A Importância Do Hacker Ético: Um Framework para
Auxílio da Cibersegurança
Douglas Schmitz Dupski Diógenes Antonio Marques José
Universidade do Estado de Mato Universidade do Estado de Mato
Grosso (UNEMAT) Grosso (UNEMAT)
Barra do Bugres-MT Barra do Bugres-MT
schmitz.dupski@unemat.br dioxfile@unemat.br
RESUMO
Este artigo científico discute a importância do hacker ético na
cibersegurança e propõe um framework de boas práticas para
auxiliar nessa área. O estudo define os conceitos de hacking e
hacker ético, destacando o uso dos conhecimentos de tecnologia
da informação para tornar os sistemas mais seguros. São
apresentados os tipos de hacking ético, como hacktivistas, cyber-
warriors e hackers éticos certificados. O estudo explora os
procedimentos éticos seguidos pelos hackers éticos, que incluem
etapas como reconhecimento, escaneamento, acesso ao sistema,
exploração e limpeza. Propõe-se um framework de boas práticas
de segurança para maximizar a segurança da informação em
ambientes de rede. O framework abrange áreas como políticas de
grupo, gerência de contas, práticas de segurança, infraestrutura de
rede, hardware, software, dados, pessoas e inteligência artificial.
Cada área é detalhada com diretrizes e ações específicas para
garantir a segurança dos sistemas e redes. A lógica fuzzy é
aplicada no framework, permitindo a avaliação qualitativa das
boas práticas de segurança. Através da fuzzyficação, inferência e
defuzzyficação, é possível classificar as práticas em categorias de
qualidade. Isso auxilia na tomada de decisões contra ameaças
cibernéticas e identifica áreas que necessitam de maior atenção. A
metodologia adotada é qualitativa e aplicada, utilizando pesquisa
bibliográfica como fonte de informações. O framework é
resultado da compilação de diversas fontes bibliográficas, como
livros, artigos e estudos científicos. Os resultados consistem em
um framework de verificação de boas práticas em ativos
organizacionais, integrando a lógica fuzzy para avaliação da
qualidade da segurança. A ferramenta auxilia os profissionais de
segurança da informação na tomada de decisões e na identificação
de vulnerabilidades.
Palavras-chave
Hacker ético; Cibersegurança; Framework de boas práticas;
Procedimentos éticos; Lógica fuzzy
1
1. INTRODUÇÃO
Com os avanços da tecnologia da informação, as organizações
alcançaram um alto nível de efetividade ao oferecer serviços e
produtos para atender às necessidades de seus clientes e usuários,
sejam elas privadas ou públicas. Em contra partida, as ameaças
cibernéticas estão evoluindo na mesma proporção das tecnologias
da informação utilizadas pelas organizações. Na outra mão, com
um pouco de atraso, as soluções e ferramentas para combater
esses riscos (ex., as ameaças cibernéticas, malware) também
foram criadas, recomendadas e implementadas nas organizações,
porém, inúmeras práticas em nível dos usuários das tecnologias,
continuam aumentando o risco de ataques cibernéticos dentro das
organizações [13]. Portanto, como a informação hoje é um dos
ativos mais importantes das organizações, há uma necessidade
fundamental crescente de buscar os diferentes métodos,
estratégias e tecnologias para proteger tais informações, com o
objetivo de garantir e preservar a confidencialidade, a integridade
e a disponibilidade dos dados como eixo fundamental [21].
Diante do exposto, o objetivo deste trabalho é realizar uma
investigação sobre Cyber Ameaças e ética hacker, e dessa forma,
apresentar os resultados de modo que os mesmos possam ser
usados por profissionais de TI, em prol da sociedade, na proteção
das informações cibernéticas. A principal ideia é desenvolver um
framework de boas práticas na gestão de segurança das
organizações.
Por conseguinte, a metodologia a ser empregada quanto a
abordagem será qualitativa e quanto a natureza será aplicada.
Além disso, os procedimentos empregados serão o bibliográfico e
o estudo de caso, e quanto ao objetivo será uma pesquisa
descritiva.
No que se refere aos procedimentos, a pesquisa bibliográfica foi
escolhida porque ela é a habilidade fundamental nos cursos de
graduação, sendo o primeiro passo nas atividades acadêmicas, ela
também se baseia em toda a fonte de informação, por exemplo,
livros, sites, artigos, etc [2]. Já o estudo de caso é a estratégia
principal quando precisa-se descobrir “como” ou “por que” as
coisas funcionam [30].
2. TRABALHOS RELACIONADOS
Esta sessão destaca alguns dos principais trabalhos relacionados
ao estudo proposto. Desta forma os próximos paragrafos
apresentam esses trabalhos.
Este documento introduz o SECProject, um esquema que
estabelece e estrutura as fases técnicas e financeiras
indispensáveis para o desenvolvimento e aplicação de um plano
de cibersegurança econômica em empresas de pequeno e médio
porte (PMEs). Por consequência, as fases do SECProject
possibilitam uma programação estruturada e orientada de
segurança cibernética, levando em conta os componentes técnicos
e financeiros exigidos para uma proteção apropriada [9].
