AnáliseTítulo

Inserir de Riscos
Aqui e
Inserir Título Aquiem
Vulnerabildades
Redes e Sistemas
Ameaças e Vulnerabilidade

Responsável pelo Conteúdo:

Prof.ª Esp. Renata Farragoni Rodrigues da Silva Sodré

Revisão Textual:
Prof.ª Dr.ª Selma Aparecida Cesarin
 Ameaças e Vulnerabilidade

Nesta unidade, trabalharemos os seguintes tópicos:

• Introdução;
• Conceitos e Definições;
• Segurança da Informação;

Fonte: iStock/Getty Images

• Gestão de Riscos;
• Ameaças;
• Vulnerabilidades.

Objetivo
• Compreender e identificar as ameaças que causam vulnerabilidades aos Sistemas e às
Redes de Computadores, com o uso das ferramentas existentes no Mercado corporativo.

Caro Aluno(a)!

Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.

Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.

No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões

de materiais complementares, elementos didáticos que ampliarão sua interpretação e
auxiliarão o pleno entendimento dos temas abordados.

Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.

Bons Estudos!
UNIDADE
Ameaças e Vulnerabilidade

Contextualização
Na Unidade anterior, você aprendeu como os dados são transportados entre compu-
tadores e Sistemas, os meios físicos existentes que interligam esses recursos de tecnolo-
gia, topologias de Redes, seus equipamentos e Protocolos de comunicação.

Agora, nesta Unidade, você aprenderá que surgem ameaças e vulnerabilidades que po-
dem impactar o funcionamento de todo esse ambiente apresentado na Unidade anterior.

Esperamos que você aproveite a leitura e que os temas abordados sirvam de base
para seus estudos futuros.

6
Introdução
Antes de iniciarmos nosso estudo relacionado à identificação de prováveis ameaças
que causam vulnerabilidades aos Sistemas e às Redes de Computadores, apresentarei o
que vem a ser o conceito de Segurança da Informação e sua aderência à Norma Técnica
ABNT NBR ISO/IEC 27001:2013.

Acesse o link a seguir para saber quais Normas Técnicas são recomendadas para o esta-
belecimento dos níveis adequados de proteção e acesso à informação, para tratamento e
Segurança da Informação. Disponível em: https://goo.gl/7FRXBM

Ademais, apresentarei o conceito do que vem a ser uma Norma ISO/IEC ou ABNT,
porque uma Empresa decide optar por essa normatização em seus processos e os con-
ceitos de Dados, Informações, Conhecimento e Sabedoria para fecharmos o conheci-
mento do ciclo de vida da informação.

Conceitos e Definições
O que são Normas ISO/IEC?
A ISO é uma Organização Internacional de Normalização criada em 1946, com sede em
Genebra, na Suíça. Ela tem como associados organismos de normalização de cerca de 160
países, que estabelecem por consenso, salvaguardando não infringir as Leis locais de nenhum
dos países participantes (desde que indicado por seus especialistas), a criação de Normas Téc-
nicas que facilitem o comércio e promovam boas práticas de gestão e o avanço tecnológico.

O IEC é uma Organização internacional de Normatização criada em 1906, também

com sede em Genebra, Suíça, que tem a finalidade de padronização, não para promover
boas práticas e gestão (como a ISO), mas para promover a padronização de tecnologias
elétricas, eletrônicas e aquelas relacionadas; porém, não podemos deixar de falar que
alguns dos seus padrões são desenvolvidos juntamente com a Organização Internacional
para Padronização (ISO).

Ambas criam documentos internacionais que fornecem, para o uso comum e repeti-
tivo, regras, diretrizes ou características para as atividades ou seus resultados, visando à
obtenção de um grau ótimo de ordenação num dado contexto.

No que a Norma ISO/IEC difere das apresentadas

como Norma ABNT NBR ISO/IEC?
São apenas traduções adotadas pela ABNT (Associação Brasileira de Normas Técnicas)
das Normas Técnicas da ISO (International Organization for Standardization – Organi-
zação Internacional de Normalização) e IEC (International Electrotechnical Commission
– É a Comissão Eletrotécnica Internacional).

