemas de informação, de
modo que, se o sistema integrado parar, o negócio também para. Então, quanto mais a empresa usa
TI, quanto mais gasta dinheiro em TI, quanto mais maturidade ela alcança, mais a empresa estará
dependente do uso de TI.

10
 Importante ressaltar também que a empresa só vai conseguir extrair benefícios tangíveis do
uso de TI, seja redução de custos, seja aumento de produtividade, melhoria de qualidade, ou maior
flexibilidade para se transformar, à medida que ganhe maturidade.
Portanto somente em estágios mais avançados de maturidade é que a TI não apenas dá
suporte ao negócio, mas também influencia os planos de negócio, e é nesse estágio que pode
contribuir para agregar valor aos produtos e serviços ou aos processos internos.
Por isso é imperativo às empresas que busquem maior maturidade no uso de TI, para assim
conseguirem fazer com que TI funcione como meio para ajudar o negócio a atingir os seus objetivos,
em outras palavras, para que desse modo alinhem a estratégia de TI às estratégias de negócios e com
a gestão adequada de questões de cibersegurança.

Maturidade e papel de TI
Vale lembrar que, na ciência da administração de empresas, os trabalhos de pesquisa buscam
retratar as realidades existentes nas empresas, e, para tanto, o pesquisador vai às empresas para
verificar como os fenômenos estudados estão acontecendo; obviamente, com a metodologia
apropriada a cada caso em si, para ao final apresentar alguma resposta à pergunta de pesquisa, que
pode até mesmo se tornar uma teoria sobre o assunto.
Os conhecimentos adquiridos por meio dos processos de pesquisa são apresentados na forma
de artigos, seja em congressos, seja em revistas das respectivas áreas de conhecimento. Essa teoria
algumas vezes também pode ser apresentada na forma de um modelo, que tem a grande vantagem
de nos ajudar a enxergar a realidade. Os modelos funcionam como lentes, dando-nos parâmetros
para entender a realidade, e assim nos ajudam também a fazer diagnósticos.
Para se pensar gestão de TI nas empresas, devemos levar em conta dois modelos seminais
muito interessantes: o primeiro deles apresentado em 1979 pelo pesquisador e professor da Harvard
Business School, Richard L. Nolan, que aborda o tema “maturidade no uso de TI”; e o segundo do
pesquisador e também professor da Harvard Business School, F. Warren McFarlan, que no seu
modelo apresentado em 1984 aborda “os diferentes papéis que TI pode desempenhar no negócio”.
Em 1979, Nolan nos apresentou o resultado de uma pesquisa bastante abrangente realizada
por ele, por meio da qual percebeu que existiam alguns comportamentos semelhantes de algumas
empresas no que diz respeito a quatro dimensões:
 carteira de aplicações – projetos que tinham em desenvolvimento na área de TI da empresa;
 organização de processamento de dados – compreensão de como era organizada a área
de TI da empresa;
 planejamento e controle de processamento de dados – planejamento e controle da área
de TI da empresa e
 conhecimento do usuário – nível de conhecimento de TI dos funcionários da empresa.

11
 Nolan (1979) olhou para essas quatro dimensões em várias empresas e percebeu que tinham
comportamentos diferentes em cada uma, o que permitiu que ele criasse níveis, que chamou de
estágios de crescimento, apresentando uma primeira versão da pesquisa em 1979 com quatro
estágios, e um pouquinho mais à frente, em 1982, ele melhorou o modelo e chegou à sua versão
final em que propõe seis estágios – iniciação, contágio, controle, integração, administração e
maturidade – apresentados na figura 1.
Percebam que em 1979 a área era ainda chamada de Processamento de Dados, e por isso essa
nomenclatura é a que aparece no modelo, portanto onde lemos “processamento de dados” podemos
entender “TI”, e dessa forma o modelo continua válido, pois é o que chamamos de modelo seminal,
a partir do qual ainda continuamos a desenvolver conhecimento sobre o tema, modelo que ainda
nos ajuda a pensar gestão de TI nas empresas.

Figura 1 – Seis estágios de crescimento de processamento de dados

Fonte: Nolan (1979)

Ao analisarmos esse modelo, percebemos que existem níveis de maturidade diferentes na

gestão de TI, onde a linha tracejada que percorre o centro do modelo de baixo para cima e da
esquerda para a direita representa exatamente o nível de gastos em TI, que é uma das informações
mais importantes, qual é o gasto total da empresa com TI. Dessa forma, o modelo nos mostra que