Este estudo tem como foco a identificação e análise dos ataques
cibernéticos que ocorreram no Brasil de 2010 a 2020, bem como
as respostas brasileiras a esses ataques. O trabalho, dividido em
quatro partes, explora conceitos fundamentais de cibersegurança,
aplica a Teoria da Prática Internacional, avalia a estrutura e
responsabilidades das instituições brasileiras envolvidas na
segurança cibernética e, por fim, coleta e analisa dados de
incidentes cibernéticos. A conclusão demonstra que a estratégia
brasileira de cibersegurança tem evoluído ao longo do período
estudado, alinhando-se progressivamente às principais práticas
internacionais de segurança no espaço cibernético [1].
O artigo discute a questão da segurança cibernética no contexto
moderno onde a maioria dos trabalhos é feita pela internet e dados
críticos são compartilhados online. Destaca a existência de
usuários que interagem com os dados, alguns para suas
necessidades pessoais, outros com intenções destrutivas. Apesar
de várias técnicas de proteção de dados estarem disponíveis, os
hackers conseguem violá-las. Há dois tipos de hackers,
diferenciados pelas suas intenções: hackers éticos, que usam suas
habilidades para proteger dados sensíveis, e crackers, que
quebram a segurança com intenções maliciosas, para roubar ou
danificar informações importantes [26].
A pesquisa discute a importância da segurança da informação em
um mundo onde sistemas de computadores estão constantemente
expostos a ameaças de invasão, apesar das medidas de proteção,
como criptografia e senhas. Isso é particularmente relevante com
o crescente número de produtos inteligentes com acesso à internet,
como computadores, smartphones e tablets, que são vulneráveis a
ataques maliciosos que exploram falhas em seus sistemas de
defesa. Estas invasões podem levar a consequências indesejáveis
para as empresas, como roubo de dados, vazamento de
informações ou indisponibilidade de serviços. O texto apresenta o
papel do "hacker ético", um especialista em segurança da
informação cuja tarefa é aprimorar a detecção, prevenção e
resposta a intrusões em redes de computadores [12].
Este estudo busca identificar as principais ameaças de segurança
cibernética nas organizações em um mundo cada vez mais
digitalizado, pós-pandemia. Baseado em uma revisão bibliográfica
de pesquisas acadêmicas e documentos oficiais, o trabalho ressalta
a crescente preocupação com crimes cibernéticos e destaca as
principais vulnerabilidades no ambiente virtual. Conclui que a
proteção de dados precisa estar incorporada na cultura
organizacional, com um planejamento estratégico específico para
segurança da informação, e aponta para a necessidade de estudos
contínuos sobre o tema [24].
Este trabalho explora a crescente autonomia dos Sistemas de
Informação, impulsionada pelos avanços em Inteligência
Artificial (IA) que permitem simular comportamentos e reações
humanas. No entanto, este progresso também torna esses sistemas
alvos atraentes para ataques cibernéticos, potencialmente
causando graves consequências. Desta forma, torna-se crítico
proteger esses sistemas, aprimorando a IA embutida e
identificando suas vulnerabilidades. Este estudo propõe uma
solução para ajudar as organizações a diminuir essas fragilidades e
prevenir ataques cibernéticos. Uma revisão detalhada de
Cibersegurança e IA é realizada para desenvolver um quadro de
referência que une ambas as áreas. Para validar essa proposta,
diversos artigos acadêmicos são analisados [18].
Este trabalho apresenta a criação de um framework para analisar
as vulnerabilidades de um sistema de informação, com a
2
finalidade de reconhecer possíveis ameaças e reduzir riscos. Em
um mundo cada vez mais interconectado, com o aumento da
capacidade de comunicação de dados e avanços tecnológicos, a
informação se torna cada vez mais exposta a riscos. Este cenário
ressalta a necessidade de se proteger sistemas em termos técnicos
e garantir a segurança comportamental das pessoas. É crucial
compreender que o fator humano constitui um dos maiores riscos,
já que a maioria das violações ocorre por ação intencional ou
acidental de indivíduos. Assim, a framework proposta busca ser
um recurso gerencial de prevenção e antecipação, fornecendo uma
ferramenta prática e ágil para identificar vulnerabilidades e
estabelecer medidas adequadas, facilitando a monitorização de
riscos por parte das organizações [15].
3. DESENVOLVIMENTO
3.1 O hacker ético
Antes de definir um hacker ético é preciso definir hacking. O
hacking consiste em acessar um computador privado de algum
lugar do ciberespaço usando deficiências em sistemas de
segurança, aproveitando-se de vulnerabilidades ou obtendo senhas
de acesso se passando por usuários legítimos. O hacking é uma
intrusão maliciosa ou não que tenta vasculhar dados em busca de
informações valiosas [22].
Hacker ético é o termo inicialmente usado pelos profissionais de
informática para definir um indivíduo que usa seus conhecimentos
de TI para tornar os sistemas digitais mais seguros e confiáveis. O
hacker ético avalia a segurança e identifica vulnerabilidades em
sistemas, redes ou infraestrutura de sistemas, isso inclui encontrar
e explorar algumas vulnerabilidades para determinar quando há
falhas de segurança. As pessoas que se enquandram nestes termos
são conhecidas como hackers éticos ou hackers brancos [22][3].
