1

A Import
ância Do Hacker Ético e um Framework para Auxílio da Cibersegurança

The Importance of the Ethical Hacker and a Framework to Aid

Cybersecurity

RESUMO Um dos riscos que as organizações enfrentam ao gerenciar suas informações são
os chamados malwares, que são softwares maliciosos projetados e criados para acessar,
modificar, roubar ou excluir informações dos sistemas de computador implementados pelas
organizações. Assim, para que as organizações protejam suas informações confidenciais, elas
devem implementar políticas de segurança e usar as ferramentas criadas para combater o
malware. Além disso, essas organizações também devem investir nessa área para mitigar
qualquer tipo de risco que possam vir a enfrentar. Portanto, Este trabalho tem o objetivo de
apresentar um estudo sobre os principais conceitos de segurança da informação e ética
hacking, e consequentemente apresentar um framework de boas práticas na gestão de
segurança das organizações.

ABSTRACT One of the risks organizations face when managing their information is so-
called malware, which is malicious software designed and created to access, modify, steal or
delete information from the computer systems implemented by organizations. So, for
organizations to protect their sensitive information, they must implement security policies and
use tools designed to fight malware. In addition, these organizations must also invest in this
area to mitigate any type of risk they may face. Therefore, this work aims to present a study
on the main concepts of information security and hacking ethics, and consequently present a
framework of good practices in the security management of organizations.

1 INTRODUÇÃO
A era digital trouxe inúmeras vantagens para a sociedade, desde a comunicação
instantânea até o acesso a uma vasta quantidade de informações. No entanto, com o aumento
da dependência de sistemas digitais, a cibersegurança tornou-se uma preocupação crescente
para indivíduos, empresas e governos (Mitreanu, 2020). Neste contexto, a figura do hacker
ético ganha destaque como um agente fundamental no campo da cibersegurança, pois atua na
identificação e prevenção de vulnerabilidades em sistemas e redes, visando protegê-los de
ameaças cibernéticas (Zhang et al., 2019).

Hacker ético é um profissional altamente qualificado, que utiliza técnicas de hacking

de forma legítima e legal para avaliar e melhorar a segurança de sistemas digitais (Hadlington,
2017). A prática de hacking ético é fundamental para garantir que organizações possuam uma
postura de segurança eficiente e se mantenham atualizadas em relação às ameaças e
vulnerabilidades emergentes (Dlamini et al., 2019).
 2

Um aspecto crucial para garantir a efetividade do trabalho do hacker ético é o uso de

um framework de cibersegurança. Frameworks fornecem uma estrutura organizada e
sistemática para identificar, avaliar e gerenciar riscos de segurança da informação,
contribuindo para o estabelecimento de boas práticas e políticas de segurança em
organizações (von Solms & van Niekerk, 2013).

O estabelecimento de um framework adequado não apenas auxilia o trabalho do

hacker ético, como também garante que as organizações estejam em conformidade com leis e
regulamentações relacionadas à cibersegurança (Cimpanu, 2021). Além disso, um framework
bem estruturado pode facilitar a comunicação entre profissionais de cibersegurança e
tomadores de decisão, promovendo uma melhor compreensão dos riscos e medidas
necessárias para mitigá-los (Rahman et al., 2020).

A adoção de um framework de cibersegurança em conjunto com o trabalho de hackers

éticos não apenas fortalece a proteção contra ameaças externas, mas também ajuda a
identificar possíveis riscos internos, como a ação de funcionários mal-intencionados ou a falta
de treinamento adequado em segurança da informação (Chen et al., 2014).

O reconhecimento da importância dos hackers éticos e a implementação de um

framework de cibersegurança adequado são aspectos fundamentais para garantir a resiliência
das organizações no ambiente digital atual, marcado por crescentes ameaças e desafios (Dutta
et al., 2017).

Portanto, é essencial que a sociedade e as organizações entendam a importância do

papel do hacker ético e invistam na elaboração e manutenção de frameworks de
cibersegurança, a fim de garantir a integridade, disponibilidade e confidencialidade de suas
informações, bem como a segurança dos sistemas que as suportam.