12
existe uma profunda correlação entre gastos e nível de maturidade em TI. Lembremos que
maturidade não tem relação somente com tempo, mas sobremaneira com aprendizado; e a empresa
somente vai aprender a usar TI se efetivamente usá-la, ou seja, significa que para se conquistar
maturidade é necessário gastar com TI.
A linha tracejada que aparece no meio do modelo representa exatamente o nível de gastos
que vai crescendo à medida que a empresa vai conquistando maturidade no uso de TI; e nos mostra
que, quando a empresa está ainda em níveis iniciais de maturidade, ela apresenta baixo gasto, e para
a empresa conseguir alcançar níveis mais avançados de maturidade precisa gastar mais em TI.
Mas perceba que só gastar não é suficiente, a empresa precisa também estar aprendendo, e
esse é um aspecto que o modelo do Nolan (1979) nos traz, apontando em detalhe quais são as
características de uma empresa que tem baixa maturidade. Se olharmos, por exemplo, empresas
com baixa maturidade no uso de TI, encontraremos as seguintes características: a carteira de
aplicações conta exclusivamente com projetos relacionados à redução de custos; a organização da
área de TI leva em conta aspectos meramente técnicos; o planejamento e o controle da área são
frouxos, dessa forma, no máximo apresenta um planejamento orçamentário; e o conhecimento do
usuário na empresa como um todo é mínimo. Enquanto empresas com alta maturidade na gestão
de TI devem apresentar as seguintes características: os projetos existentes são relacionados com um
fluxo de informação e comunicação; a organização da área de TI é muito mais estratégica fazendo
gestão de dados; o planejamento e o controle da área são de fato estratégicos, alinhados com as áreas
de negócios; e o conhecimento do usuário como um todo é muito maior.
Uma primeira aplicação prática desse modelo é nos ajudar a entender onde se situa alguma
empresa que queiramos analisar, se com maior ou menor maturidade no uso de TI. Se a empresa
tem baixo nível de maturidade, não podemos esperar que ela consiga usufruir muitos benefícios do
uso de TI, pois para conseguir usufruir os benefícios do uso de TI ela deve ter maturidade; e o
modelo nos sugere ainda o que a empresa deveria buscar para atingir os níveis mais elevados de
maturidade e desse modo conseguir melhorar a sua competitividade.
O segundo modelo que apresentamos é o proposto por McFarlan em 1984, apresentado na figura
2, a seguir, que nos permite visualizar como a TI está relacionada à estratégia e à operação do negócio
da empresa. Tal modelo analisa o impacto das aplicações de TI presentes e futuras no negócio, definindo
quatro “quadrantes” que representam a situação para a empresa, com as seguintes definições:
 suporte – a TI tem pequena influência nas estratégias atual e futura da empresa. Não há
necessidade de posicionamento de destaque da área de TI na hierarquia da empresa.
Usualmente, é o que acontece em uma manufatura tradicional;
 fábrica – as aplicações de TI existentes contribuem decisivamente para o sucesso da
empresa, mas não estão previstas novas aplicações que tenham impacto estratégico. A área
de TI deve estar posicionada em alto nível hierárquico. O exemplo clássico é o caso das
companhias aéreas, que dependem dos seus sistemas de reservas de passagens, mas novos
desenvolvimentos apenas atualizam essas aplicações;

13
  transição – a TI passa de uma situação mais discreta (quadrante “suporte”) para uma de
maior destaque na estratégia da empresa. A área de TI tende para uma posição de maior
importância na hierarquia da empresa. O exemplo usualmente citado na bibliografia é a
editoração eletrônica. Hoje, o e-commerce apresenta o mesmo perfil, pois de um papel de
suporte na operação de uma empresa comercial passa a ser agente transformador do negócio;
 estratégico – a TI tem grande influência na estratégia geral da empresa. Tanto as aplicações
atuais como as futuras são estratégicas, afetando o negócio da empresa. Nesse caso, é
importante que a TI esteja posicionada em alto nível da sua estrutura hierárquica. Nos
bancos, por exemplo, a TI apresenta esse papel estratégico.

Figura 2 – Posição de sistemas de informação

Fonte: McFarlan (1984)

Nesse modelo, McFarlan (1984) nos apresenta outro aspecto muito importante para
entendermos a gestão de TI nas empresas, qual o papel que TI desempenha no negócio, e, para
tanto, ele olha para dois momentos distintos: ao citar o impacto estratégico dos sistemas
operacionais existentes, refere-se ao presente; enquanto impacto estratégico da carteira de aplicações
em desenvolvimento, refere-se ao futuro.
Com essas lentes, McFarlan (1984) pesquisou diversas empresas e percebeu a existência de
comportamentos semelhantes entre elas, para algumas empresas o impacto estratégico da TI no
presente é baixo, e o impacto estratégico da TI no futuro também é baixo. Ele classificou a posição
de TI como papel de suporte. Já no outro extremo, existem empresas cujo impacto estratégico da
TI no presente é alto, assim como o impacto estratégico da TI no futuro é alto, posição que ele
classificou como papel estratégico.

14
 Interessante observar que a teoria proposta por McFarlan (1984) leva em conta em grande
medida a teoria proposta por Nolan (1979), permitindo-nos chegar a algumas conclusões
fundamentais para um bom entendimento da gestão de TI.
Dessa forma, podemos perceber claramente a seguinte relação: empresas que têm baixa
maturidade normalmente gastam pouco com TI, e também enxergam TI como suporte, em que se
vê TI como custo. À medida que a empresa vai conquistando maturidade na gestão de TI, vai
também gastando cada vez mais com TI, e o papel que TI desempenha no negócio também vai
mudando, deixando de ser visto como suporte e passando a ter um papel estratégico no negócio.
Como vemos, essas duas teorias estão muito relacionadas e são consideradas conceitos
seminais para se tratar gestão de TI, tanto que os dois pesquisadores continuam as suas pesquisas e
em 2005 desenvolveram outro modelo em conjunto, chamado “Grid de Impacto Estratégico de
TI”, apresentado na figura 3, a seguir, por meio do qual apresentam evoluções sobre as suas teorias
com indicações interessantes para melhor governança das atividades de TI.