O Hacking ético tem duas características: (a) uma delas é o hobby
ou profissão, o indivíduo tem interesse de trabalhar na área; (b) a
outra consiste “no lado negro da força”, são os indivíduos que
usam seus conhecimentos para cometer crimes cibernéticos, ou
seja, estes usam ferramentas para explorar e invadir sistemas com
objetivos econômicos e/ou pessoal [17].
Algumas das razões pelas quais o hacking é realizado são: 1 - por
razões de segurança (ex. demonstrar a vulnerabilidade ou
fraquezas de um sistema digital); 2 - para fins de aprendizagem,
isto é, o hacker invade para descobrir casos de abuso ou crimes
contra a sociedade, mantendo uma espécie de vigilância, neste
caso o hacker é considerado um protetor, hacker ético [17].
3.2 Tipos de hacking ético
Existem principalmente 3 tipos diferentes de hacking ético:
3.2.1. Hacktivistas
Esta é a técnica pela qual um hacker de computador está entrando
ilegalmente em qualquer sistema de computador por qualquer
motivo, seja social ou político. Nesta atividade, um hacker de
computador pode deixar uma mensagem, explícita, na página
inicial de qualquer site conhecido ou qualquer outra mensagem
importante para o visitante ver essa mensagem e reagir de acordo.
Ele pode exibir qualquer tipo de fala ou qualquer mensagem
social que possa atrair os usuários. Isso pode levar à entrada no
sistema sem o consentimento do alvo. Ele pode imprimir qualquer
mensagem social, já que o hacker ético é ético ou não, o que pode
atrair muitos usuários [16][3].
3.2.2. Cyber-Warrior
Um Cyber Warrior (Guerreiro cibernético) é uma pessoa que
participa da guerra cibernética, seja por razões pessoais ou por
crenças patrióticas ou religiosas. A guerra cibernética pode ser
engendrada para defender computadores e sistemas de
informação, ou para atacá-los. Os guerreiros cibernéticos vêm de
diferentes formas, dependendo de seus papéis, mas todos eles se
relacionam com a segurança da informação de uma forma ou de
outra [7].
3.2.3. Hacker ético certificado.
Como o nome indica, é um hacker ético certificado ou um testador
de penetração licenciado, são aqueles profissionais certificados ou
licenciados na área de segurança que desempenham as funções de
hacker de caixa preta e caixa branca. Eles são responsáveis por
investigar o sistema e as redes para descobrir vulnerabilidades e
fraquezas [7].
Essas certificações ou licenças são concedidas pelo Conselho
Internacional de Consultores de Comércio Eletrônico. Hackers
éticos devem ser recertificados a cada três anos.
Por exemplo, a certificação EC-Council é um extenso programa
de hacking ético e treinamento em segurança de rede para atender
aos mais altos padrões para os profissionais. Já o CISM é o padrão
globalmente aceito para pessoas que projetam, constroem e
gerenciam programas de segurança da informação corporativa. O
CISM é a principal certificação para administradores de segurança
da informação. O último Índice trimestral de Classificação de
Habilidades e Certificações de TI (ITSCPI) da Foote Partners
classificou o CISM como o mais cobiçado e mais bem pago das
certificações de segurança [8].
A certificação CISSP é um padrão reconhecido mundialmente que
confirma o conhecimento de um indivíduo no campo da segurança
da informação. Os certificados CISSP são profissionais de
segurança da informação que definem a arquitetura, design,
gerenciamento e/ou controles que garantem a segurança dos
ambientes de negócios. Foi a primeira certificação no campo da
segurança da informação a atender aos rigorosos requisitos da
ISO/IEC 17024 [8].
3.2.4. Hacker negros e grey hacker
Também conhecido como "Cracker" é um especialista em
software e hardware de computador que quebra a segurança de
alguém com intenções maliciosas ou más intenções de roubar ou
danificar informações importantes, comprometendo a segurança
de grandes organizações, desligando ou alterando funções de sites
ou redes. Eles violam a segurança a seu favor, realizam crimes
cibernéticos, como roubo de identidade e fraude de cartão de
crédito. Já o Grey Hacker é um especialista que às vezes viola
leis, embora não tenha intenções maliciosas como hackers negros,
eles representam hackers brancos porque operam mantêm a
segurança do sistema e hackers negros quando exploram
maliciosamente sistemas de computador [7].
O conhecimento de um hacker ético é muito semelhante ao de um
hacker de verdade. Alguns hackers negros são conhecidos por se
tornarem hackers brancos e agora estão usando seu conhecimento
de pentesting e hackear sistemas de informação de forma ética. É
muito controverso contratar hackers éticos que foram hackers
negros, já que o hacker ético terá autorização do proprietário das
informações para entrar e, posteriormente, ser capaz de ver
informações confidenciais, então ele precisa ser extremamente
confiável, já que ele pode posteriormente realizar um ataque como
hacker para seu próprio benefício [16].
3
Durante essa tarefa, um hacker ético acessará as informações
confidenciais do cliente, poderá ver e descobrir os pontos fracos
dos clientes. É por isso que muitas empresas não acreditam na
contratação de hackers para realizar ataques éticos, de acordo com
o entendimento é que, ao fazê-lo, implicaria um nível muito alto
de risco e segurança.
