1

PLANEAMENTO DE MEDIDAS DE CONTINGÊNCIA

DE ATAQUES CIBERNÉTICOS

(Licenciatura em Estatística e Gestão de Informação )

Universidade Rovuma

Nampula

2022
 2

PLANEAMENTO DE MEDIDAS DE CONTINGÊNCIA

DE ATAQUES CIBERNÉTICOS

Trabalho de pesquisa de carácter

avaliativo, na Cadeira de Segurança
Informática (SI) 4º Ano a ser
apresentado no Departamento de
Ciências Naturais Matemática e
Estatística,

Universidade Rovuma

Nampula

2022
 3

Índice
Introdução ....................................................................................................................................... 4

Planeamento de medidas de contingência de ataques cibernéticos. ............................................... 5

1. Conceitos preliminares............................................................................................................... 5

1.1 Risco ......................................................................................................................................... 5

1.2 Ataques ..................................................................................................................................... 5

1.2.1 Tipos de ataque ...................................................................................................................... 6

3. Identificação de Crise Cibernética .............................................................................................. 9

3.1 Fases do Gerenciamento de Crises ........................................................................................... 9

4. PLANO DE CONTINGÊNCIA DE TIC .................................................................................... 9

4.4 Planeamento da Crise (pré-crise) ............................................................................................ 10

4.5 Execução (durante a crise) ...................................................................................................... 11

5.5 Gestão de riscos ..................................................................................................................... 12

Conclusão...................................................................................................................................... 13

Bibliografia ................................................................................................................................... 14
 4

Introdução
O presente trabalho visa abordar sobre planeamento de medidas de contingência de ataques
cibernéticos. Tema de extrema importância, visto que a prevenção aplicada aos Riscos
Tecnológicos e de Comunicação são fundamentais em uma sociedade cada vez mais voltada para
o meio digital, onde o acesso facilitado a informações é ferramenta essencial para o
desenvolvimento da cidadania.

Embora pareça paradoxal, devemos entender que o acesso facilitado nem sempre envolve
ferramentas facilmente desenvolvidas. O contrário muitas vezes é verdadeiro, pois a
simplicidade de acesso gerada ao usuário envolve uma infinidade de tarefas e permissões,
validações de segurança e autorizações de usos, que demandam muito tempo em actividade
laboral voltada para o desenvolvimento.

Desta forma as organizações precisam assumir um comportamento dinâmico em relação à

segurança de suas informações. Comportamentos letárgicos não são aceitáveis para os dias de
hoje, pois vivemos um momento de transposição comportamental, em que a interacção contínua,
sem fronteiras e baseada nas relações de conectividade impõe diferentes desafios para as
organizações do Século XXI e, principalmente, para a área de segurança da informação, que
assume o papel crucial de proteger os ambientes informacionais das diferentes e numerosas
formas de ataques existentes.

O trabalho encontra-se da seguinte maneira: a introdução, Planeamento de medidas de

contingência de ataques cibernéticos, Conceitos preliminares Risco, Ataques, Segurança de
Informação (princípios fundamentais), plano de contingência de tic, Identificação de Crise
Cibernética e a conclusão.
 5

Planeamento de medidas de contingência de ataques cibernéticos.

1. Conceitos preliminares

A fim de facilitar a compreensão dos apontamentos que seguem, é importante relembrar alguns
conceitos, a saber:

1.1 Risco

De acordo com o SC Resiliente - guia conceitual (santa catarina; fapesc; ufsc, 2019), Risco é a
probabilidade de que a população e seus bens materiais sofram consequências prejudiciais ou
perdas (mortes, lesões, danos em propriedades, interrupção de actividade económica, etc.) diante
do impacto de ameaças naturais ou antropogênicas (consequência das actividades humanas).
Risco, então, é uma possibilidade de dano, não significa desastre. O desastre é um risco que se
concretizou, sendo que sua intensidade depende de condições de vulnerabilidade em interacção
com as ameaças. Dentre as categorias do risco, aquela relacionada ao risco tecnológico é o mais
presente no que tange aos processos geradores produzidos pelas indústrias (Sousa e Souza,
2019).