Figura 3 – Grade de impacto estratégico de TI

Fonte: Nolan e McFarlan (2005)

15
 Nesse modelo, Nolan e McFarlan (2005) nos propõem um olhar por meio de duas
dimensões: por um lado, a necessidade de tecnologias confiáveis; por outro, a necessidade de novas
tecnologias, ou seja, inovação.
Com essas lentes, os autores pesquisaram diversas empresas e uma vez mais perceberam a
existência de comportamentos semelhantes entre elas: empresas que apresentam baixa necessidade
de tecnologias confiáveis e baixa necessidade de inovação foram classificadas como modo suporte;
no outro extremo, empresas que apresentam alta necessidade de tecnologias confiáveis e alta
necessidade de inovação estão no modo estratégico.
Esse é mais um modelo com grande nível de detalhamento, ajudando-nos a entender e
diagnosticar onde se encontra a empresa que quisermos analisar, embasando-nos a tomar boas decisões.

Maturidade e papel de TI nas pequenas e nas médias empresas

As pequenas e as médias empresas também adotam a TI com o mesmo objetivo de obter
benefícios desse uso, porém a sua realidade é, na maioria dos casos, bastante diferente da das grandes
empresas, especialmente por não possuírem os mesmos recursos e as mesmas competências na área
de TI, com diferenças no que diz respeito ao estágio de informatização, sobretudo ao papel que a
área de TI desempenha para cada uma.
Para se pensar gestão de TI, de forma específica nas pequenas e nas médias empresas,
propomos levar em conta o modelo apresentado em 2016 pelo pesquisador e professor da FGV,
Álvaro Luiz Massad Martins, que aponta uma classificação considerando os investimentos em TI e
o impacto no desempenho organizacional, levando em conta também a percepção dos gestores
sobre estágios de informatização e o papel que a TI representa na empresa.
Empresas que apresentam um nível de gastos e investimentos em TI mais elevado, associados
com uma forte percepção dos gestores de que a TI pode contribuir positivamente com os objetivos
da empresa, resultam em um nível de lucratividade superior; enquanto empresas cujos gestores
percebem, de maneira intensa, que a TI não pode contribuir positivamente com os objetivos da
empresa, mesmo que façam níveis considerados acima da média de gastos e investimentos em TI,
apresentam um nível de lucratividade inferior, conforme demonstra os quatro agrupamentos
apresentados na figura 4, a seguir.

16
 Figura 4 – Síntese dos clusters

Fonte: Massad-Martins (2016)

O agrupamento 1, batizado de “Digitais”, é composto, na sua grande maioria, de empresas do

setor de serviços, cujos gestores percebem a TI desempenhando hoje um papel estratégico na empresa
e, no futuro, em todos os aspectos analisados. Consistentes com essa percepção, essas empresas são as
que mais gastam em TI e, como resultado, atingem uma alta lucratividade anual líquida.
O agrupamento 2, batizado de “Prudentes”, é composto, na sua grande maioria, de
empresas dos setores do comércio, cujos gestores percebem a TI desempenhando hoje um papel
estratégico na empresa e, no futuro, em todos os aspectos analisados, porém com menor
intensidade que os “Digitais”. Em contrapartida, essas empresas são as que menos gastam em TI,
e a sua lucratividade anual líquida atinge níveis superiores aos das empresas dos agrupamentos 3
e 4, ficando abaixo da lucratividade dos “Digitais”.
O agrupamento 3, batizado de “Conservadores”, é composto de empresas de todos os setores,
com maior número de funcionários e maior receita anual, cujos gestores percebem a TI
desempenhando hoje um papel discretamente estratégico na empresa e, no futuro, em todos os
aspectos analisados, exceto no que diz respeito ao aumento de produtividade. Essas empresas
também gastam menos em TI, ficando à frente em gastos somente dos “Prudentes”, porém a sua
lucratividade anual líquida está abaixo da alcançada pelos “Prudentes”, ficando um pouco acima
somente em comparação às empresas do agrupamento 4.

17
 O agrupamento 4, batizado de “Analógicos”, tem, na sua composição, igualmente empresas
dos três setores. Os gestores desse grupo percebem a TI desempenhando hoje um papel não
estratégico na empresa e, no futuro, em todos os aspectos analisados, gastam menos em TI que os
“Digitais”, mas gastam mais em TI do que os “Prudentes” e os “Conservadores”. No que diz
respeito à lucratividade anual líquida, ela é a mais baixa de todos os quatro grupos.
A análise apresentada acima nos leva às seguintes conclusões:
 Há evidências da existência de quatro grupos distintos de empresas segundo as características
da amostra, com comportamentos distintos no que diz respeito aos gastos e aos investimentos
em TI e ao aumento da lucratividade da empresa, especialmente diante da presença de
percepções específicas dos gestores acerca do papel que a TI desempenha na empresa.
 Quanto maior a percepção do impacto positivo de TI nos processos de negócio da empresa,
tanto maior é o impacto dos gastos e dos investimentos em TI na lucratividade da empresa.
 Um elevado nível de gastos e investimentos em TI, associados com uma forte percepção
de que a TI contribui com os objetivos da empresa, resulta em maior lucratividade,
como nos “Digitais”.
 Empresas cujos gestores percebem que a TI não contribui com os objetivos da empresa,
mesmo que façam níveis considerados acima da média de gastos e investimentos em TI,
apresentam menor lucratividade, como nos “Analógicos”.
 Empresas cujos gestores têm percepção de que a TI contribui, mesmo essas empresas
mantendo um nível de gastos e investimentos em TI abaixo da média das outras empresas,
ainda assim acabam por apresentar uma lucratividade acima da média, como nos “Prudentes”.
 O comportamento dos “Conservadores” confirma as evidências apontadas acima, pois,
apesar de apresentar níveis maiores de gastos e investimentos em TI do que os “Prudentes”,
o fato de os gestores dessas empresas perceberem, de modo menos intenso, a contribuição
que a TI pode trazer aos objetivos da empresa acaba levando-os a um nível de lucratividade
menor que o dos “Prudentes”, reforçando, desse modo, o impacto da percepção dos
gestores sobre o papel que a TI desempenha na empresa.

