17/11/23, 13:56 Normas e Padrões de Segurança da Informação

NORMAS E PADRÕES DE SEGURANÇA DA

INFORMAÇÃO
UNIDADE 2 - NORMAS E PADRÕ ES DE SI

Jaqueline Oliveira Zampronio

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 1/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 2/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Introdução
Nesta unidade, você terá a oportunidade de conhecer duas importantes instituiçõ es de padronização: o
Instituto Nacional de Padronização e Tecnologia (National Institute of Standards and Technology - NIST) e a
Agência da União Europeia para Segurança Cibernética (European Union Agency for Cibersecurity – ENISA).
Você sabe o que são essas instituiçõ es? Quais são suas especialidades? Quais são seus princípios e objetivos?
Que tipos de padrõ es elas desenvolvem? Por que são referências de publicaçõ es ligadas à segurança para os
diversos tipos de organizaçõ es?
As respostas dessas questõ es nos levarão à definição dos ó rgãos que serão apresentados, além de nos
possibilitar descobrir onde eles ficam instalados e como surgiram. A partir disso, poderemos também
compreender os padrõ es especializados que são desenvolvidos por essas instituiçõ es e quais são suas
diretrizes e aplicaçõ es. Em seguida, conheceremos o conceito de segurança cibernética – um conceito de
grande importância e, também, de grande preocupação para as empresas – e suas principais normas para
proteção de incidentes.
Depois de passar por todos esses conceitos, trataremos sobre os ataques referentes à web e mobile. Assim,
examinaremos os tipos mais conhecidos de ameaças, os meios que são usados para invasão e danificação dos
sistemas e os dispositivos e formas de prevenção. Finalmente, teremos a oportunidade de conhecer um
projeto muito especial que identifica e divulga uma lista das vulnerabilidades da web.
Ficou curioso? Então, acompanhe esta unidade com atenção!

2.1 Segurança da informação: visão geral das normas de

NIST
O NIST é o Instituto Nacional de Padronização e Tecnologia (National Institute of Standards and Technology)
que faz parte do Departamento de Comércio dos Estados Unidos. Ele surgiu em 1901 como um laborató rio
federal de pesquisa em ciência, primogênito do continente americano, e era conhecido como NBS (National
Bureau of Stardards – Escritó rio Nacional de Padrõ es).
Seus padrõ es são muito reconhecidos e aderidos pelas empresas, apesar de se tratar de uma agência não
reguladora, sendo o enfoque de suas publicaçõ es a medição e a tecnologia de computadores (KIM; SOLOMON,
2014). No que se refere à segurança de sistemas da informação, o NIST tem duas séries de grande importância:
série 800 e CSF. São elas que veremos a seguir. Vamos lá?

2.1.1 Série 800

A série 800 foi criada em 1990. Ela refere-se às publicaçõ es de padrõ es de segurança de computadores para
todos os tipos de organizaçõ es a partir de pesquisas e desenvolvimentos. É nomeada como NIST SP 800 ou
NIST Special Publication 800, ou seja, Publicação Especial 800 do NIST (KIM; SOLOMON, 2014). Atualmente,
existem 205 documentos dessa série. A seguir, conheça alguns deles, clicando nas setas.

SP 800-34: planejamento de imprevistos nos sistemas de informação e de segurança

emergencial;
SP 800-37: gerência de risco e autorização para operar nos sistemas de informação,
especialmente os federais;
SP 800-41: políticas de inserção, configuração e gerenciamento de firewalls;

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 3/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

SP 800-44: políticas de segurança de inserção e operação de servidores de internet de acesso

aberto;
SP 800-45: políticas de segurança de inserção e operação de sistemas de e-mail para instituiçõ es
governamentais ou corporativas;
SP 800-46: política de risco ligada a teletrabalho e proteção de acesso remoto;

SP 800-50: guia de criação, desenvolvimento, realização e análise de um projeto de instrução e

treinamento;
SP 800-53: práticas de estabelecimento e análise crítica dos controles de segurança de sistemas
da informação;
SP 800-60: preferência em sistemas da informação a partir de análise crítica de impactos;

VAMOS PRATICAR?
A sé rie SP 800 da NIST é de grande importâ ncia para os profissio
segurança computacional, pois ela disponibiliza um conjunto de prá ticas, t
guias, publicações, instruções e ações para se proteger dos ataques ciber
Ela serve de apoio para a segurança dos sistemas de informa
confidencialidades do governo dos Estados Unidos, seguindo as leis federa
disso, ela també m dá suporte para organizações corporativas e inst
educacionais.