Em suma, a crescente relevância do hacker ético e a necessidade de um framework

sólido de cibersegurança são aspectos que não podem ser ignorados. A convergência desses
dois elementos é crucial para assegurar a proteção adequada dos ativos digitais, a
continuidade das operações e a confiança dos usuários nos sistemas e serviços oferecidos
pelas organizações.
 3

Diante deste cenário, é fundamental que as organizações invistam na capacitação e

formação de profissionais de cibersegurança, incluindo hackers éticos, a fim de manter uma
força de trabalho qualificada e atualizada sobre as últimas tendências e ameaças no campo da
cibersegurança (Khan et al., 2018). Esses profissionais devem trabalhar em conjunto com
outras partes interessadas da organização, como gerentes e líderes, para desenvolver e
implementar estratégias de segurança da informação eficientes e eficazes.

Além disso, a conscientização e a educação em cibersegurança devem ser estendidas a

todos os membros da organização, uma vez que a segurança da informação é responsabilidade
de todos, e não apenas dos profissionais de TI (Hansche et al., 2016). Isso implica no
estabelecimento de programas de treinamento e conscientização que visem educar os
funcionários sobre práticas seguras de uso de tecnologia e medidas preventivas contra
possíveis ameaças.

É importante ressaltar que a colaboração entre organizações e agências

governamentais, bem como a partilha de informações e boas práticas, são fundamentais para
criar um ecossistema de cibersegurança mais robusto e resiliente (Kshetri, 2016). Essa
colaboração também pode contribuir para o desenvolvimento de regulamentações e padrões
mais eficazes que abordem as necessidades específicas de cada setor e auxiliem na mitigação
de riscos.

Finalmente, a importância do hacker ético e a necessidade de um framework sólido de

cibersegurança só aumentarão à medida que nossa dependência da tecnologia digital continuar
crescendo. A cooperação entre organizações, governos e profissionais de cibersegurança será
fundamental para enfrentar os desafios do futuro e garantir um ambiente digital seguro e
confiável para todos.

2 DESENVOLVIMENTO
2.1 A Importância do Hacker Ético
A figura do hacker ético ganha cada vez mais relevância no cenário atual, em que
ataques cibernéticos e violações de dados têm impactos significativos nos indivíduos,
empresas e governos. Esses profissionais desempenham um papel crucial na identificação e
prevenção de vulnerabilidades, contribuindo para a melhoria das práticas de segurança e para
o desenvolvimento de soluções robustas e eficazes (Mitreanu, 2020). A importância do hacker
 4

ético para a cibersegurança é fundamental na atualidade. A prática do hacker ético tem como
objetivo avaliar a segurança de sistemas, redes e aplicações com autorização prévia para
identificar vulnerabilidades e melhorar a segurança.
De acordo com Venkatachalam e Kumar (2020), o papel do hacker ético é
fundamental para a identificação de vulnerabilidades em sistemas e redes, bem como para a
realização de testes de segurança para garantir a proteção adequada de dados e informações. A
prática do hacking ético tem sido cada vez mais valorizada pelas empresas, que buscam
garantir a segurança de suas informações e a proteção contra possíveis ataques cibernéticos.
Segundo Carvalho e Rodrigues (2020), o hacker ético pode contribuir para a
cibersegurança por meio da identificação de vulnerabilidades e fragilidades em sistemas,
redes e aplicações. Isso permite que as organizações possam adotar medidas preventivas e
corretivas para garantir a proteção adequada de seus dados e informações, bem como a
disponibilidade e integridade desses dados.
Além disso, a prática do hacker ético pode contribuir para a conscientização das
organizações em relação à importância da segurança da informação. Conforme mencionado
por Rouse (2021), o hacker ético pode ajudar as empresas a compreenderem melhor as
possíveis ameaças e riscos de segurança que podem afetá-las, bem como a adotar medidas
preventivas e corretivas adequadas para proteger suas informações.
De acordo com Gupta e Choudhary (2019), a prática do hacker ético é importante para
a cibersegurança, pois permite que as organizações possam adotar medidas preventivas e
corretivas para proteger seus dados e informações de possíveis ameaças e ataques
cibernéticos. Além disso, o hacker ético pode contribuir para a identificação de
vulnerabilidades e fragilidades em sistemas, redes e aplicações, permitindo que as
organizações possam adotar medidas preventivas e corretivas adequadas para garantir a
proteção adequada de seus dados e informações.
Em resumo, a prática do hacker ético é fundamental para a cibersegurança, pois
permite a identificação de vulnerabilidades e fragilidades em sistemas, redes e aplicações,
bem como a adoção de medidas preventivas e corretivas para garantir a proteção adequada de
dados e informações. Além disso, o hacker ético pode contribuir para a conscientização das
organizações em relação à importância da segurança da informação e para a adoção de
medidas adequadas para proteger seus dados e informações de possíveis ameaças e ataques
cibernéticos.