Segurança da informação: um tema corporativo

Já faz tempo que não “vamos mais para o on-line”, pois estamos on-line a qualquer hora, de
qualquer local e dispositivo: anytime, anywhere, any device. É um desafio estar em locais onde não
tenha conectividade com qualidade razoável, como 3G, 4G, wi-fi. Se não houver ou faltar energia,
então o desafio fica maior ainda.
A nossa vida está on-line, com uso exponencial do ciberespaço gerando dependência crescente
da TI e consequentemente dos Sistemas de Informação (SIs) interconectados com sistemas globais
e complexos em constante evolução e mutação.

18
 Como bem colocado por Albuquerque, Sousa Júnior e Costa (2015), “tornou a base de
sustentação de múltiplos setores da economia, constituindo-se como fonte de geração de recursos e
capitais, bem como a projeção de poder de vários Estados, através do controle de recursos
tecnológicos que compõem tal espaço”.
Além disso, novas tecnologias, soluções e mercados surgem a todo o momento, fomentando
e gerando volumes de dados e informações cada vez maiores, com acesso, e uso, apenas daqueles
que lhe tem o direito e propriedade. Os demais interessados, simplesmente não devem acessar,
compartilhar nem utilizar essas informações sem o conhecimento e a autorização dos proprietários.
Nesse contexto, estamos – indivíduos, empresas, governos, nações – mais expostos às
vulnerabilidades e aos riscos no espaço cibernético.
De acordo com os mesmos autores supracitados, “se tornou comum explorar vulnerabilidades
da informação neste ambiente”.

Empresas no contexto da cibersegurança

A seguir, vemos um ataque de negação de serviço distribuído no site da VideoLAN –
distribuidor de software de código aberto – ocorrido em abril de 2013.

Figura 5 – Ataque de negação de serviço distribuído

Fonte: FAUVET, Ludovic. DDOS attack on the VideoLAN downloads infrastructure. YouTube, 23 abr. 2013. Disponível em:
<https://www.youtube.com/watch?v=hNjdBSoIa8k>. Acesso em: 20 abr. 2021.

19
 Note os endereços IP dos atacantes à esquerda solicitando o arquivo de instalação do
Windows para o cliente VLC, um player de vídeo.
O volume desse ataque sobrecarrega os servidores do VLC, ao mesmo tempo em que alguns
atacantes também solicitam “download.css”. Isso poderia facilmente ser um tipo de ataque diferente
projetado para roubar dados da VLC, como informações de clientes e códigos fonte.
Esse contexto sugere algumas reflexões:
 A inteligência é importante?
 Como e por que aplicá-la?
 É uma questão técnica e operacional?

Um dos maiores ataques deste ano foi dirigido ao Blackbaud, um provedor de serviços em nuvem.
Os invasores instalaram o ransomware e roubaram informações de pagamento de milhões de usuários
em todo o mundo. A empresa teve de pagar o resgate não revelado e uma ação judicial se seguiu.
Para fortalecer as defesas da computação em nuvem no futuro, as partes interessadas devem
prestar atenção à configuração adequada de armazenamento em nuvem, à segurança das interfaces
de usuário do aplicativo (APIs) e às ações do usuário final em dispositivos em nuvem.

Desafios de segurança corporativa

As empresas e os seus funcionários foram empurrados para um ambiente de trabalho remoto
repentinamente, com os recursos de rede remota de muitas organizações ainda não tão protegidos
quanto as suas infraestruturas de TI locais. Essa rápida mudança deixou muitas lacunas não seguras que
os agentes mal-intencionados estão constantemente procurando explorar para obter ganhos financeiros.
As mudanças tecnológicas que moldaram o local de trabalho em 2020 vieram para ficar, assim
como as crescentes ameaças cibernéticas que as empresas enfrentam. Por conta disso, a maioria dos
executivos afirma que gastará os seus orçamentos de TI principalmente na resiliência cibernética.
As equipes de segurança precisam desenvolver políticas fortes para responder aos desafios da
segurança cibernética, mas esse é apenas o primeiro passo. Eles precisam comunicar efetivamente
essas políticas a toda a força de trabalho e treinar os funcionários para responder a elas.
Apenas a título de exemplo, o CSO on-line compilou uma lista das maiores violações do
século XXI usando critérios simples: o número de pessoas cujos dados foram comprometidos,
distinguindo entre incidentes em que os dados foram roubados com intenção maliciosa e aqueles
em que uma organização inadvertidamente deixou os dados desprotegidos e expostos. O Twitter,
por exemplo, deixou as senhas dos seus 330 milhões de usuários desmascaradas em um log, mas não
havia evidências de uso indevido, portanto o Twitter não entrou nessa lista.