Com base nessa contextualizaçã o, suponha que a empresa WallWe

procurando um especialista em segurança de web, pois ela tem sido ví
muitos ataques ciberné ticos e precisa implantar uma gestã o de riscos par
tipos de ameaças. Algué m passa a ela o seu contato, uma vez que voc
profissional especializado na sé rie SP 800. A empresa, entã o, faz uma
para você poder apresentar os tipos de padrões da sé rie da NIST que se en
nas necessidades deles, expondo o conceito e as diretrizes de cada um. M
que você colocaria nessa apresentaçã o.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 4/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Conheça a seguir outros documentos da série 800. Para tanto, clique nas abas abaixo.

SP 800-61: práticas para identificação, avaliação e recomendaçõ es de incidentes em segurança

de computadores;
SP 800-64: detalhamento de tarefas e comprometimentos solicitados na implantação de sistema
da informação;
SP 800-73: sistemas para PIV (personal identity verification – verificação de identidade pessoal);

SP 800-78: programaçõ es para criptografia e medidas de chaves PIV;

SP 800-83: instrução para precaução e solução de incidentes causados por malware;
SP 800-85: guia de verificação de aplicativo e sistema de middleware de acesso PIV;

SP 800-88: instruçõ es para execução de uma política de higienização de mídias;

SP 800-92: instrução para a elaboração, execução e assistência de políticas de gerência de logs;
SP 800-115: instrução técnica para verificação e análise de segurança de sistemas da
informação;

SP 800-116: guia firmado em riscos para a determinação de métodos de autenticação para o

controle de acesso físico;
SP 800-118: instrução para administração de senhas corporativas;
SP 800-121: instrução para aplicação de segurança de Bluetooth;

SP 800-122: instruçõ es para a segurança de privacidade de informação de identificação pessoal

(PII);
SP 800-128: orientação para gerenciamento de estrutura de segurança de sistemas da
informação;
SP 800-137: monitoramento estruturado de sistema da informação realizado em meio funcional
para definição de eficácia e consonância;

SP 800-160: aplicação de monitoramentos e criação de documentos;

SP 800-161: orientação para reconhecimento, análise, aplicação de gerência e monitoramento de
riscos na cadeia de suprimento de tecnologia da informação e comunicação (TIC).

O padrão mais utilizado da série 800 é o NIST SP-800-30 (Risk Management Guide for Information Technology
Systems – Guia de Gerenciamento de Risco para Sistemas de Tecnologia da Informação). Ele é o principal
modelo implantado pelas empresas no que se refere à gestão de risco por meio de nove procedimentos:

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 5/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

descrição do sistema, reconhecimento de incidentes e fragilidades, investigação dos monitoramentos de

segurança, definição de hipó tese, investigação dos prejuízos causados, definição de ameaças, sugestõ es de
monitoramento de proteção, relató rios das soluçõ es encontradas (MACHADO, 2012).

2.1.2 CSF
A Estrutura de Cibersegurança do NIST (CSF – NIST Cybersecurity Framework) foi criada em 2014, em
conformidade com o Decreto presidencial n. 13.636, nos Estados Unidos, que reivindica a elaboração de uma
base focada em riscos para o melhoramento da segurança cibernética das organizaçõ es (AMAZON WEB
SERVICES, 2019). O conceito de segurança cibernética diz respeito a um conjunto de diretrizes que deve ser
seguido para a proteção das informaçõ es contra os ataques via web (GALVÃ O, 2015).

Figura 1 - Os ataques cibernéticos são cada vez mais frequentes e o padrão CSF da NIST é referência para a
segurança cibernética.
Fonte: ESB Professional, Shutterstock, 2019.

A CSF foi adotada por diversas instituiçõ es pú blicas e privadas, apesar de ela ser direcionada para a área de
infraestrutura crítica. Essa estrutura do NIST orienta que as organizaçõ es apliquem suas práticas para proteger
seus conteú dos por meio de monitoramento de acesso de usuários autorizados, política de responsabilidade,
solução efetiva de incidentes e gerenciamento dos sistemas (AMAZON WEB SERVICES, 2019).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 6/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

VOCÊ QUER VER?

A reportagem “Aumenta a demanda por segurança ciberné tica”, produzida pela Globo
News (2018), trata sobre a segurança ciberné tica por meio de duas visões: uma como
um bom empreendimento e negócio, uma vez que tem aumentado a busca por esse
tipo de serviço; e a outra focando nos riscos de ataques ciberné ticos nas empresas que
nã o protegem seus sistemas e suas redes e acabam, desse modo, tendo grandes
prejuízos. É muito interessante ver como esse tema tem uma abrangê ncia muito
grande e sé ria. Confira a reportagem em: <http://g1.globo.com/globo-news/conta-
corrente/videos/v/aumenta-a-demanda-por-seguranca-cibernetica/6707497
(http://g1.globo.com/globo-news/conta-corrente/videos/v/aumenta-a-demanda-por-
seguranca-cibernetica/6707497)>.