7
7
UNIDADE
Ameaças e Vulnerabilidade

Toda e qualquer Norma, seja ela ISO ou IEC, assegura que as características desejá-
veis de um produto ou serviço sejam entregues ao cliente final, atendendo a qualidade,
a segurança, a confiabilidade, a eficiência e a intercambialidade, bem como o respeito
ambiental – e tudo isso feito a um custo econômico.

O que uma Organização ganha ao adotar

uma Norma em seus processos operacionais?
Quando os produtos e os serviços atendem às nossas expectativas, tendemos a tomar
isso como certo e a não ter consciência do papel das Normas que fizeram parte do seu
processo de desenvolvimento e fabricação. Porém, rapidamente, nós nos preocupamos
quando os produtos mostram ser de má qualidade, por não se encaixarem, por serem
incompatíveis com outros equipamentos que já temos etc.

Por exemplo: a padronização das roscas de parafusos ajuda a fixar cadeiras, bicicletas
para crianças e aeronaves, bem como resolve os problemas de reparo e manutenção
causados pela falta de padronização, que um dia foram um grande problema para os
fabricantes e para os usuários de produtos.

Quando produtos, sistemas, máquinas e dispositivos trabalham bem e com segu-

rança, quase sempre é porque eles atendem às normas.

Pirâmide do conhecimento ou Hierarquia DIKW

Provavelmente, você já tenha ouvido falar a respeito da “Pirâmide do Conhecimento”
ou da “Hierarquia DIWK”, pois mesmo parecendo tão diferentes uma da outra, ambas
têm o mesmo significado.
Comecemos, então, por aquela que aparenta ser a mais distante do nosso conheci-
mento: a Hierarquia DIKW.
A Hierarquia DIKW é acrônimo para as palavras Data – Information – Knowledge
– Wisdom que nada mais vem a ser em Português do que Dado – Informação – Conhe-
cimento – Sabedoria.
E mesmo parecendo tão diferentes um conceito do outro, ambos os termos tratam
do mesmo assunto e produzem o mesmo conhecimento e são muito usados em áreas
como Ciência da Informação, Gestão de Conhecimento e também em Segurança da
Informação, por traduzirem o valor da informação que deve ser protegida por meio dos
controles estabelecidos.
Controles estabelecidos para implementar a Segurança da Informação geram cus-
tos e são muitas vezes entendidos como burocracia por alguns que não entendem da
sua importância.
Conseguir obter o entendimento do que cada um desses conjuntos de caracteres re-
presentam para a Empresa e estabelecer os controles e tratamentos adequados a cada
um deles trará o sucesso para a Organização.

8
 Sabedoria

Conhecimento

Informação

Dado

Figura 1 – Pirâmide do conhecimento ou Hierarquia DIKW

O que é dado?
Esse componente que anda lado a lado com números, palavras e imagens consegue
esclarecer e facilitar a compreensão das informações. São caracteres que juntos, em
sua forma “bruta”, não passaram por nenhum processo e nenhuma organização para
serem utilizados.

Por exemplo: apenas um pingo d’água no para-brisa do carro pode ser o início
de uma chuva ou pode ser que você tenha passado ao lado de um prédio e que alguém
do apartamento esteja lavando uma vidraça e atingiu o carro.

O que é informação?
São dados que apresentados em sua forma “bruta” foram processados e já sofreram al-
gum tipo de organização para estabelecerem valores de bases qualitativas ou quantitativas.

A informação é basicamente a descrição ou a perspectiva de algo. É como se, para

captar as informações corretas, fosse preciso usar as perguntas “O que?”, “Quem?”,
“Quando?” e “Onde?”.

Por exemplo: depois de o pingo d’água ter caído no para-brisa, você pode olhar para
o céu e observar que uma chuva está se formando, pelas nuvens densas no céu e
por mais pingos d’água aparecerem em seu para-brisa.

O que é conhecimento?
O conhecimento seria a forma adequada de utilizar a informação. É como se enten-
dem as estratégias e como as colocamos em prática.

É o processo que se inicia a partir do momento em que a pessoa passa a utilizar a

informação por meio da interpretação. É a ideia própria que a pessoa gera a partir da
informação observada.

Por exemplo: com diversos pingos d’água no para-brisa, você sabe que o trânsito
passará a ficar mais lento e assim você não conseguirá chegar a tempo para
entregar antecipadamente os relatórios da reunião que se encontra agendada para
daqui alguns minutos.