20
 Nessa relação estão listadas empresas, em ordem alfabética, com as 15 maiores violações de
dados da história recente: Adobe, Adult Friend Finder, Canva, Dubsmash, eBay, Equifax,
Heartland Payment Systems, LinkedIn, Marriott International, My Fitness Pal, MySpace,
NetEase, Sina Weibo, Yahoo e Zynga.
De acordo com a Verizon, os aplicativos da web estiveram envolvidos em 43% das violações
e até 80% das organizações experimentaram uma violação de segurança cibernética originada de
uma vulnerabilidade no seu ecossistema de fornecedores terceirizados. Em 2020, exposições de
terceiros afetaram Spotify, General Electric, Instagram e outros nomes importantes.

Anatomia clássica de um ataque e opções de proteção

Ataques de negação de serviço distribuídos ou DDoS (definição mais adiante) ultrapassaram
a casa do 2 Tbps já há alguns anos, atingindo 2,3 Tbps em fevereiro de 2020, segundo informações
da Amazon. 1 Alguns ataques memoráveis:
 GitHub 2 – O ataque DDoS no GitHub inundou a empresa com 1,35 Tbps de dados
(129,6 milhões de PPS), via memcaching. Invasores falsificaram o endereço IP do GitHub
para enviar pequenas consultas a vários servidores memcached para acionar uma resposta
importante na forma de uma resposta de dados 50x;
 WannaCry 3 – ransomware baseado em criptografia;
 Mirai botnet 4 – IP cameras, home routers and video players), 620 Gbps, e
 Mirai botnet 5 – Dyn (serviços de DNS), 1,2 Tbps.

1
Amazon thwarts largest ever DDoS cyber-attack. BBC, 18 jun. 2020. Disponível em: <https://www.bbc.com/news/
technology-53093611>. Acesso em: 27 ago. 2021.
2
NEWMAN, Lily Hay. GitHub Survived the Biggest DDoS Attack Ever Recorded. Wired, 3 jan. 2018. Disponível em:
<https://www.wired.com/story/github-ddos-memcached>. Acesso em: 27 ago. 2021.
3
Massive ransomware infection hits computers in 99 countries. BBC, 13 maio 2017. Disponível em: <https://www.bbc.com/
news/technology-39901382>. Acesso em: 27 ago. 2021.
4
OSBORNE, Charlie. Mirai DDoS attack against KrebsOnSecurity cost device owners $ 300,000. ZDNet, 9 maio 2018.
Disponível em: <https://www.zdnet.com/article/mirai-botnet-attack-against-krebsonsecurity-cost-device-owners-300000>.
Acesso em: 27 ago. 2021.
5
WOLF, Nicky. DDoS attack that disrupted internet was largest of its kind in history, experts say. The Guardian, 26 out. 2016.
Disponível em: <https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet>. Acesso em: 27 ago. 2021.

21
 Basta uma rápida pesquisa no Google para verificar os ataques diários, conforme busca
realizada em 20 de abril de 2021, às 19h:

Figura 6 – Ataques cibernéticos

Fonte: Cyber attacks. Google, 20 de abril de 2021.

Algumas ferramentas de fabricantes mostram ataques em tempo real ao redor do mundo:

 Live Cyber Threat Map; 6
 Digital Attack Map 7 (Google e Arbor);
 FireEye Cyber Threat Map; 8
 Kaspersky Cyber Threat Real-Time Map; 9
 Fortinet Threat Map; 10
 Akamai Globe. 11

6
Live Cyber Threat Map. Disponível em: <https://threatmap.checkpoint.com>. Acesso em: 27 ago. 2021.
7
Digital Attack Map. Disponível em: <https://www.digitalattackmap.com/#anim=1&color=0&country=AU&list=0&time=
18699&view=map>. Acesso em: 27 ago. 2021.
8
FireEye Cyber Threat Map. Disponível em: <https://www.fireeye.com/cyber-map/threat-map.html>. Acesso em: 27 ago. 2021.
9
Kaspersky Cyber Threat Real-Time Map. Disponível em: <https://cybermap.kaspersky.com>. Acesso em: 27 ago. 2021.
10
Fortinet Threat Map. Disponível em: <https://threatmap.fortiguard.com>. Acesso em: 27 ago. 2021.
11
Akamai Globe. Disponível em: <https://globe.akamai.com>. Acesso em: 27 ago. 2021.

22
 Para conseguir entender melhor a anatomia de um ataque e como evitar o pior, devem-se
fazer algumas perguntas básicas: o que proteger primeiro? Como proteger?
O sistema global de TI pode ser explorado por uma variedade de usuários ilegítimos e ainda
pode ser usado como uma ferramenta de agressão em nível de Estado, portanto precisamos pensar
em vários níveis de ofensores: hackers, criminosos e terroristas.
Dessa forma, podemos basicamente sistematizar em quatro níveis as ameaças:
 crime de baixo-nível/individual (hacking);
 criminalidade grave e organizada;
 extremismo político e ideológico e
 ataques cibernéticos patrocinados pelo Estado.