O risco tecnológico está relacionado principalmente com os processos produtivos e atividade

industrial. A evolução na cadeia produtiva das indústrias na era da modernização não foi
acompanhada pela evolução do controle dos riscos envolvidos nesse processo. Segundo Eagler
(1996), a categoria de risco que envolve o risco tecnológico está relacionada à potencial
ocorrência de eventos danosos a curto, médio e longo prazo, consequências das decisões de
investimento do setor produtivo. Diz ainda que o critério metodológico de avaliação deste risco
deve focar, entre outros, na gestão institucional e ambiental das empresas.

1.2 Ataques

Os ataques relacionados à segurança da informação podem ser destinados a qualquer uma de

suas dimensões e são uma ameaça que, quando bem-sucedida, causa uma ação danosa à
organização. Por sua vez, um ataque corresponde a qualquer ação que comprometa a segurança
 6

da organização. Coelho et al (2014, p. 5) asseveram que “o ataque é um ato deliberado de tentar

se desviar dos controles de segurança, com o objetivo de explorar as vulnerabilidades”. Existem
dois tipos de ataque:

 Passivos – baseados em escutas e monitoramento de transmissões, com o intuito de obter

informações que estão sendo transmitidas. A escuta de uma conversa telefónica é um
exemplo dessa categoria. Ataques dessa categoria são difíceis de detectar porque não
envolvem alterações de dados, todavia podem ser prevenidos com a utilização de
criptografia.
 Ativos – envolvem modificação de dados, criação de objectos falsificados ou negação de
serviço e têm propriedades opostas às dos ataques passivos. São difíceis de ser
prevenidos, por causa da necessidade de proteger completamente todas as facilidades de
comunicação e processamento, durante o tempo todo. Assim, é possível detectá-los e
aplicar uma medida para recuperar prejuízos causados.

1.2.1 Tipos de ataque

Inúmeras técnicas, ferramentas e métodos de ataque surgem, diariamente, no cenário mundial.

Atacar deixou de ser um privilégio das pessoas com plenos conhecimentos tecnológicos,
porquanto o acesso irrestrito, facilitado e de diversas formas propaga diversas possibilidades de
qualquer usuário atacar os recursos informacionais de uma organização.

Nesse contexto, estabelece-se uma guerra em que, de um lado, atuam os profissionais de

segurança da informação, que têm o objectivo de neutralizar os possíveis ataques que a
organização possa sofrer, e, de outro, os atacantes que tentam, a todo custo, empreender acções
contra a segurança informacional. Os ataques à segurança da informação podem ser
denominados de acordo com a técnica empregada para sua realização e o objectivo a ser
alcançado. Para se entender bem mais esses ataques, apresentam-se alguns que são feitos
comummente à segurança.

 Engenharia social - seu objectivo é de enganar e ludibriar pessoas, a fim de obter

informações que possam comprometer a segurança da organização. Suas acções são
 7

direccionadas a persuadir, muitas vezes abusando da ingenuidade ou da confiança do

usuário para obter acesso não autorizado a recursos ou informações sigilosas.
 Negação de serviço (DoS e DDoS) – os ataques de negação de serviços DoS (Denial of
Service) objectivam interromper um serviço ou um computador conectado à internet, com
a geração de sobrecarga no processamento do computador alvo ou no tráfego de dados da
rede à qual o alvo está conectado. O ataque DDoS (Destributed Denial od Service) segue
o mesmo conceito, porém difere por ser um ataque distribuído, ou seja, um conjunto de
computadores é utilizado para tirar de operação um ou mais serviços.
 Phishing (Phishing Scam, Scam) – objetiva capturar informações sensíveis, por meio de
uma fraude eletrônica. Utiliza-se de pretextos falsos, com o intuito de receber
informações sensíveis dos usuários, e ocorre com mais frequência por meio do envio de
e-mails e páginas web falsas.
 Pharming – é uma variante do Phishing que explora as vulnerabilidades dos browsers,
dos sistemas operacionais e dos servidores DNS (Domain Name System), com o objetivo
de redirecionar os usuários a páginas web falsas para obter suas informações sensíveis.
 IP Spoofing – tem o objetivo de assumir a identidade de outro computador, através do
envio de pacotes contendo IPs falsos de origem de outra máquina.
 Malware – termo genérico que abrange todos os tipos de programa que executam ações
maliciosas em um computador, seja com a intervenção do usuário ou não, tais como:
vírus, cavalos de Tróia, adware, spyware, backoors, keyloggers, worms, bots e rootkits.
 Ataques de força bruta – utiliza criptoanálise para buscar exaustivamente a descoberta de
senhas nos mais variados meios tecnológicos, web, servidores, ativos de rede etc.