9
9
UNIDADE
Ameaças e Vulnerabilidade

O que é sabedoria?
A sabedoria é o porquê de tudo. É a percepção que se tem do todo. É a capacidade do
homem de saber seus erros e os da Sociedade e corrigi-los, conseguindo colocar em prá-
tica o que possui de conhecimento, tanto na vida pessoal quanto no trabalho. É trabalhar
o entendimento de quando usar as informações corretas e criar o seu próprio contexto.

Por exemplo: você toma a decisão de encaminhar os relatórios da reunião para

o e-mail de alguma pessoa na qual você confia muito, para que ela imprima o
documento e informe aos participantes da reunião que você pode chegar atrasado.

Ciclo de vida da informação

Já sabemos que a informação é um conjunto de caracteres que foram ordenados e
passaram por um processo de atribuição de valor. Agora, afirmo que todo e qualquer
momento vivido por essa informação é designado como ciclo de vida da informação.

Esses momentos são vivenciados, justamente, quando os ativos físicos, tecnológicos

e humanos fazem uso da informação, sustentando processos que, por sua vez, mantêm
a operação da Empresa.

Assim, existem 4 (quatro) momentos do ciclo de vida da informação que são mere-
cedores de atenção, pois correspondem às situações em que a informação é exposta a
ameaças, colocando em risco a sua integridade.
• Manuseio – O manuseio corresponde ao momento em que a informação é criada
e manipulada, seja ao folhar papéis, digitar informações recebidas, seja em senha
de acesso para autenticação;
• Armazenamento – O armazenamento corresponde ao momento em que a informação
é guardada, seja em banco de dados, seja em anotações em papel, mídia óptica etc.;
• Transporte – Transporte corresponde ao momento em que a informação é trans-
portada, seja por correio eletrônico, seja postal, telefone etc.;
• Descarte – O descarte é o momento em que a informação já não é mais útil, po-
dendo ser depositada numa lixeira, apagada do Banco de Dados etc.

Criação/ Manuseio

Descarte Informação Armazenamento

Transporte

Figura 2 – Ciclo de vida da informação

10
Segurança da Informação
Segundo o item 4.2.3 da Norma ISO/IEC 27000: 2018, Segurança da Informação
é uma prática que, se bem aplicada, garantirá que as informações do ambiente corpo-
rativo sejam disponibilizadas no momento em que forem solicitadas (disponibilidade)
igualmente como foram armazenadas (integridade) somente àqueles que tenham per-
missão para acessá-las (confidencialidade). Na Norma ISO/IEC 27000: 2018 o termo
segurança da informação é especificado em sua seção 3.28 como sendo a preservação
da confidencialidade (seção 3.10 da Norma), integridade (seção 3.36 da Norma) e dis-
ponibilidade (seção 3.7 da Norma) da informação.

Norma ISO/IEC 27000: 2018, disponível em Língua Inglesa, no link: https://goo.gl/R6U2Db

Normalmente, no Mercado de TI Confidencialidade, Integridade e Disponibilidade

(CID), são tidos como os pilares de sustentação da Segurança da Informação, porém em
nota da própria seção ao CID é adicionado que outras características, como autenticida-
de (seção 3.6 da Norma), responsabilidade, não-repúdio (seção 3.48 da Norma) e con-
fiabilidade (seção 3.55 da Norma) também podem ser envolvidas durante os processos
e atividades para serem garantidos os objetivos de segurança.

Confidencialidade

Integridade
Confidencialidade
Autenticidade
Confiabilidade
Não
Responsabilidade repúdio

Figura 3 – Pilar da segurança da informação

A autenticidade vêm para trazer a certeza da originalidade de algo ou sua vera-

cidade. O seu objetivo em segurança da informação é garantir que a mensagem ou
documento que foi transmitido de uma ponta à outra não passou por processos de
mutações ou reproduções indevidas. O destinatário comprova a origem e autoria de
um determinado documento.

Ademais, o termo “accountability” ou conformidade traz aos processos de seguran-

ça da informação a obrigação de que eles obedeçam a leis e regulamentos. E por conta
disso, foi também estabelecido o pilar da conformidade, garantindo que sejam seguidos
os devidos protocolos, dentro do setor ao qual a organização opera.