3.3 Procedimentos éticos
O procedimento ético de hacking tem basicamente cinco estágios
diferentes. Qualquer hacker ético seguirá essas etapas uma a uma
e atingirá seu objetivo. O reconhecimento é o primeiro deles e seu
objetivo é obter o máximo de informações possíveis sobre a
organização, também conhecida como impressão a pé. O
significado literal do reconhecimento significa um levantamento
preliminar para obter as informações [22].
Embora as tecnologias que mitigam as vulnerabilidades do
computador evoluam rapidamente, é fácil esquecer o elemento
mais importante presente em todas as TIC: o ser humano. Por
isso, é importante que as pessoas conheçam os procedimentos que
colocam em risco a segurança da informação. Durante esta fase de
reconhecimento, diferentes tipos de ferramentas podem ser
utilizadas, como mapeamento de rede e análise de vulnerabilidade
de rede [16].
O escaneamento é a próxima etapa do hacking e consiste na
digitalização. Com essa técnica, a pessoa que realiza o teste pode
facilmente encontrar as portas abertas para qualquer rede. Nesta
fase, um hacker sempre tenta fazer um esquema da rede a ser
atacada. O esquema inclui os endereços IP da rede final ou de
destino que estão ativos, detecção ativa do host, varredura de
portas, detecção do sistema operacional, identificação de
vulnerabilidades etc. Em alguns dos casos, a maioria dos scanners
de vulnerabilidade faz um trabalho maravilhoso de minimizar os
falsos positivos, e muitas organizações os usam para reconhecer
sistemas desatualizados ou uma possível nova experiência que
poderia ser explorada por hackers de computador [17].
Com a ajuda da varredura moderna da porta que usa o protocolo
TCP, é possível até saber qual sistema operacional está sendo
executado nos hosts específicos. No termo tecnológico, a
varredura portuária é usada principalmente para descobrir as
vulnerabilidades e pontos fracos da porta utilizada na rede. Nesse
processo, temos que localizar o host ativo, o sistema operacional
usado, firewalls, sistemas de detecção de intrusões, os diferentes
servidores e serviços em execução nesses servidores, dispositivos
de limite, topologias de roteamento e outras topologias usadas na
rede da organização alvo [8].
Usando a técnica de impressão do pé, pode-se rastrear o endereço
IP da organização de destino. Uma vez que o endereço IP é
encontrado, digitalizar as portas TCP e UDP do sistema de destino
torna-se bastante fácil para o hacker ético mapear a rede. A
ferramenta de mapeamento de rede mais comum e popular é o
Nmap, que é muito poderoso, flexível e muito fácil de usar. O
mapeador de rede Nmap está disponível para vários sistemas
operacionais, por exemplo, Linux e Windows. Além do Nmap,
existem muitas ferramentas de mapeamento de rede disponíveis
na Internet, como Superscan, Unicornscan, Scanrand e Portscan
[23].
A varredura de rede identifica todos os hosts ativos presentes em
uma rede. O objetivo deste exercício é atacá-los ou avaliar a
segurança da rede. Neste procedimento, serão conhecidos os
endereços IP de cada host. Todas as ferramentas de digitalização
de rede podem informar sobre os hosts ativos e seus endereços IPs
correspondentes na rede [8].
I. Na varredura de vulnerabilidades, o hacker ético conhecerá o
sistema operacional e outros detalhes relacionados ao sistema
operacional, como sua versão, o pacote de atualização, se
instalado. O scanner de vulnerabilidade identificará a fraqueza do
sistema operacional para que ele possa ser atacado. A varredura de
vulnerabilidades geralmente se refere a sistemas de digitalização
conectados à Internet [16].
II. Entre as principais ferramentas utilizadas para defesa e que
fazem varreduras estão:
a.Nessus - é o padrão global para prevenir ataques de rede,
identificar vulnerabilidades e detectar problemas de configuração
que os hackers usam para invadir a rede. O Nessus foi usado por
mais de 1 milhão de usuários em todo o mundo, tornando-se líder
mundial em avaliação de vulnerabilidades, configuração de
segurança e conformidade de segurança. Ele consiste em um
Daemon, nessusd, que realiza a varredura no sistema de destino, e
nessus, o cliente (baseado em console ou gráfico) que exibe o
progresso e relatórios sobre o status das varreduras [11].
b.Openvas: (Open Vulnerability Assessment System,1
inicialmente chamado GNessUs), é um conjunto de software, que
oferece uma estrutura para integrar serviços e ferramentas
especializadas na varredura e gerenciamento de vulnerabilidades
de segurança de sistemas de computador [11].
Neste contexto, obter acesso se torna a fase mais importante em
que os atacantes terão acesso ao sistema ou rede e poderão
controlar completamente tudo. Além disso, também é verdade que
o atacante nem sempre deve ter acesso ao sistema para danificá-lo
[7].
Essas fraquezas e vulnerabilidades expostas durante a fase de
reconhecimento e exploração são ainda mais exploradas para
obter acesso no sistema de destino. O método de conexão que um
invasor ou hacker ético usará para invadir o sistema pode ser a
rede local, o acesso local ao computador e a Internet. Há mais
alguns exemplos de ataques, estouros de buffer, sequestro de
sessão e negação de serviço [7].