Registros indicam que o primeiro ataque DDoS conhecido ocorreu em 1996, quando um
antigo ISP (Panix) ficou off-line por vários dias por uma inundação de SYN, e desde então não
pararam de crescer:

Gráfico 1 – Total de ataques DDoS

Fonte: GURINAVICIUTE, Juta. Five biggest cybersecurity threats: how hackers utilize remote work and human error to
steal corporate data. 3 fev. 2021. Disponível em: <https://www.securitymagazine.com/articles/94506-5-biggest-
cybersecurity-threats>.

Desde o início da pandemia, o FBI viu um aumento de quatro vezes nas reclamações de segurança
cibernética, enquanto as perdas globais com o crime cibernético ultrapassaram US$ 1 trilhão em 2020.
O “Relatório de Riscos Globais 2020” do Fórum Econômico Mundial afirma que as chances
de capturar e processar um cibercriminoso são quase nulas (0,05%). Dadas as circunstâncias, a
consciência comercial e a resiliência são essenciais para proteger dados confidenciais e evitar violações.

23
Tipos de ataques conhecidos
As ameaças cibernéticas tornam-se mais sofisticadas e intensas em meio aos níveis crescentes
de trabalho remoto e dependência de dispositivos digitais. Aqui estão as oito mais prejudiciais para
as empresas em 2020: engenharia social; ransomware; ataques DDoS; software de terceiros; e
vulnerabilidades de computação em nuvem.

Engenharia social
Em 2020, quase 1/3 das violações incorporou técnicas de engenharia social, das quais 90%
eram phishing. Os ataques de engenharia social incluem, mas não estão limitados a, e-mails de
phishing, scareware, quid pro quo e outras técnicas, e todas manipulam a psicologia humana para
atingir objetivos específicos.
A Cisco indica que ataques de spear phishing bem-sucedidos são responsáveis por 95% das
violações em redes corporativas. Na verdade, as tentativas de phishing aumentaram 667% em março, e
43% dos funcionários admitem ter cometido erros que comprometeram a segurança cibernética. Em
julho de 2021, o Twitter foi vítima de um ataque de phishing bem-sucedido, que rendeu aos golpistas
mais de US$ 100 mil. Além disso, os cibercriminosos roubaram US$ 2,3 milhões de uma escola do
Texas e tentaram obter dados pessoais forjando um e-mail da Organização Mundial da Saúde (OMS).
Para evitar golpes de engenharia social, as empresas podem implementar o Zero Standing
Privileges. Isso significa que um usuário recebe privilégios de acesso para uma tarefa específica que
dura apenas o tempo necessário para concluí-la. Portanto, mesmo que os hackers tenham acesso às
credenciais, eles não poderão acessar sistemas internos e dados confidenciais.

Ransomware
É um programa de criptografia de dados que exige pagamento para liberar os dados
infectados. A soma total dos pedidos de resgate terá atingido US$ 1,4 bilhão em 2020, com uma
soma média para retificar o dano atingindo até US$ 1,45 milhão. Ransomware é o terceiro tipo de
malware mais popular usado em violações de dados e é empregado em 22% dos casos.
Em 2021, os hackers comprometeram os dados de pesquisa da Covid-19 e exigiram US$ 1,14
milhão da Universidade da Califórnia, atacaram a gigante da fotografia Canon e foram até responsáveis
por incidentes letais. Na Alemanha, os cibercriminosos buscaram um hospital em busca de resgate, com
os sistemas de atendimento ao paciente sendo desativados e resultando na morte de um paciente.

24
Ataques DDoS
Houve 4,83 milhões de tentativas de ataques DDoS apenas no primeiro semestre de 2020, e
cada hora de interrupção do serviço pode ter custado às empresas até US$ 100 mil, em média.
Para formar um botnet necessário para um ataque DDoS coordenado, os hackers empregam
dispositivos previamente comprometidos por malware ou hacking. Dessa forma, toda máquina pode
estar realizando atividades criminosas sem que o seu proprietário saiba. O tráfego pode então ser
direcionado contra, digamos, AWS, que relatou ter impedido um ataque de 2,3 Tbps em fevereiro.
No entanto, o aumento do tráfego não é a única coisa que preocupa os especialistas em
segurança cibernética. Os criminosos agora empregam inteligência artificial (IA) para realizar
ataques DDoS. Há alguns anos, eles conseguiram roubar dados de 3,75 milhões de usuários do
aplicativo TaskRabbit, e 141 milhões de usuários foram afetados pelo tempo de inatividade do
aplicativo. Entretanto o veneno é a cura, pois a IA também pode ser empregada para procurar os
pontos fracos, especialmente se houver uma grande quantidade de dados envolvidos.
Em 2021, as organizações adotaram o trabalho remoto a taxas sem precedentes. O aumento do
tráfego on-line e a dependência de serviços digitais os tornaram mais vulneráveis aos cibercriminosos.
Os ataques DDoS não custam muito, portanto há um fornecimento crescente de serviços DDoS de
aluguel, aproveitando a escala e a largura de banda das nuvens públicas.

Software de terceiros
Os 30 maiores varejistas de comércio eletrônico nos EUA estão conectados a 1.131 recursos
de terceiros cada, e 23% desses ativos têm pelo menos uma vulnerabilidade crítica. Se um dos
aplicativos desse ecossistema for comprometido, ele abrirá aos hackers um portal para outros
domínios. Uma violação causada por terceiros custa US$ 4,29 milhões em média.