2.2 Frameworks de Cibersegurança

 5

Nesta seção, analisaremos dez frameworks populares voltados à mitigação de riscos de

segurança:

1. NIST Cybersecurity Framework

2. ISO/IEC 27001
3. CIS Critical Security Controls
4. PCI DSS (Payment Card Industry Data Security Standard)
5. COBIT (Control Objectives for Information and Related Technologies)
6. FAIR (Factor Analysis of Information Risk)
7. SANS Top 20 Critical Security Controls
8. HITRUST CSF (Health Information Trust Alliance Common Security Framework)
9. GDPR (General Data Protection Regulation)
10. HIPAA (Health Insurance Portability and Accountability Act)

2.3 Comparação entre Frameworks

A comparação entre os frameworks revela que cada um tem foco em diferentes

aspectos da cibersegurança, tais como conformidade, gestão de riscos, controles de segurança
e proteção de dados específicos do setor. No entanto, é possível identificar boas práticas
comuns que podem ser combinadas em um novo framework para auxiliar na cibersegurança.
2.3.1 NIST Cybersecurity Framework
O NIST Cybersecurity Framework é um conjunto de diretrizes e práticas desenvolvido
pelo National Institute of Standards and Technology (NIST) dos Estados Unidos para ajudar
organizações a gerenciar e reduzir seus riscos de segurança cibernética. De acordo com o
NIST (2018), o framework consiste em cinco funções principais: Identificar, Proteger,
Detectar, Responder e Recuperar. Essas funções são projetadas para ajudar as organizações a
implementar um programa de segurança cibernética abrangente e eficaz.

2.3.2 ISO/IEC 27001

O ISO/IEC 27001 é um padrão internacional de segurança da informação que
estabelece requisitos para um sistema de gestão de segurança da informação (SGSI). De
acordo com a ISO (2013), o padrão inclui um conjunto de controles de segurança que podem
ser implementados para ajudar a proteger as informações de uma organização. O objetivo do
 6

ISO/IEC 27001 é garantir a confidencialidade, integridade e disponibilidade das informações

em uma organização.

2.3.3 CIS Critical Security Controls

Os CIS Critical Security Controls são um conjunto de controles de segurança
cibernética desenvolvidos pela Center for Internet Security (CIS) dos Estados Unidos. De
acordo com o CIS (2021), os controles são projetados para ajudar as organizações a proteger
seus ativos de informações críticas contra as ameaças mais comuns de segurança cibernética.

2.3.4 PCI DSS (Payment Card Industry Data Security Standard)

O PCI DSS é um conjunto de padrões de segurança desenvolvido pelas principais
empresas de cartões de crédito para proteger as informações de cartões de pagamento. De
acordo com o PCI Security Standards Council (2021), o padrão inclui requisitos para
segurança de rede, gerenciamento de vulnerabilidades, controle de acesso e monitoramento de
atividades.