11
11
UNIDADE
Ameaças e Vulnerabilidade

A irretratabilidade ou não repúdio é a propriedade que garante a impossibilidade de

alguém que gerou um documento (ou tenha o assinado através de certificados digitais)
negue tê-lo criado (ou assinado).

E por fim a confiabilidade é a propriedade que determina o grau de fidelidade

de uma informação em relação ao original. Ou de acordo com a Norma ISSO/IEC
27000 é a propriedade que garante que o comportamento e resultados pretendidos
sejam consistentes.

Tais controles envolvem o levantamento e o entendimento de como as ameaças são

apreciadas pela Organização, considerando o apetite que ela têm para analisá-los conti-
nuamente e tratá-los. A essa prática damos o nome de análise de riscos.

A prática de Segurança da Informação, somada à análise de riscos, visa a garantir o

sucesso e a continuidade do negócio.

Ambas têm por objetivo minimizar as consequências dos incidentes de Segurança

da Informação que podem acarretar desde o dano à imagem da Organização até a
aplicação de sanções administrativas expressas pela Lei nº 13.709, de 14 de agosto
de 2018.

Tal Lei aplica uma multa de até 2% (dois por cento) do faturamento do último exer-
cício da Organização (limitado ao total de R$ 50.000.000,00 – cinquenta milhões de
reais – por infração); texto expresso no capitulo VIII, Art. 52 da referida Lei.

Assim, menos impactante será adotar as práticas diárias da Segurança da Informa-

ção, em que ela será obtida por meio da implementação de um processo de gerencia-
mento de riscos (que permitirá, por vezes, que a Organização enxergue oportunidades
de negócio com essas análise), somada a um Sistema de Gestão de Segurança da Infor-
mação (SGSI), implementando controles, políticas, processos, procedimentos, estrutu-
ras organizacionais e, quando justificáveis as aquisições de softwares e hardwares, para
proteger os ativos de informações identificados.

A todo momento, o texto diz que a Segurança da Informação é uma prática. Isso
porque você não implementará um SGSI de uma única vez. De Departamento em
Departamento, você irá especificando e implementando os controles presentes em
Normas, juntamente com seus pares, aqueles que ajudarão nesse processo, expli-
cando como eles executam suas tarefas diárias para que assim você estabeleça os
controles necessários.

Como exemplo de Norma que apresenta as técnicas de segurança para um

Sistema de Gestão da Segurança da Informação, temos a ABNT NBR ISO/IEC
27001:2013.

Em seu “Anexo A” são apresentados os controles e seus objetivos de controles ne-

cessários para aderência à Norma. Os atendimentos e esses requisitos são entendidos
e mais bem explicados por meio do código de prática para controles de Segurança da
Informação, exposto pela Norma ABNT NBR ISO/IEC 27002:2013.

12
Gestão de Riscos
Como o maior patrimônio das Organizações é a Informação, o modo como ela cui-
da das informações faz toda a diferença na continuidade da operação do seu negócio.
Por isso, é importante que toda Organização, ao lidar com a informação, avalie os
riscos, a vulnerabilidade e as ameaças que ela pode sofrer; isto é, a Gestão de Riscos.

Considerando que a quantidade de vulnerabilidades e riscos que podem comprometer

as informações de uma Organização é cada vez maior, a Gestão de Riscos é fundamental
Para garantir o perfeito funcionamento de toda a estrutura tecnológica que a organiza-
ção tem em seu parque tecnológico.

Ao englobar a gestão da Segurança da Informação, a Gestão de Riscos tem como

principais desafios:
• Proteger um dos principais ativos da Organização – a Informação, assim como a
reputação e a marca da Empresa;
• Implementar e gerir controles que tenham como foco principal os objetivos do negócio;
• Promover ações corretivas e preventivas de forma eficiente;
• Garantir o cumprimento de regulamentações;
• Definir os processos de Gestão da Segurança da Informação.

Entre as vantagens de investir na Gestão de Riscos voltada para a Segurança da In-

formação está a priorização das ações de acordo com a necessidade e os objetivos da
Empresa e a utilização de métricas e indicadores de resultados.

Identificação dos riscos

O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que
possam ajudar ou impedir que uma Organização alcance seus objetivos.

Informações pertinentes, apropriadas e atualizadas são importantes na identificação

de riscos, pois riscos não identificados podem se tornar uma ameaça à Organização ou
fazer com que se percam oportunidades importantes.