1.3 Contingência

De acordo com o SC Resiliente - Guia Conceitual (Santa Catarina; Fapesc; Ufsc, 2019),
Contingência é a incerteza sobre algo que poderá ou não vir a acontecer. O plano de
contingência, portanto, é um planeamento visando a preparação de determinada organização em
relação às medidas a serem tomadas para mitigar danos caso algum risco ou desastre específico
aconteça. Em complemento, é uma situação de risco com potencial de ocorrer, inerente às
actividades, os serviços e equipamentos, e que ocorrendo se transformará em uma situação de
emergência. Diz respeito a uma eventualidade; possibilidade de ocorrer (IFRS, 2019).
 8

2. Segurança de Informação (princípios fundamentais)

Dentro da literatura e até mesmo no quotidiano emprega-se o termo segurança em múltiplos

sentidos e frequentemente associa-se seu significado a acções de restrição, cerceamento, defesa
entre outros, sendo muitas vezes compreendida como sinónimos de repressão, impedimento,
proibição e punição. Para Matos citado por Neto e Araújo, (2019), a palavra é de origem latina,
significa “sem preocupações”, e sua etimologia sugere o sentido de “ocupar-se de si mesmo”
(se+cura). Ainda para o autor, “em uma definição mais comum, segurança é “um mal a evitar”,
por isso é a ausência de risco, a previsibilidade, a certeza quanto ao futuro”. (Neto e Araújo,
2019).

Nos ambientes organizacionais, a preocupação com os aspectos de segurança difere em grau e

amplitude de importância e é frequente o equívoco de perceber a segurança por meio de
abordagens isoladas dentro do contexto organizacional, geralmente fundamentas em aspectos
tecnológicos, técnicos e sociais.

Summers citado por Neto e Araújo, (2019), percebe a segurança da informação como um
componente intrínseco ao uso dos computadores e a considera como uma meta a ser atingida
para proteger os sistemas computacionais contra ameaças à confidencialidade, à integridade e à
disponibilidade. Para Oliveira (2001), a segurança da informação é “o processo de protecção de
informações e activos digitais armazenados em computadores e redes de processamento de
dados”.

Diferente dos outros autores, Peltier (2001), afirma que segurança da informação compreende o
uso de controles de acesso físicos e lógicos, com o intuito de proteger os dados contra
modificações acidentais ou não autorizadas, destruição, quebra de sigilo, perda ou dano aos
activos informacionais”. Nessa definição, percebe-se que há uma delimitação da segurança em
relação ao uso exclusivo de controles para actuar nos espaços físicos e lógicos da organização,
abstendo-se dos factores de interferência que os recursos humanos exercem sobre a segurança.
 9

3. Identificação de Crise Cibernética

De acordo com o Conselho Nacional da Justiça (s/d), gerenciamento de incidentes se refere às
actividades que devem ser executadas para avaliar o problema e determinar a resposta inicial
diante da ocorrência de um evento adverso de segurança da informação.

O gerenciamento de crise se inicia quando:

a) ficar caracterizado grave dano material ou de imagem;

b) restar evidente que as acções de resposta ao incidente cibernético provavelmente
persistirão por longo período, podendo se estender por dias, semanas ou meses;
c) o incidente impactar a actividade finalística ou o serviço crítico mantido pela
organização; ou
d) o incidente atrair grande atenção da média e da população em geral.

3.1 Fases do Gerenciamento de Crises

O Gerenciamento de Crises pode ser dividido em 3 (três) fases:

a) Planejamento (pré-crise);
b) Execução (durante a crise);
c) Melhoria Contínua (pós-crise).

4. PLANO DE CONTINGÊNCIA DE TIC

Conforme visto, a estrutura do Plano de Contingência é composta por Introdução, Finalidade,
Situação e Pressupostos, Operações, Atribuição de Responsabilidades, Administração e
Logística, Relacionamento com Outros Planos e Instruções para Uso do Plano. No caso da área
de tecnologia, desdobrar-se-á da forma que se segue.

4.1 Introdução

O Plano de Contingência de Tecnologia da Informação (PlanCon/TI) - para suspensão de

serviços de TIC da Divisão de Tecnologia da Informação (DiTI) do CBMSC estabelece os
procedimentos a serem adoptados pelos centros envolvidos directa ou indirectamente na resposta
a eventos desta natureza.
 10

4.2 Finalidade

Preparar os Centros envolvidos para dar uma resposta mais efectiva quando da ocorrência de
eventos que comprometam o correto funcionamento das áreas de TIC.