2.3.5 COBIT (Control Objectives for Information and Related Technologies)

O COBIT é um framework de governança e gerenciamento de TI desenvolvido pela
Information Systems Audit and Control Association (ISACA). De acordo com a ISACA
(2019), o COBIT fornece um conjunto abrangente de práticas recomendadas para ajudar as
organizações a gerenciar seus riscos de segurança cibernética e atender às necessidades de
conformidade regulatória.

2.3.6 FAIR (Factor Analysis of Information Risk)

O FAIR é um modelo de análise de risco que ajuda as organizações a quantificar e
gerenciar seus riscos de segurança cibernética. De acordo com o FAIR Institute (2021), o
modelo usa uma abordagem baseada em fatores para avaliar a probabilidade e o impacto de
possíveis incidentes de segurança cibernética.

2.3.7 SANS Top 20 Critical Security Controls

O SANS Top 20 Critical Security Controls é um conjunto de controles de segurança
cibernética desenvolvido pela SANS Institute dos Estados Unidos. De acordo com o SANS
Institute (2021), os controles são projetados para ajudar as organizações a identificar e mitigar
as ameaças mais comuns de segurança cibernética.
 7

2.3.8 HITRUST CSF (Health Information Trust Alliance Common Security Framework)
O HITRUST CSF é um framework de segurança cibernética desenvolvido para
organizações do setor de saúde nos Estados Unidos. De acordo com o HITRUST (2021), o
framework inclui um conjunto de controles de segurança baseados em risco para ajudar as
organizações a gerenciar seus riscos de segurança cibernética e atender às necessidades de
conformidade regulatória.

2.3.9 GDPR (General Data Protection Regulation)

O GDPR é um regulamento da União Europeia que estabelece requisitos para a
proteção de dados pessoais. De acordo com a Comissão Europeia (2021), o regulamento se
aplica a todas as empresas que processam dados pessoais de cidadãos da UE,
independentemente de sua localização. O objetivo do GDPR é garantir a privacidade e a
proteção dos dados pessoais dos cidadãos da UE.

2.3.10 HIPAA (Health Insurance Portability and Accountability Act)

O HIPAA é uma lei dos Estados Unidos que estabelece requisitos para a privacidade e
a segurança das informações de saúde. De acordo com o Departamento de Saúde e Serviços
Humanos dos EUA (2021), a lei se aplica a todas as organizações de saúde que processam
informações de saúde protegidas. O objetivo do HIPAA é garantir a confidencialidade,
integridade e disponibilidade das informações de saúde.

Cada um desses frameworks tem suas próprias características e objetivos específicos,

mas todos compartilham o objetivo comum de ajudar as organizações a gerenciar seus riscos
de segurança cibernética e proteger suas informações. Ao escolher um framework para sua
organização, é importante avaliar cuidadosamente suas necessidades e objetivos específicos
para determinar qual framework melhor atende às suas necessidades.

Alguns frameworks, como o NIST Cybersecurity Framework e o CIS Critical Security

Controls, fornecem um conjunto abrangente de controles e práticas recomendadas que podem
ser aplicados em várias indústrias e organizações. Outros frameworks, como o HITRUST
CSF e o HIPAA, são projetados especificamente para setores ou tipos específicos de
organizações, como o setor de saúde.
 8

Independentemente do framework escolhido, é importante lembrar que a segurança

cibernética é um esforço contínuo e em constante evolução. As ameaças e vulnerabilidades de
segurança estão sempre mudando, portanto, as organizações devem estar preparadas para
avaliar e atualizar suas práticas e controles de segurança regularmente para garantir a proteção
adequada de seus ativos de informação.

Algumas problemáticas podem surgir quando se compara frameworks de segurança

cibernética. A seguir, apresentamos cinco problemáticas que podem ser consideradas:

I. Falta de padronização entre os frameworks

Uma das problemáticas que pode surgir ao comparar os frameworks de segurança
cibernética é a falta de padronização entre eles. Cada framework tem sua própria abordagem e
conjunto de controles, o que pode dificultar a comparação e a escolha do framework mais
adequado para uma organização específica.