Componentes de um risco
Um risco está relacionado a:
• Uma fonte de risco, ameaça ou perigo – Aquilo que tem o potencial intrínseco de
prejudicar ou auxiliar, por exemplo, um produto químico perigoso, os concorrentes,
o Governo;
• Um evento – Algo que acontece de tal forma que a fonte do risco tem um impacto
envolvido como, por exemplo, um vazamento, um concorrente que expande ou
abandona o seu segmento de Mercado, regulamentações novas ou revisadas, ou
alguma medida ou observação que atinge um nível que desencadeia algo;

13
13
UNIDADE
Ameaças e Vulnerabilidade

• Uma consequência, resultado ou impacto em relação a diversas partes interessadas

e ativos, como danos ambientais, perda ou aumento de mercado/lucros, regula-
mentações que aumentam ou diminuem a competitividade;
• Uma causa (o quê e porque) (normalmente uma série de causas diretas e intrínsecas)
para a presença do perigo/ameaça ou ocorrência do evento, tais como um projeto,
intervenção humana, financiamento, previsão ou falha em prever a atividade do
concorrente, falha em expandir ou expansão da presença no Mercado;
• Controles e seus níveis de eficácia, como Sistemas de detecção, Sistemas de depu-
ração, políticas, segurança patrimonial, treinamento, pesquisa de Mercado e acom-
panhamento do Mercado;
• Quando e onde o risco poderia se materializar.

Por exemplo:
• Um temporal danifica mercadorias e gera custos de retrabalho;
• Identificamos um nicho de Mercado que leva a um aumento nas vendas;
• Um derramamento de petróleo denigre nossa reputação na comunidade local.

O processo de identificação
Para desenvolver, por exemplo, uma lista abrangente de riscos, deveria ser utilizado
um processo sistemático, iniciando com o estabelecimento do contexto para conseguir
demonstrar que os riscos foram identificados de forma eficaz.

Convém trabalhar com um processo definido, projeto ou atividade que demonstre um

modelo estruturado, usando os elementos-chave definidos durante o estabelecimento do
contexto. Isso pode ajudar a transmitir confiança de que o processo de identificação é
completo e de que grandes problemas não passaram despercebidos.

Convém, também, fazer as seguintes perguntas sobre cada um dos elementos-chave:

• Qual é a fonte de cada risco?
• O que poderia acontecer que pudesse:
» aumentar ou diminuir a consecução eficaz dos objetivos;
» tornar a consecução dos objetivos mais ou menos eficiente (finanças, pessoas, tempo);
» fazer com que as partes interessadas tomem atitudes que possam influenciar a
consecução dos objetivos;
» gerar benefícios adicionais?
• Qual seria o efeito nos objetivos?
• Quando, onde, porque e qual a probabilidade desses riscos se materializarem (tanto
aqueles com consequências positivas quanto aqueles com consequências negativas)?
• Quem poderia estar envolvido ou sofrer os impactos?

14
 • Que controles existem atualmente para tratar esse risco (maximizar os riscos com
consequências positivas ou minimizar os riscos com consequências negativas)?
• O que poderia fazer com que o controle não tivesse o efeito desejado sobre o risco?

Após analisar criticamente cada elemento, as seguintes questões gerais deveriam

ser consideradas:
• Qual é a confiabilidade das informações?
• Quão confiantes estamos de que a lista de riscos (se for o caso) é abrangente?
• Há necessidade de pesquisa adicional sobre riscos específicos?
• Os objetivos e o escopo foram cobertos adequadamente?
• O processo de identificação de riscos envolveu as pessoas certas?

Informações para a identificação de riscos

Informações de boa qualidade são importantes na identificação de riscos. O ponto de par-
tida para isso pode ser o histórico sobre a Organização ou Organizações similares, e posterior
discussão com ampla gama de partes interessadas sobre questões passadas, atuais e futuras.