Vulnerabilidades de computação em nuvem

Estima-se que o mercado global de computação em nuvem cresça 17% em 2021, totalizando
US$ 227,8 bilhões. Enquanto a pandemia dura, a economia também testemunhou um aumento
de 50% no uso da nuvem em todos os setores.
Essa tendência é uma isca perfeita para os hackers, que realizaram 7,5 milhões de ataques
externos em contas na nuvem no segundo trimestre de 2020. Desde o início do ano, o número de
tentativas de violação cresceu 250% em comparação com 2019. Os criminosos procuram servidores
em nuvem sem senha, explora sistemas não corrigidos e executa ataques de força bruta para acessar
as contas de usuário. Alguns tentam plantar ransomware ou roubar dados confidenciais, enquanto
outros usam sistemas de nuvem para criptojacking ou ataques DDoS coordenados.

25
Virus e outros ataques que visam prejudicar ou inibir o funcionamento
de processos ou sistemas
Um vírus de computador é um programa malicioso desenvolvido por programadores que, tal
como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros
computadores, utilizando-se de diversos meios.
O vírus de computador se instala com o objetivo de prejudicar o desempenho de uma
máquina, destruir arquivos ou mesmo se espalhar para outros computadores. Com isso, um
computador que tem um vírus instalado pode ficar vulnerável a pessoas mal-intencionadas, que
podem vasculhar os arquivos do sistema, bem como roubar dados pessoais, como senhas e números
de cartões de crédito.
A maioria das contaminações ocorre pela ação do usuário executando o arquivo infectado
recebido como um anexo de um e-mail, por exemplo. Porém, a contaminação também pode ocorrer
por meio de arquivos infectados em pen-drives.
Outro modo de contaminação é através do sistema operacional desatualizado, que sem
correções de segurança, que poderiam corrigir vulnerabilidades conhecidas dos sistemas
operacionais ou aplicativos, podem causar o recebimento e execução do vírus inadvertidamente.
Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas horas,
entrando em execução em horas especificas. Quem desenvolve tais vírus são pessoas com grande
conhecimento em programação e sistema operacional de computadores. Na internet há um grande
comércio de vírus, principalmente aqueles para roubo de senhas de banco e de cartões.

Furto de identidade (identity thief)

Os ladrões de identidade geralmente obtêm informação pessoal, como senhas, números de
identidade, números de cartão de crédito ou CPF, e fazem mau uso destes dados para agir de forma
fraudulenta em nome da vítima. Os detalhes sensíveis podem ser usados com vários propósitos
ilegais incluindo pedidos de empréstimo, compras on-line ou acessar os dados médicos e financeiros
da vítima.
O furto de identidade está muito próximo do phishing e de outras técnicas de engenharia
social que são frequentemente usadas para bisbilhotar informação sensível da vítima. Perfis públicos
nas redes sociais ou em outros serviços on-line populares também podem ser usados como fonte de
dados, ajudando criminosos a se passarem por seus alvos.

26
 Quando os ladrões de identidade coletam tais informações, eles podem usá-las para fazer
compras em nome da vítima, controlar as suas contas on-line ou realizar ações legais em seu nome.
Em curto prazo, os indivíduos afetados podem sofrer perda financeira, devido a saques não
autorizados e compras feitas em seu nome. A médio prazo, as vítimas podem ser responsabilizadas
pelas ações dos executores e serem investigadas pelos órgãos legais, bem como encarar
consequências, como o pagamento de encargos legais, mudanças no seu status de crédito ou danos
no seu nome limpo.

Golpe do boleto falso

É uma prática realizada por criminosos que fazem cópias de documentos de cobrança como
se fossem verdadeiros para que o pagamento da vítima caia na conta bancária do bandido. O golpe
do boleto falso está cada vez mais sofisticado, mas há alguns indícios que ajudam a identificá-lo
antes que você se torne uma vítima deste tipo de cilada. Entre eles, estão:

 Código de barras duvidoso: é possível identificar algumas características peculiares nos

boletos falsos que podem ser verificadas por quem está em dúvida se o documento é ou
não verdadeiro. Comece conferindo se os últimos dígitos do código de barras
correspondem ao valor a ser pago. Caso sejam diferentes, o boleto não é verdadeiro. E se
a cobrança for uma conta recorrente, como a de energia elétrica, água, mensalidade escolar
e afins, duvide de qualquer alteração. Verifique, ainda, se os primeiros dígitos do código
de barras coincidem com o código do banco emissor.
 Beneficiário desconhecido: outro cuidado importante para averiguar a veracidade do
boleto é sempre verificar o nome da pessoa ou empresa que receberá o pagamento.
Também é recomendado verificar se o CNPJ da emissora é real no aplicativo da Receita
Federal para smartphones e nas listas constantemente divulgadas pelo Procon
(Departamento Estadual de Defesa do Consumidor).
 Impossibilidade de leitura do código de barras: boletos adulterados geralmente possuem
leitura imcompatível, obrigando o destinatário a digitar manualmente a sua numeração.
Por isso é recomendado tentar lê-lo com a câmera do celular ao invés de digitá-lo e sempre
redobrar a atenção quando encontrar essa dificuldade.
 Boleto recebido pelos Correios: como o golpe do boleto falso tem sido cada vez mais
frequente, o mais indicado é dar prioridade para pagar o documento emitido direto no site
da instituição, já que vias físicas têm mais chances de ter sido adulteradas. Existem alguns
casos em que os golpistas sequestram as correspondências e adulteram os dados bancários.
Neste tipo de situação, a melhor saída para evitar cair no golpe do boleto falso é solicitar
à instituição correta para que o valor seja debitado automaticamente da sua conta bancária.