II. Limitações na aplicabilidade de certos frameworks

Outra problemática é que certos frameworks podem ter limitações em sua
aplicabilidade para organizações específicas. Por exemplo, o HITRUST CSF é projetado
especificamente para organizações de saúde, o que pode torná-lo menos útil para organizações
de outros setores.

III. Dificuldades na implementação dos frameworks

A implementação de um framework de segurança cibernética pode ser um processo
complexo e desafiador. Os frameworks podem ser extensos e exigir um esforço significativo
para implementar, especialmente para organizações menores com recursos limitados.

IV. Conformidade regulatória

Os frameworks de segurança cibernética muitas vezes são desenvolvidos para ajudar
as organizações a atender aos requisitos de conformidade regulatória, mas pode haver desafios
ao implementá-los de forma adequada. Como observado pelo NIST (2018), "o uso do
Framework não garante conformidade com regulamentos ou leis aplicáveis, ou com os
requisitos de segurança cibernética de qualquer organização em particular".

V. Evolução contínua das ameaças de segurança

 9

Finalmente, uma problemática importante é que as ameaças de segurança cibernética

estão sempre evoluindo, o que significa que os frameworks de segurança também precisam
evoluir continuamente para permanecer relevantes e eficazes. Como observado pelo SANS
Institute (2021), "os controles de segurança devem ser atualizados continuamente para
manter-se à frente das ameaças em constante mudança".

Para lidar com as problemáticas apresentadas anteriormente, é possível adotar algumas

soluções, como:

Falta de padronização entre os frameworks

Uma solução para essa problemática seria desenvolver um framework de segurança
cibernética que integre os princípios dos frameworks existentes e padronize os controles em
uma abordagem coerente e integrada.

Limitações na aplicabilidade de certos frameworks

Para lidar com essa problemática, é importante identificar quais frameworks são mais
relevantes para organizações em diferentes setores e criar variantes desses frameworks que
sejam adaptados para atender às necessidades específicas dessas organizações.

Dificuldades na implementação dos frameworks

Uma solução para essa problemática seria fornecer recursos e orientações para ajudar
as organizações a implementar os frameworks de forma mais eficiente e eficaz. Isso pode
incluir treinamento para funcionários e assistência técnica para organizações com recursos
limitados.

Conformidade regulatória
Para lidar com essa problemática, é importante lembrar que a conformidade
regulatória não é um fim em si mesma. Os frameworks de segurança cibernética devem ser
vistos como uma ferramenta para ajudar as organizações a gerenciar seus riscos de segurança
cibernética de forma mais eficiente e eficaz. Para isso, é importante ter uma abordagem
holística que considere os requisitos regulatórios, mas também a gestão de riscos em geral.

Evolução contínua das ameaças de segurança

 10

Uma solução para essa problemática é desenvolver frameworks de segurança

cibernética que sejam adaptáveis e evoluam com as ameaças de segurança em constante
mudança. Isso pode incluir a criação de novos controles de segurança e a atualização regular
dos controles existentes para garantir que estejam alinhados com as ameaças de segurança
mais recentes.

2.4 Proposta de Framework de Boas Práticas

Com base nas problemáticas identificadas na comparação dos frameworks de
mitigação de riscos de segurança, propomos um framework integrado de segurança
cibernética que aborda as lacunas e limitações dos frameworks existentes, utilizando suas
características positivas uma proposta de um framework de boas práticas que engloba os
seguintes aspectos:

i. Avaliação de riscos e seleção de frameworks

A primeira etapa consiste na avaliação dos riscos de segurança cibernética e na seleção
dos frameworks mais adequados para a organização. Isso envolve uma avaliação das ameaças
e vulnerabilidades existentes e uma análise dos requisitos regulatórios aplicáveis. Com base
nessa avaliação, a organização pode selecionar os frameworks que melhor atendem às suas
necessidades.