Alguns exemplos são:

• Experiência local ou internacional;
• Opinião de um perito;
• Entrevistas estruturadas;
• Discussões dirigidas em grupo;
• Planos estratégicos e de negócios que incluem análise SWOT e avaliação ambiental;
• Relatórios de solicitação de pagamento de seguro;
• Relatórios pós-eventos;
• Experiência pessoal ou experiência organizacional anterior;
• Resultados e relatos de auditorias, inspeções e visitas;
• Pesquisas e questionários;
• Listas de verificação;
• Registros históricos, Banco de Dados de incidentes e acidentes, e análise de falhas
e registros anteriores de riscos, quando houver.
É essencial que as pessoas envolvidas na identificação de riscos tenham conhecimen-
to dos aspectos detalhados do estudo de riscos que está sendo realizado. Identificar riscos
também pode exigir pensamento criativo e experiência adequada. As equipes tornam
possível o acúmulo de experiências.

O envolvimento da equipe também ajuda a criar o comprometimento e a responsabi-

lidade em relação ao processo de Gestão de Riscos e ajuda a garantir que sejam consi-
derados riscos para diferentes partes interessadas, como apropriado.

15
15
UNIDADE
Ameaças e Vulnerabilidade

Abordagens para a identificação de riscos

A abordagem usada para a identificação de riscos depende do contexto da Gestão
de Riscos.

Ao selecionar uma abordagem para identificar riscos, são feitas as seguintes considerações:
• Sessões de brainstorming em Equipe, por exemplo, para os quais convém dar
preferência a uma abordagem de workshops com o uso de facilitadores, pois
desenvolve o comprometimento, considera diferentes perspectivas e incorpora
experiências variadas;
• Técnicas estruturadas como diagramas de fluxo, análise crítica do projeto do siste-
ma, análise de sistemas, estudos de perigos e operabilidade (HAZOP) e modelagem
operacional, deveriam ser usadas quando as consequências potenciais forem catas-
tróficas e o uso de tais técnicas for eficaz em termos de custo;
• Para situações não tão claramente definidas, tais como a identificação de riscos
estratégicos, podem ser usados processos com uma estrutura mais genérica como
“what-if” e análise de cenários;
• Quando os recursos disponíveis para a identificação e análise de riscos forem limi-
tados, sua estrutura e abordagem podem ter que ser adaptadas, para alcançar resul-
tados eficientes dentro das limitações orçamentárias. Por exemplo, onde há menos
tempo disponível, pode-se considerar um número menor de elementos-chave num
nível mais alto, ou se pode usar uma lista de verificação;
• Em muitos casos, a identificação de riscos em múltiplos níveis é útil e eficiente.
Numa etapa inicial ou preliminar da definição do escopo, pode-se identificar os
riscos num nível superior, e definir as prioridades, aplicando-se uma identificação e
análise de nível detalhado a uma subsérie de áreas de alta prioridade.

Por fim, a documentação dessa etapa

Convém que a documentação dessa etapa inclua:
• A abordagem ou método usado;
• O escopo coberto pela identificação;
• Os participantes da identificação de riscos e as fontes de informação consultadas; e
• O registro dos riscos.

Ameaças
Segundo o item 3.74 da Norma ISO/IEC 27000:2018, ameaça é a causa potencial
de um incidente indesejado, que pode resultar em danos a um Sistema ou Organização.

Porém, de forma geral, a ameaça pode ser entendida como a expectativa de um acon-
tecimento indesejável que cause danos a um recurso de TI (removendo, desabilitando ou

16
destruindo aquele recurso). Uma ameaça é um fato não concretizado. Ela serve como
aviso para proteger aquele recurso que não se quer perder.

Esse acontecimento danoso pode ser ocasionado de forma acidental ou proposital,

sendo ele causado por um agente, interno ou externo à Organização, que pode afetar
um ambiente, sistema ou ativo de informação causando impactos na capacidade opera-
cional do negócio no que tange o cumprimento dos seus objetivos de negócio.
• Exemplos de ameaças: Falhas de hardware quando uma atualização do sistema
operacional interrompe o seu funcionamento; relacionadas à ação humana de um
empregado descontente com a própria Empresa; possíveis incêndios que podem
afetar os computadores e outros equipamentos importantes da Empresa se somen-
te tivermos os sprinters de água para apagar o incêndio.

Vulnerabilidades
Segundo o item 3.77 da Norma ISO/IEC 27000:2018, vulnerabilidade é a fraqueza
de um ativo ou controle que pode ser explorada por uma ou mais ameaças.