Quanto ocorre o acesso ao sistema atacado também é conhecido
como proprietário de sistema no mundo da segurança, o que
significa que agora o invasor ético ou hacker terá acesso total ao
alvo. Fatores que influenciam as chances de um invasor ter acesso
a um sistema de destino incluem a arquitetura, configuração do
sistema de destino, o nível de habilidade do criminoso e o nível
primário de acesso adquirido. Um dos tipos mais prejudiciais de
ataques de negação de serviço é o DDoS, em que um hacker usa
um tipo especial de software chamado "zumbi" e o distribui-o
para várias máquinas na Internet de tal forma que muitas
máquinas na redes podem ser danificadas [7].
Uma das ferramentas utilizadas nesta etapa é o Metasploit
Framework. Ele é um projeto de código aberto que ajuda a
investigar vulnerabilidades de segurança. Vulnerabilidades
conhecidas, nas quais também possuem módulos, chamados de
cargas, que são os códigos que exploram essas vulnerabilidades
[11].
O Metasploit também possui outros tipos de módulos, por
exemplo, codificadores, que são uma espécie de códigos de
criptografia para evasão de sistemas de segurança, antivírus ou
perímetro. Outra vantagem dessa estrutura é que ele também
permite interagir com ferramentas externas, como Nmap ou
4
Nessus. Ele também oferece a possibilidade de exportar malware
para qualquer formato, seja em sistemas Unix ou Windows [23].
Neste contexto, o invasor, hacker, pode usar este sistema destino
como uma plataforma de lançamento para atacar oustros
computadores na rede [23].
Dessa forma, toda organização pode ser explorada. Há muitos
atacantes ou hackers de computador que não foram detectados e
continuam a remover todas as evidências de sua entrada no
sistema de destino. Eles usam um backdoor ou Trojan para obter
acesso repetido ao sistema. Além disso, os hackers podem instalar
um rootkit no nível do kernel do sistema operacional e com isso
gerenciar o sistema invadido como root. Também, com a ajuda de
Trojans Horses, os hackers podem obter informações de usuários,
por exemplo, nomes, senhas e outras informações confidenciais,
como número de cartão de crédito [11].
A limpeza é a última etapa em que o hacker quer remover ou
destruir todas as evidências de sua presença e suas atividades no
sistema invadido. Excluir evidências é a exigência de que um
hacker permaneça oculto. Diante do exposto, é imprecindível
rque os hackers, após uma invasão, façam o sistema parecer como
se tudo estivesse normal, mantendo com isso sua presença
imperceptível. Assim, qualquer arquivo, que tenha sido
modificado ou alterado, deve ser restabelecido ao seu estado
original [11].
3.4 Proposta de Framework de Boas Práticas
Através das seguintes fontes bibliográficas livros, artigos, revistas,
periódicos, tanto na forma física, quanto na disposição eletrônica,
pretendemos coletar informações referentes aos riscos em
ambientes de TI das organizações (ex., aqui entendidas como
empresas e instituições públicas e privadas) considerando a
utilização dos recursos digitais por parte dos usuários em
ambiente de rede. Assim, de forma a dar suporte para a
problemática da pesquisa, um levantamento bibliográfico através
de leitura, fichamento e análise, ou seja, serão analisados, com
maior incidência, obras bibliográficas já publicadas sobre o tema,
como artigos científicos, estudos científicos, teses acadêmicas e
matérias jornalísticas publicadas eletronicamente sobre o tema.
Por conseguinte, utilizando os meios adotados para coleta de
dados, apresentaremos uma explicação sobre hacking ético,
procedimentos e ações realizados pelos hackers éticos e os
principais conceitos sobre a profissão do hacker ético, os riscos e
também a importância deste profissional para a sociedade na
proteção das informações cibernéticas.
Como proposta para maximização da segurança da informação
para usuários em ambiente de redes de computadores, um
framework de boas práticas de segurança é proposto. Esse
framework verificará se as políticas de segurança são bem
empregadas no que se refere ao uso de TI dentro das
organizações.
O modelo estrutural abordará várias orientações para a verificação
de riscos de segurança em face de ameaças digitais, tanto no
ambiente interno quanto no externo. Por exemplo, os pontos de I a
IX incluem orientações cruciais de procedimentos de segurança
que abrangem a proteção de dentro para fora da rede [14][10][19]
[25][4][5].
I. Políticas de Grupo:
i. Lista de controle de acesso com permissões octais.
ii. Hierarquia para contas e grupos de usuários.
 iii. Controle de domínio com autenticação de máquina e
usuário.
iv. Políticas de grupo com GPOs atualizadas.
v. Autenticação para acessar diretórios na rede.
II. Gerência de Contas:
vi. Possui autenticação com multifatores.
viii. Existem termos de uso para as contas.
ix. Utiliza certificados para autenticação em aplicações
da empresa.
x. Autenticação com biometria digital para acesso aos
dispositivos da organização.
III. Práticas de Segurança:
xi. A organização fornece software antivírus,
antimalware e antispyware.
xii. A equipe de TI recebe treinamento constante com
relação às políticas de segurança da organização.
xiii. Existem softwares para detecção de ataques na
rede.
xiv. Arquivos confidenciais da empresa são
criptografados.
xv. Possui alguma política de recuperação de desastres.
IV. Infraestrutura de Rede:
xvi. Existe uma política para a gestão de switches,
roteadores e firewalls.
xvii. Existem procedimentos para a configuração segura
de dispositivos de rede.
xviii. Existe uma política de segurança para redes sem
fio.
xix. Existem medidas para a segurança de redes VPN.