27
 As ferramentas de exploração de vulnerabilidades se encontram no centro de um processo de
produção e comercialização que, com os seus diversos atores, constituem um mercado à parte. É
importante para o profissional de segurança da informação e combate ao cibercrime ter
conhecimento desse mercado específico, no sentido de organizar proteções de sistemas de
informação, e também realizar investigações de evidências do cibercrime” (ALBUQUERQUE;
SOUSA JÚNIOR; COSTA (2015).
Entretanto com as ameaças e os ataques cada vez mais volumosos, complexos e frequentes,
como se proteger?

28
BIBLIOGRAFIA
Livros
ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Estratégias de governança de tecnologia
da informação. São Paulo: Elsevier, 2010.

ALBERTIN, Alberto L.; ALBERTIN, Rosa M. M. Tecnologia de informação e desempenho

empresarial: as dimensões de seu uso e sua relação com os benefícios de negócio. São Paulo:
Atlas, 2012.

WEILL, Peter; ROSS, Jeanne W. Governança de TI. São Paulo: M.Books, 2006.

Artigos
ABRAHAM, C.; SIMS, R. R.; GREGORIO, T. Develop your cyber resilience plan, 2020.

ALBUQUERQUE, R. O.; SOUSA Júnior, R. T. de; COSTA, J. P. C. T. Um Levantamento

sobre o mercado de exploração de vulnerabilidades do espaço cibernético. Departamento de
Engenharia Elétrica, Universidade de Brasília (UnB), 2015.

CARR, N. G. TI já não importa. HBR Brasil, 2003.

COWAN, C.; GASKINS, C. Monitoring physical threats in the data center. American Power
Conversion, 2006.

CYBERSECURITY GOVERNANCE GUIDELINES. Information Technology Authority,

Governance & Standard Division, 2007.

GOUVEIA, L. B. O recurso e a contribuição potencial da inteligência artificial para a

cibersegurança em ambientes digitais. Universidade Fernando Pessoa, 2016.

HEPFER, M.; POWELL, T. C. Make cybersecurity a strategic asset. MIT Sloan Review, 2020.

HUANG, K.; SIEGEL, M.; PEARLSON, K.; MADNICK, S. Casting the dark web in a new
light. MIT Sloan Review, 2019.

HUMAYUN, M.; NIAZI, M.; JHANJHI, N. Z.; ALSHAYEB, M.; MAHMOOD, S. Cyber
security threats and vulnerabilities: a systematic mapping study. Arabian Journal for Science
and Engineering, 2020.

29
HUSSAIN, S. N.; SINGHA, N. R. A survey on cyber security threats and their solutions.
International Journal for Research in Applied Science & Engineering Technology, 2020.

KLINCZAK, M. Uso da inteligência na detecção de ameaças cibernéticas. MIS Quarterly, The

Eleventh International Conference on Forensic Computer Science and Cyber Law, 2014.

KWON, J.; JOHNSON, M. E. Proactive versus reactive security investments in the healthcare
sector. MIS Quarterly, 2014.

PEREIRA, C. R. Sistema de detecção de intrusão usando big data, inteligência artificial e

sistemas colaborativos. Escola de Comando e Estado-Maior do Exército, 2020.

ROSS, J. W.; WEILL, P. Seis decisões que sua equipe de TI não deve tomar. HBR Brasil, 2002.

SCHINAGL, S.; SCHOON, K.; PAANS, R. A framework for designing a security operations
centre (SOC), 2015.

SOLMS, R.; NIEKERK, J. From information security to cyber security. School of ICT, Nelson
Mandela Metropolitan University, 2013.

SUÁREZ, F.; LANZOLA, G. A meia verdade da vantagem do pioneiro. HBR Brasil, 2005.

TISDALE, S. M. Cybersecurity: challenges from a systems, complexity knowledge

management and business intelligence perspective. Issues in Information Systems, 2015.

VENKATRAMAN, N. IT-enabled business transformation: from automation to business scope

redefinition. MIT, SMR, 1994.

WILSON, S. A.; HAMILTON, D.; STALLBAUM, S. The unaddressed gap in cybersecurity:

human performance. MIT Sloan Review, 2020.

30
PROFESSOR-AUTOR
Álvaro Luiz Massad Martins
Formação acadêmica:
 Doutor, mestre e graduado em Administração de Empresas pela
Escola de Administração de Empresas de São Paulo da Fundação
Getulio Vargas (FGV Eaesp).

Experiência profissional:
 Mais de 30 anos de experiência no segmento de TI, tendo atuado em posições de direção
em empresas como: Alcatel-Lucent, Mandriva, PCS do Brasil, Intelbras, Diveo, Embratel,
Datasites, Xerox e American Express.
 Atualmente, é diretor executivo da IT by Insight, empresa de consultoria na área de TI,
que tem por missão maximizar a performance dos negócios dos seus clientes, ajudando-os
na jornada em direção à transformação digital.

31
32