Ela está associada ao próprio ativo que pode sofrer o ataque. Assim, em segurança de
computadores, uma vulnerabilidade é uma fraqueza que permite que o atacante reduza
a garantia da informação do sistema.
• Exemplos de vulnerabilidades: quando o controle de acesso às instalações do am-
biente corporativo não estão implementados e pessoas sem autorização circulam por
entre os funcionários (física); quando pessoas mal intencionadas conseguem acesso a
credenciais de super-usuários (ou têm o conhecimento das credenciais de outro usuário)
coisas ruins podem acontecer causando indisponibilidade do sistema ou quebrando a
integridade de alguns dados (lógica – falha no gerenciamento de credenciais de acesso).

A vulnerabilidade se apresenta como uma falha ou “fraqueza” de um procedimento,

implementação ou controles internos de um sistema que possa ser acidental ou propo-
sitalmente explorada; resultando numa brecha de segurança ou violação da política de
segurança do sistema.

Ela se apresenta pela interseção de três elementos:

• Uma suscetibilidade ou falha do sistema;
• Acesso do atacante a falha;
• A capacidade de o atacante explorar a falha.

Os principais ataques relacionados à exploração de vulnerabilidade de tecnologia são

os ataques ativos e os ataques passivos.

Os ataques ativos são ataques que intervêm no fluxo normal da informação, alteran-
do o seu conteúdo e produzindo informações que não são consideradas válidas. Eles têm
o intuito de atentar contra a segurança de um sistema. Exemplos de ataques ativos: DoS,
DDoS, buffer overflow, inundação de SYN etc.

17
17
UNIDADE
Ameaças e Vulnerabilidade

Os ataques passivos são aqueles que não alteram a informação e nem seu fluxo
normal. Eles apenas ficam sob canal de escuta. Exemplos de ataques passivos: pesquisa
de vulnerabilidade, sniffing etc.

Fontes de Vulnerabilidades, onde encontrá-las?

• BugTraq – https://goo.gl/mR86b3;
• Full Disclosure – https://goo.gl/EZUPnT;
• US-CERT – https://goo.gl/maKoPU;
• CAIS – https://goo.gl/CiKKjF;
• Symantech – https://goo.gl/pkZsRG;
• Mcafee – https://goo.gl/dQtZwx;
• National Vulnerability Database: CVSS – https://goo.gl/vpQQde;
• SANS: CIS Critical Security Controls – https://goo.gl/jntPSK;
• BSIMM – Building Security in Maturity Model – https://goo.gl/KSgJRd;
• Fabricantes, comunidades e projetos.

18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:

Sites
Cert.br
Site interessante, apresentando conceitos diversos de Segurança da Informação, com
diversos tutoriais.
https://goo.gl/11wYnX

Livros
Comunicação de dados
ROCHOL, Juergen. Comunicação de dados. Porto Alegre: Bookman, 2012. (E-Book);

Redes de Computadores
TANENBAUM, A. S. Redes de Computadores. 5.ed. São Paulo: Pearson, 2011.

Vídeos
Aula 02: Ameaças, Riscos e Vulnerabilidades I - Parte 1
Para entender melhor a respeito de ameaças e vulnerabilidades, aqui há um bom tutorial.
https://youtu.be/36MXBTRMMfY
Qual a diferença entre RISCO e AMEAÇA? (Análise e Gestão de Riscos) [Concurso Público]
https://youtu.be/jxBEuDVCMgU

19
19
UNIDADE
Ameaças e Vulnerabilidade

Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Duvidas frequentes. Dis-
ponível em: <http://www.abnt.org.br/informacao/duvidas-frequentes>. Acesso em:
dez. 2018.

______. Importância/Benefícios. Disponível em: <http://www.abnt.org.br/

normalizacao/o-que-e/importancia-beneficios>. Acesso em: dez. 2018.

INMETRO. O que é ISO?. Disponível em: <http://www.abnt.org.br/normalizacao/o-

-que-e/importancia-beneficios>. Acesso em: dez. 2018.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001 In-

formation technology — Security techniques — Information security management
systems — Overview and vocabulary. ISO/IEC, 20018.

LAUREANO, M. A. P; MORAES, Paulo Eduardo Sobreira. Segurança como estraté-

gia de gestão da informação. Revista Economia & Tecnologia, v. 8, fasc. 3, p. 38-44,
2005. Disponível em: <http://www.mlaureano.org/projects/seguranca/economia_tec-
nologia_seguranca.pdf>. Acesso em: dez. 2018.

20