V. Hardware:
xx. Existem políticas para a gestão segura de servidores.
xxi. Existe uma política para a disposição segura de
hardware obsoleto ou danificado.
xxii. Existe uma política de segurança para dispositivos
móveis.
VI. Software:
xxiii. Existe uma política de atualização e patching de
software.
xxiv. Existe uma política para a gestão de licenças de
software.
xxv. Existe uma política para a instalação e uso de
software de terceiros.
VII. Dados:
xxvi. Existe uma política de classificação de dados.
xxvii. Existe uma política de backup e restauração de
dados.
xxviii. Existe uma política de retenção e destruição de
dados.
VIII. Pessoas:
xxix. Existe uma política de conscientização de
segurança para todos os funcionários.
xxx. Existe uma política de acesso físico aos prédios e
salas da organização.
xxxi. Existe uma política de trabalho remoto seguro.
IX. Inteligência Artificial:
xxix. Inteligências artificiais para apoio da segurança de
ativos.
3.5 Aplicação da lógica fuzzy
Este capítulo demonstra as etapas de aplicação da lógica fuzzy
sobre as boas práticas contidas no framework apresentado e,
pretende qualificar as boas práticas quanto ao emprego em
organizações.
5
De acordo com [6][29][28][20], a aplicação da lógica na
modelagem de sistemas consistem em três etapas, que são a
fuzzyficação,inferência e defuzzyficação. As estapas possibilitam
a resolução de problemas voltados a tomada de decisão. De
acordo com o guia para modelar e controlar sistemas fuzzy [20],
as sessões 3.5.1, 3.5.2 e 3.5.3 do artigo explicam as etapas
aplicadas as boas praticas contidas no framework.
3.5.1 Fuzzyficação
De forma a analisar a maneria como a organização esta abordando
cada prática, uma breve definição das variáveis para o controle da
qualidade.
Além disso, a interface de fuzzificação emprega funções de
pertinência presentes na base de dados, transformando os sinais de
entrada em uma escala de [0,1] que pode ser correlacionada com
etiquetas linguísticas [20].
Primeiro a definição das variáveis de saída que são classificadas
em cinco categorias de qualidade, Muito Baixa, Baixa, Media,
Alta e Muito Alta. A seguir a definição dessas variáveis.
Muito Baixa [0]: A organização não possui esta diretriz
documentada ou utiliza opções de origem pirata para cumpri-la.
Baixa [0.25]: A organização adota a diretriz mas não está bem
documentada ou não é conhecida pelos funcionários os quais se
encaixam esta diretriz. Não cobre todos os sistemas críticos e não
é testada regularmente.
Media [0.5]: A diretriz está documentada e é conhecida pelos
funcionários os quais estão envolvidos. Cobre a maioria dos
sistemas críticos, mas não é testada com frequência suficiente.
Alta [0.75]: A diretriz está documentada, é conhecida por todos os
funcionários, cobre todos os sistemas críticos e é testada
regularmente.
Muito Alta [1]: Quando a organização utiliza técnicas da
inteligência artificial para auxiliar na verificação das diretrizes e
conhecimento das vulnerabilidades.
3.5.2 Inferência
A etapa de inferência é crucial para fundamentar a tomada de
decisões, já que é nesse momento que são estabelecidos os graus
de pertinência de cada elemento em relação ao conjunto. Essas
determinações são então utilizadas em regras do tipo "Se - Então"
para orientar as decisões subsequentes [56][57][58].
As regras adaptadas para auxilio em tomadas de decisões contras
ameaças estão definidas nos itens I,II,III,IV e V a seguir.
I. Se a qualidade da diretriz é muito baixa, então a organização
não possui documentação ou aborda meios ilegais como a
pirataria para cumprir.
II. Se a qualidade é baixa, então a diretriz esta mal
documentada e não é conhecida por todos os usuários os
quais são afetados.
III. Se a qualidade é media, então a organização possui
documentação adequada e, é conhecida por todos os
funcionários, cobre a maioria dos sistemas críticos e não é
testada constantemente.
IV. Se a qualidade é Alta, significa que a diretriz esta bem
documentada e os funcionários recebem treinamento
 constante e cobre todos os sistemas críticos e testada com xxi Existe uma política para a disposição
frequência. segura de hardware obsoleto ou
danificado.
V. Se a qualidade é Muito Alta, então a organização possui
xxii Existe uma política de segurança para
documentação, treinamento constante e emprego de alguma
dispositivos móveis.
inteligência artificial para acelerar o processo de verificação
e conhecimento das vulnerabilidades. xxiii Existe uma política de atualização e
patching de software.
3.5.3 Defuzzyficação xxiv Existe uma política para a gestão de
licenças de software.
De acordo com [20][27], esta é a ultima etapa, onde é possivel
controlar o processo de avaliação de acordo com as regras xxv Existe uma política para a instalação e
definidas. O formulário desenvolvido é capaz de avaliar uso de software de terceiros.
qualitativamente quanto as regras estabelecidas no processo de xxvi Existe uma política de classificação de
inferência. dados.
Tabela 1. Sistema de avaiação de boas práticas de segurança
xxvii Existe uma política de backup e
Nº Boa Prática Avaliação restauração de dados.