ii. Adaptação de frameworks

Uma vez selecionados os frameworks, a próxima etapa é adaptá-los para atender às
necessidades específicas da organização. Isso pode envolver a criação de variantes de
frameworks existentes que atendam aos requisitos específicos da organização ou a
personalização dos controles de segurança para atender às necessidades exclusivas da
organização.

iii. Implementação de frameworks

A terceira etapa é a implementação dos frameworks selecionados e adaptados. Isso
envolve a criação de planos de implementação detalhados que incluam metas e marcos
específicos, recursos necessários e prazos para a conclusão.

iv. Monitoramento e revisão de frameworks

 11

A quarta etapa é o monitoramento contínuo e a revisão dos frameworks

implementados. Isso envolve a avaliação periódica dos controles de segurança existentes para
garantir que eles estejam alinhados com as ameaças de segurança em constante mudança e a
revisão dos frameworks em si para garantir que continuem sendo relevantes e eficazes.

v. Educação e conscientização dos funcionários

Finalmente, a quinta etapa é a educação e conscientização dos funcionários sobre as
políticas e práticas de segurança cibernética da organização. Isso envolve treinamento regular
para funcionários sobre as melhores práticas de segurança cibernética e a criação de uma
cultura de segurança cibernética na organização.
Além dessas cinco etapas também deve possuir as qualidades positivas dos
frameworks estudados acima.

1. Governança de segurança: Implementação de políticas e procedimentos de segurança

alinhados aos objetivos organizacionais (ISO/IEC 27001; COBIT).

2. Avaliação e gestão de riscos: Identificação, análise e tratamento de riscos cibernéticos

(FAIR; NIST Cybersecurity Framework).

3. Controles de segurança: Implementação de controles para prevenir, detectar e corrigir

vulnerabilidades e incidentes de segurança (CIS Critical Security Controls; SANS Top
20).

4. Conformidade e privacidade de dados: Cumprimento de normas e regulamentações

específicas do setor e proteção da privacidade dos dados (PCI DSS; GDPR; HIPAA;
HITRUST CSF).

5. Resposta a incidentes e recuperação: Desenvolvimento de planos de resposta a incidentes

e continuidade dos negócios (NIST Cybersecurity Framework).

2.5 A Integração do Hacker Ético no Framework Proposto

 12

Para maximizar a eficácia do framework proposto, é essencial integrar o trabalho do

hacker ético em cada um dos aspectos mencionados. A seguir, são apresentadas algumas
estratégias para essa integração:

Governança de segurança: O hacker ético pode contribuir na elaboração de políticas e

procedimentos, considerando as ameaças e vulnerabilidades encontradas durante os testes de
penetração e auditorias de segurança. Além disso, os hackers éticos podem fornecer
treinamento e conscientização em cibersegurança para os colaboradores da organização.

Avaliação e gestão de riscos: Os hackers éticos são capazes de identificar riscos

cibernéticos, analisar as possíveis consequências e sugerir tratamentos adequados. Eles podem
colaborar com a equipe de gestão de riscos da organização para garantir uma abordagem
holística e eficaz.

Controles de segurança: A implementação de controles de segurança recomendados

pelos hackers éticos, com base em suas análises e testes de penetração, pode fortalecer a
defesa das organizações contra ameaças cibernéticas. O monitoramento contínuo e a revisão
dos controles de segurança são fundamentais para garantir que eles permaneçam eficazes ao
longo do tempo.

Conformidade e privacidade de dados: Hackers éticos podem auxiliar as organizações

na avaliação de sua conformidade com normas e regulamentações específicas do setor, bem
como na identificação e mitigação de riscos de privacidade de dados. Isso inclui a realização
de avaliações de impacto à privacidade e a aplicação de técnicas de anonimização e
pseudonimização.

Resposta a incidentes e recuperação: Hackers éticos podem atuar na elaboração de

planos de resposta a incidentes, considerando os tipos de ataques e vulnerabilidades
encontrados durante os testes de penetração e avaliações de segurança. Eles também podem
ajudar a desenvolver e testar planos de continuidade dos negócios, garantindo que as
organizações estejam preparadas para enfrentar incidentes de segurança.