4.3 Situação E Pressupostos

O perfeito funcionamento das partes é essencial para que o todo o sistema seja efectivo e,
portanto, os riscos precisam ser gerenciados de modo a mitigar os danos produzidos por
quaisquer situações adversas que representem riscos ao sistema.

4.4 Planeamento da Crise (pré-crise)

De acordo com o Conselho Nacional da Justiça (s/d), para melhor lidar com uma crise
cibernética, é necessária prévia e adequada preparação, sendo fundamental que os órgãos do
Poder Judiciário estabeleçam um Programa de Gestão da Continuidade de Serviços que
contemple as seguintes actividades:

a) observar o Protocolo de Prevenção a Incidentes Cibernéticos do Poder Judiciário;

b) definir as actividades críticas que são fundamentais para a actividade finalística do órgão;
c) identificar os activos de informação críticos, ou seja, aqueles que suportam as actividades
primordiais, incluindo as pessoas, os processos, a infra-estrutura e os recursos de
tecnologia da informação;
d) avaliar continuamente os riscos a que as actividades críticas estão expostas e que possam
impactar directamente na continuidade do negócio;
e) categorizar os incidentes e estabelecer procedimentos de resposta específicos (playbooks)
para cada tipo de incidente, de forma a apoiar equipes técnicas e de liderança em casos de
incidentes cibernéticos graves;
f) priorizar o monitoramento, acompanhamento e tratamento dos riscos de maior
criticidade. Tais actividades deverão ser detalhadas e consolidadas em um plano de
contingência que contemple diversos sectores, em razão de possíveis cenários de crise, a
fim de se contrapor à escalada de uma eventual crise e com o objectivo de manter os
serviços prestados pela organização; e
g) realizar simulações e testes para validação dos planos e procedimentos.
 11

Deve-se definir a sala de situação e criar um Comitê de Crises Cibernéticas, composto por
representantes da alta administração e por representantes executivos, com suporte da Equipe de
Resposta a Incidentes de Segurança Cibernética (ETIR) e de especialistas:

a) da área Jurídica;
b) da área de Comunicação Institucional;
c) da área de Tecnologia da Informação e Comunicação;
d) da área de Privacidade de Dados Pessoais;
e) da área de Segurança da Informação;
f) f) das unidades administrativas de apoio à contratação; e
g) da área de Segurança Institucional.

4.5 Execução (durante a crise)

A comunicação entre as áreas envolvidas é fator fundamental para uma organização reagir a uma
crise cibernética de longa duração ou de grande impacto. Assim que a ETIR identificar que um
incidente constitui uma crise cibernética, o Comitê de Crise deverá se reunir imediatamente na
sala de situação previamente definida. Os planos de contingência existentes, caso aplicáveis,
devem ser efectivados imediatamente, visando à continuidade dos serviços prestados.

A chefia do Comitê de Crise deve ficar a cargo de profissional, indicado pelo Presidente do
respectivo órgão do Poder Judiciário, com autoridade e autonomia para tomar decisões sobre
conteúdo de comunicação a serem divulgados, bem como delegar atribuições, estabelecer metas
e prazos de ações.

A sala de situação é o local a partir do qual serão geridas as situações de crise, devendo dispor
dos meios necessários (ex.: sistemas de áudio, vídeo, chamadas telefônicas) e estar próxima a um
local onde se possa fazer declarações públicas à imprensa e com acesso restrito ao Comitê de
Crise e a outros entes eventualmente convidados a participar das reuniões.

A sala de situação deve ser um ambiente que permita ao Comitê deliberar com tranquilidade e
que possua uma equipe dedicada à execução de actividades administrativas para o período da
crise. Para eficácia do trabalho, é necessário o Comitê de Crise:

a) entender claramente o incidente que gerou a crise, sua gravidade e os impactos negativos;
 12

5.5 Gestão de riscos

Alguns termos relacionados à gestão de risco.