(1-5)
xxviii Existe uma política de retenção e
i Lista de controle de acesso com destruição de dados.
permissões octais.
xxix . Existe uma política de conscientização
ii Hierarquia para contas e grupos de de segurança para todos os funcionários.
usuários.
iii Controle de domínio com autenticação xxx Existe uma política de acesso físico aos
de máquina e usuário. prédios e salas da organização.
iv Políticas de grupo com GPOs xxxi Existe uma política de trabalho remoto
atualizadas. seguro.
v Autenticação para acessar diretórios na
rede. xxix Inteligências artificiais para apoio da
segurança de ativos.
vi Possui autenticação com multifatores.
Fonte: O Estudo
viii Existem termos de uso para as contas.
ix Utiliza certificados para autenticação em 4. METODOLOGIA
aplicações da empresa. Por conseguinte, a metodologia a ser empregada quanto a
x Autenticação com biometria digital para abordagem será qualitativa e quanto a natureza será aplicada.
acesso aos dispositivos da organização. No que se refere aos procedimentos, a pesquisa bibliográfica foi
escolhida porque é a habilidade fundamental nos cursos de
xi A organização fornece software
graduação, sendo o primeiro passo nas atividades acadêmicas,
antivírus, antimalware e antispyware.
também se baseia em toda a fonte de informação, por exemplo,
xii A equipe de TI recebe treinamento livros, sites, artigos, entre outros [30].
constante com relação às políticas de
Para auxiliar na coleta de informações relevantes para os objetivos
segurança da organização.
do artigo, utiliza-se a ferramenta de pesquisa de periódicos
xiii Existem softwares para detecção de Google Scholar.
ataques na rede. Desenvolvimento de um framework com boas práticas de
xiv Arquivos confidenciais da empresa são segurança da informação. Levantamento de boas práticas para de
criptografados. segurança [14][4][5].
xv Possui alguma política de recuperação Aplicação da lógica fuzzy sobre as diretrizes reunidas no
de desastres. framework, que pode auxiliar os profissionais da área de
cibersegurança e segurança da informação na tomada de decisões
xvi Existe uma política para a gestão de
contra ameaças cibernéticas. Essa técnica também permite a
switches, roteadores e firewalls.
verificação desses requisitos por meio de um formulário com o
xvii Existem procedimentos para a objetivo de verificar o grau de aderência das boas práticas de
configuração segura de dispositivos de segurança em relação aos ativos. Dessa forma, espera-se que esse
rede. formulário possibilite classificar, qualificar e auxiliar os
xviii Existe uma política de segurança para profissionais em ações e decisões contra as vulnerabilidades
redes sem fio. identificadas [6].

xix Existem medidas para a segurança de

redes VPN.
xx Existem políticas para a gestão segura de
servidores.

6
5. RESULTADOS
Um framework de verificação de boas práticas em ativos
organizacionais com a integração da lógica fuzzy para avaliação
da qualidade da segurança . A ferramenta tem como objetivo
auxiliar os profissionais da área da segurança da informação na
tomada de decisões contra ameaças cibernéticas. O Estudo
demonstra que quanto menor a qualidade adquirida no processo
de avaliação das boas práticas de segurança em organizações
maior será a importância na tomada de decisões.
6. CONCLUSÃO
O estudo destaca a importância do hacker ético na proteção das
informações cibernéticas e propõe um framework de boas práticas
que pode auxiliar as organizações na adoção de medidas eficazes
de cibersegurança. A utilização da lógica fuzzy possibilita uma
avaliação qualitativa das práticas adotadas, contribuindo para a
tomada de decisões assertivas na proteção dos ativos
organizacionais.
Espera-se que o framework proposto possa ser utilizado como
uma ferramenta para auxiliar os profissionais de segurança da
informação na proteção dos sistemas e redes contra ameaças
cibernéticas.
7. REFERÊNCIAS
[1] ALVES, Dafne. Ataques cibernéticos ao Brasil:
levantamento sistemático dos últimos dez anos (2010–
2020). 2022.
[2] ANDRADE, M. M. Introdução à metodologia do trabalho
científico: elaboração de trabalhos na graduação. São Paulo,
SP: Atlas, 2010.
[3] ARRUDA, José Pedro. Hackers, Hacktivistas e
Whistleblowers: o caso português. Perspectivas em
Ciência da Informação, v. 26, p. 15-36, 2021.
[4] BRASIL. Guia de Framework para Política de Segurança da
Informação. Brasília: Governo Federal, 2023. Disponível
em: https://www.gov.br/governodigital/pt-br/seguranca-e-
protecao-de-dados/ppsi/guia_framework_psi.pdf. Acesso
em: 15 maio 2023.
[5] BRASIL. Modelo de Política de Gestão de Ativos. Brasília:
Governo Federal, 2023. Disponível em:
https://www.gov.br/governodigital/pt-br/seguranca-e-
protecao-de-dados/ppsi/modelo_politica_gestao_ativos.pdf.
Acesso em: 15 maio 2023.
[6] CALADO, Robisom Damasceno; RIBEIRO, Harvey José
Santos. Lógica Fuzzy. Revista LabDGE UFF, 2023.