2 CONCLUSÃO
 13

A figura do hacker ético e a utilização de frameworks de cibersegurança são

fundamentais no contexto atual. O framework proposto combina boas práticas de diferentes
frameworks populares, proporcionando uma abordagem abrangente para mitigar riscos e
proteger sistemas e redes contra ameaças cibernéticas. A integração do hacker ético e a
adoção do framework de boas práticas proposto podem aumentar significativamente a
capacidade das organizações de enfrentar desafios de cibersegurança. Ao combinar a
expertise do hacker ético com as boas práticas identificadas nos frameworks populares, as
organizações podem estabelecer um ambiente de segurança mais robusto e resiliente,
protegendo-se contra ameaças cibernéticas e garantindo a proteção de seus sistemas, redes e
dados.

Ao longo da comparação dos frameworks de mitigação de riscos de segurança

cibernética, foram identificadas diversas problemáticas que podem surgir na implementação
desses frameworks. Para lidar com essas problemáticas e promover uma abordagem mais
eficiente e eficaz na gestão de riscos de segurança cibernética, propôs-se um framework de
cinco etapas.

No entanto, é importante destacar que o sucesso na implementação desse framework

depende, em grande parte, da presença de profissionais de segurança cibernética altamente
qualificados e éticos, incluindo hackers éticos. Esses profissionais são essenciais para garantir
que as organizações estejam preparadas para enfrentar as ameaças de segurança cibernética
em constante evolução.

Os hackers éticos são profissionais que usam suas habilidades em segurança

cibernética para identificar vulnerabilidades em sistemas e aplicativos e ajudar as
organizações a corrigi-las antes que possam ser exploradas por criminosos cibernéticos. Eles
são uma parte fundamental do esforço global para proteger as informações e infraestruturas
críticas contra ameaças de segurança cibernética.

Além disso, os hackers éticos podem ajudar a promover uma abordagem mais proativa
na gestão de riscos de segurança cibernética. Como observado pela Forbes (2020), "os
hackers éticos podem fornecer insights valiosos que ajudam a proteger organizações contra
futuras violações, fornecendo uma perspectiva única que ajuda a identificar pontos fracos em
sistemas e processos".
 14

Dessa forma, é importante reconhecer o papel crucial dos hackers éticos na segurança
cibernética e garantir que as organizações contem com profissionais altamente qualificados e
éticos para ajudar na gestão de riscos de segurança cibernética. Ao mesmo tempo, é
necessário adotar abordagens abrangentes e integradas para mitigar os riscos de segurança
cibernética, como o framework proposto, que ajuda as organizações a gerenciar seus riscos de
forma mais eficiente e eficaz.

REFERÊNCIAS
Chen, J., Ramakrishnan, R., & Guo, H. (2014). A situational awareness framework for
information security management. Procedia Computer Science, 28, 847-852.

Cybersecurity Ventures. (2021). The Top 10 Cybersecurity Frameworks. Acesso em 11 de

abril, 2023, de https://www.cybersecurityventures.com/top-10-cybersecurity-frameworks/.

Cimpanu, C. (2021). The importance of cyber security frameworks for enterprise business.
ZDNet. Retrieved from https://www.zdnet.com/article/the-importance-of-cyber-security-
frameworks-for-enterprise-business/.

Dlamini, M. T., Eloff, J. H., & Eloff, M. M. (2019). Information security: The moving target.
Computers & Security, 78, 129-156.

Dutta, A., Peng, G. C., & Choudhary, A. (2017). Risks in enterprise cloud computing: The
perspective of IT experts. Journal of Computer Information Systems, 57(4), 347-356.

Hadlington, L. (2017). Human Factors in Cyber Security. Red Globe Press.

HALBERG, Bruce. A. Networking: Redes de Computadores, Teoria e Prática. Editora Alta

Books, Rio de Janeiro – RJ, 2003.