Termo Descrição
Ameaça É a presença de todo evento potencial que causa um
impacto indesejável na organização. Pode ser provocada
ou natural, ter um efeito pequeno ou grande na segurança
ou na viabilidade de uma companhia.
Ativo É um recurso, processo, produto ou infraestrutura, que
uma organização determinou que deve ser protegido. A
perda desse recurso poderia afetar a confidencialidade, a
integridade ou a disponibilidade. Pode ser tangível ou
intangível e afetar a continuidade do negócio de uma
organização. O valor de um ativo é composto de todos os
elementos que são relacionados a esse recurso: criação,
desenvolvimento, sustentação, reposição, credibilidade,
custos considerados e valor de aquisição
Brecha É quando um mecanismo da segurança pode ser
contornado por uma ameaça. Quando uma brecha é
combinada com um ataque, pode resultar em uma invasão.
Exposição Susceptibilidade à perda de um activo devido a uma
ameaça. É possível que uma vulnerabilidade seja
explorada por um agente ou por um evento da ameaça. A
exposição não significa que um evento de perda esteja
ocorrendo realmente. Isso significa que, se houver uma
vulnerabilidade e uma ameaça que possam ser exploradas,
poderá haver uma exposição
Invasão É quando um agente da ameaça tem acesso à infraestrutura
de uma organização com a subversão dos controles de
segurança e pode causar danos diretamente aos ativos
Proteção É um controle ou contramedidas empregadas para reduzir
o risco associado a uma ameaça específica ou o grupo de
ameaças.
Risco É a possibilidade de que uma ameaça específica explore
uma vulnerabilidade específica e cause dano a um ativo.
Vulnerabilidade É a falta ou a fraqueza de uma proteção. Uma ameaça
mínima tem o potencial de se transformar em grande
ameaça ou em ameaça mais frequente, por causa de uma
vulnerabilidade.
 13

Conclusão
Após termos pesquisado e elaborado o presente trabalho, chegamos a concluir que um ataque
cibernético é uma tentativa de desabilitar computadores, roubar dados ou usar um sistema de
computador violado para lançar ataques adicionais. Os criminosos virtuais usam diferentes
métodos para lançar um ataque cibernético que incluem malware, phishing, ransomware, ataque
man-in-the-middle ou outros métodos.

Uma das maneiras mais eficazes de evitar ataques cibernéticos é garantir que a autenticação
multifatorial tenha sido habilitada para todos os aplicativos que acessam a Internet em uma
organização. Ter apenas um login de senha para os funcionários não é suficiente.

Se as senhas dos funcionários forem comprometidas por meio de um invasão ou de um golpe de

phishing, os criminosos cibernéticos poderão acessar facilmente os sistemas. Permitir um
processo de autenticação multifatorial para logins exigirá que os funcionários forneçam várias
informações em vez de apenas uma. Como resultado, aumenta-se a segurança. Será muito mais
difícil para qualquer pessoa não autorizada acessar os sistemas.

Para evitar ataques cibernéticos em uma organização, também é crucial que existam controles
internos robustos. Os controles de acesso ajudarão a garantir que o acesso ao sistema seja
actualizado imediatamente quando funcionários, contratados e fornecedores saírem da
organização.

Controlar o acesso ao sistema é essencial para a prevenção de ataques cibernéticos. Quando

alguém sai da organização, o acesso deve ser revogado por motivos de segurança. Se o acesso
não for revogado para os ex-funcionários, contratados e outras partes relevantes, eles poderão
acessar o sistema organizacional posteriormente. Ao monitorar quem tem acesso aos sistemas
organizacionais, é possível garantir maior segurança e evitar ameaças à segurança e possíveis
problemas no futuro.
 14

Bibliografia
 Conselho Nacional da Justiça. Protocolo: Gerenciamento de Crises Cibernéticas do
Poder Judiciário. Poder Judiciário. Brasil.
 CBMSC. 7º Batalhão de Bombeiro Militar (2021). Ciclo Operacional Completo. 7 BBM.
Notícias, 24 jul. 2017. Disponível em:
https://7bbm.cbm.sc.gov.br/index.php/noticias/174-ciclo-operacionalcompleto.
 Defesa civil de santa catarina (2021). Plano de Contingência, 2013. Disponível em:
https://www.defesacivil.sc.gov.br/plano-de-contingencia-2013.
 Marcondes, josé sérgio (2020). Tecnologia da informação (ti): o que é? O que faz?
Importância. O que é? O que faz? Importância.
 Neto, M, T, Pedro. Araujo, J, W. (2019). Segurança da informação: uma visão
sistemática para implementação em organizações. Universidade Federal de Paraiba.
Brasil.