[7] COUTO, Joana Catarina Pimenta. Auditoria de
Cibersegurança-um caso de estudo. Engtec , 2018.
[8] CORREIA, Pedro Miguel Alves Ribeiro; DA SILVA
SANTOS, Susana Isabel. A ação do Estado em matéria de
cibersegurança: Estudo de percepções no caso português.
Simbiótica. Revista Eletrônica, v. 5, n. 2, p. 01-20, 2018.
[9] FIGUEREDO FRANCO, Muriel; MARTINS LACERDA,
Fabricio; STILLER, Burkhard. A FRAMEWORK FOR
THE PLANNING AND MANAGEMENT OF
CYBERSECURITY PROJECTS IN SMALL AND
MEDIUM-SIZED ENTERPRISES. Revista de Gestão e
Projetos, v. 13, n. 3, 2022.
[10] GARCIA, Lara R. Lei Geral de Proteção de Dados (LGPD):
Guia de implantação. [Digite o Local da Editora]: Editora
7
Blucher, 2020. E-book. ISBN 9786555060164. Disponível
em:
https://integrada.minhabiblioteca.com.br/#/books/97865550
60164/. Acesso em: 12 mai. 2023.
[11] GERHARDT, Tatiana Engel; SILVEIRA, Denise Tolfo.
Métodos de pesquisa. 1. ed. Rio Grande do Sul: Luciane
Delani, 2009. 133 p. v. 1.
[12] GANEO, Geovane; SILVA, Jhemesson Santos da. Intrusão
em redes de computadores. 2020.
[13] GUIMARÃES, Leonardo. Site da Renner sai do ar após
ataque hacker – entenda o caso. CNN Brasil, 2021.
Acessado em: 28/10/2022. Disponível em:
https://bityli.com/TbNmcHHd.
[14] HALBERG, Bruce. A. Networking: Redes de
Computadores, Teoria e Prática. Editora Alta Books, Rio de
Janeiro – RJ, 2003.
[15] JORGE, Ayrton Décio de Jesus. Segurança e Integridade da
Informação em Contexto Organizacional. 2021.
[16] KOBS, Anderson Vagner; VIEIRA, Sylvio André Garcia.
Cibersegurança: identificação de Keystroke por dispositivo
Rubber Ducky. Disciplinarum Scientia| Naturais e
Tecnológicas, v. 22, n. 1, p. 135-149, 2021.
[17] MARTINS, José et al. Sensibilização e treino de
segurança da informação e cibersegurança. Caso de
estudo para decisores. Órgãos da PROELIUM, 2021.
[18] OLIVEIRA, Vânia Filipa Moreira Queirós de.
Cibersegurança e Inteligência Artificial: Como garantir a
segurança de um Sistema de Informação. 2021.
[19] OLIVEIRA, Patrícia Viviane de Sá; SILVA, Patricia
Rodrigues da. Boas práticas ISO/IEC 27002 para segurança
da informação em empresas de Xinguara-PA. 2014.
[20] PAULA, Dhavynci Lyonard Marques de et al. Saneamento
nas embarcações fluviais de passageiros na Amazônia: uma
análise de risco ao meio ambiente e à saúde por meio da
lógica fuzzy. Engenharia Sanitaria e Ambiental, v. 24, p.
283-294, 2019.
[21] PINTO, Walker Douglas Garcia; MOREIRA, João Padilha;
DOS SANTOS SILVA, Anderson. Cibersegurança.
Seminário De Tecnologia Gestão E Educação, v. 2, n. 2,
2020.
[22] PINTO, Walker Douglas Garcia; MOREIRA, João Padilha;
DOS SANTOS SILVA, Anderson. Cibersegurança.
Seminário De Tecnologia Gestão E Educação, v. 2, n. 2,
2020.
[23] PRATAS, António; TERESO, Marco. Cibersegurança e
teletrabalho: um mundo de risco. Atas do VII Encontro
Científico da UI&D (ecUI&D 21), p. 119.
[24] ROCHA, Henrique Oliveira da. Principais Ameaças de
Segurança Encontradas no Ambiente Virtual nas
Organizações. 2022.
[25] SANTOS JÚNIOR, Marcos Alves dos. Crimes cibernéticos:
ameaças virtuais e práticas de prevenção. 2018.
[26] SÁNCHEZ AVILA, Miguel Angel. Hacking ético: impacto
en la sociedad. 2019.
[27] SIMÕES, Marcelo G. Controle e modelagem fuzzy. [Digite
o Local da Editora]: Editora Blucher, 2007. E-book. ISBN
9788521215479. Disponível em:
 https://integrada.minhabiblioteca.com.br/#/books/97885212 [30] YIN, R. K. Case Study Research: Design and Methods, 2nd
15479/. Acesso em: 20 mai. 2023. Edition, Vol. 5, Sage Publications, London-New Delhi,
[28] SOARES, Adriane Cristina Correa Veronez et al. 1994, applied Social Research Methods Series.
Classificação de Frutas e Legumes Utilizando Lógica
Fuzzy. Revista de Ciências Gerenciais, v. 23, n. 37, p. 52-
56, 2019.
[29] ZADEH, L.A. Fuzzi sets. Information and Control, v.8,
p.338-353, 1965. doi: https://doi.org/10.1016/S0019-
9958(65)90241-X.