Hansche, S., Berti, J., & Hare, C. (2016). Official (ISC)² guide to the CISSP CBK: Access
control. CRC Press.

Khan, R. U., Gollmann, D., & Swarup, V. (2018). Cyber security skills: A hot issue. IEEE
Security & Privacy, 16(5), 64-69.

Kshetri, N. (2016). The emerging role of cybersecurity. Computer, 49(3), 84-88.

Mitreanu, C. (2020). A framework for understanding and predicting cyberattacks. Journal of

Cybersecurity, 6(1), tyaa002.

Mitreanu, A. (2020). The Role of Ethical Hackers in Cybersecurity. Journal of Cybersecurity

Research, 5(1), 25-38.
 15

Rahman, M. M., Baral, R., Bhuiyan, M. Z., & Kayes, A. S. M. (2020). Towards a framework
for developing cybersecurity collaboration and partnership between government, industry and
academia. Australasian Journal of Information Systems, 24, 1-22.

von Solms, R., & van Niekerk, J. (2013). From information security to cyber security.
Computers & Security, 38, 97-102.

Zhang, Y., Wen, J., Ming, Y., & Han, W. (2019). An empirical study on the essential
elements of the information security management system. Information Systems Frontiers,
21(3), 503-516.

VENKATACHALAM, R.; KUMAR, P. Ethical Hacking: Need, Scope, and Challenges. In:
Proceedings of the 3rd International Conference on Communication and Electronics Systems.
IEEE, 2020. p. 1684-1687.

GUPTA, S.; CHOUDHARY, S. Ethical Hacking: A Tool to Strengthen Cyber Security. In:
Proceedings of the 6th International Conference on Information Technology and Quantitative
Management. IEEE, 2019. p. 1752-1757.

CARVALHO, B. A. L.; RODRIGUES, A. B. A importância do hacker ético para a segurança

da informação. Revista de Administração de Empresas, v. 60, n. 1, p. 45-53, 2020.

NIST. NIST Cybersecurity Framework. 2018. Disponível em:

https://www.nist.gov/cyberframework. Acesso em: 10 abr. 2023.

ISO. ISO/IEC 27001:2013 Information technology — Security techniques — Information

security management systems — Requirements. 2013. Disponível em:
https://www.iso.org/standard/54534.html. Acesso em: 10 abr. 2023.

CIS. CIS Controls®. 2021. Disponível em: https://www.cisecurity.org/controls/. Acesso em:

10 abr. 2023.

PCI Security Standards Council. Payment Card Industry (PCI) Data Security Standard (DSS).
2021. Disponível em: https://www.pcisecuritystandards.org/pci_security/. Acesso em: 10 abr.
2023.

ISACA. COBIT® 2019 Framework. 2019. Disponível em:

https://www.isaca.org/resources/cobit. Acesso em: 10 abr. 2023.

FAIR Institute. Factor Analysis of Information Risk (FAIR™) Standard. 2021. Disponível
em: https://www.fairinstitute.org/standards. Acesso em: 10 abr. 2023.

SANS Institute. SANS Top 20 Critical Security Controls. 2021. Disponível em:
https://www.sans.org/security-controls/. Acesso em: 10 abr. 2023.

HITRUST. HITRUST CSF®. 2021. Disponível em: https://hitrustalliance.net/hitrust-csf/.

Acesso em: 10 abr. 2023.
 16

Comissão Europeia. General Data Protection Regulation (GDPR). 2021. Disponível em:
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en. Acesso em: 10
abr. 2023.

Departamento de Saúde e Serviços Humanos dos EUA. Health Insurance Portability and
Accountability Act (HIPAA). 2021. Disponível em: https://www.hhs.gov/hipaa/. Acesso em:
10 abr. 2023.

FORBES. Why Ethical Hackers Are Essential To Cybersecurity. 2020. Disponível em:
https://www.forbes.com/sites/forbestechcouncil/2020/06/15/why-ethical-hackers-are-
essential-to-cybersecurity/?sh=21a6b8f55b80. Acesso em: 10 abr. 2023.