O método empregado pela CSF é composto pelas cinco funçõ es. Clique para conhecê-las.
•

Identificar
Aprimora a compreensã o da instituiçã o sobre a
gestã o de riscos de segurança cibernética em
processos, ativos, colaboradores, dados e
conteú dos.

Proteger
Elabora e aplica as prevençõ es necessá rias para
assegurar o fornecimento de serviços arriscados
de infraestrutura.

Detectar

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 7/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Aprimora e implanta as prá ticas certas para o

reconhecimento de ocasiõ es de riscos de
segurança cibernética.

Responder
Produz e estabelece os documentos de instruçõ es
necessá rios para saber o procedimento em casos
nos quais sã o identificados ataques cibernéticos.

Recuperar
Aperfeiçoa e opera nas açõ es corretas para
garantir os processos de recuperaçã o e para
restabelecer todos os recursos ou serviços que
foram afetados pelos ataques cibernéticos.

VOCÊ QUER LER?

O livro “Guerra ciberné tica: a próxima ameaça à segurança e o que fazer a respeito”, de
Clarke e Knake (2015), refere-se aos ataques ciberné ticos em sistemas e
computadores do setor militar e civil. O texto trata esse tipo de ataque como uma arma
muito poderosa que pode prejudicar as atividades militares e, consequentemente, a
populaçã o. Os autores apresentam as prá ticas que vê m sendo implantadas nessa á rea
de forma que nã o se acabe em uma guerra. Trata-se de uma leitura muito interessante
e importante para aqueles que estã o interessados em segurança ciberné tica no setor
militar.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 8/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Uma coisa muito interesse a respeito da estrutura de cibersegurança do NIST é que existem certificaçõ es para
o profissional que deseja atuar nessa área, sendo elas: Certificação NIST Cybersecurity Foundation e
Certificação NIST Cybersecurity Practitioner. A primeira é voltada para conhecer o CSF, além de mostrar as
dificuldades do mundo de hoje com relação à segurança cibernética e as prevençõ es das informaçõ es de
empresas que adotam o padrão. A segunda tem a anterior como pré-requisito e ensina a aplicar o CSF para
desenvolver, controlar, gerir e otimizar a segurança cibernética da instituição.

2.2 Segurança da informação: visão geral das normas de

ENISA
A Agência da União Europeia para Segurança Cibernética (European Union Agency for Cibersecurity – ENISA) é
um ó rgão de padronizaçõ es perito em segurança cibernética que faz parte da União Europeia. Esse centro
especializado foi criado em 2004 e fica localizado em Atenas, na Grécia, e em Heraklion, cidade situada na ilha
de Creta, também na Grécia. Por meio de suas publicaçõ es, guias práticos e políticas, a ENISA ajuda as
instituiçõ es privadas e, principalmente, pú blicas na proteção, identificação e solução para os riscos ligados à
segurança cibernética (NEVES, 2015).

VAMOS PRATICAR?
No começo, a ENISA era uma agê ncia que tratava de segurança de red
informaçã o. Entretanto, com a tecnologia da web se desenvolvendo e cre
ela se tornou especialista em segurança ciberné tica. O principal motiv
mudança foi o aumento dos ataques ciberné ticos que vê m acontece
Europa, principalmente nos governos dos países e nas grandes multin
conhecidas mundialmente. Sendo assim, a agê ncia da Uniã o Europeia dá
para essas organizações com recomendações, té cnicas, guias, publica
ferramentas para a proteçã o de seus sistemas contra invasores.

Sabendo desse aumento dos ataques ciberné ticos, uma operadora de celul
implantar uma política de segurança ciberné tica em seus sistemas e co
você para fazer o projeto. Mostre o projeto que você fará para a empresa b
nos padrões publicados pela ENISA para proteger seus negócios contr
encontrados na web.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 9/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Suas soluçõ es se baseiam na gestão de atividades de ameaças contra a segurança cibernética em toda a Europa,
auxílio na elaboração de planos de cibersegurança dos países e incentivo de formação de equipes
colaboradoras para solução de ataques cibernéticos e para o desenvolvimento de recursos. A seguir,
trataremos de duas de suas publicaçõ es que se destacam: “Good pratice guide for incident management” e
“Cloud computing risk assessment”.

2.2.1 “Good pratice guide for incident management”

O “Guia de boas práticas para gestão de incidentes” é composto por um conjunto de atividades relacionadas à
segurança da informação que as empresas devem adotar, como procedimento eficiente de incidentes,
verificação e diminuição de vulnerabilidades, avisos de proteção etc. Segundo Neves (2015), esse guia mostra
a passagem de quatro procedimentos para prevenção de incidentes: detecção, triagem, análise e resposta a
incidentes.Clique nas abs para aprender mais sobre o tema.

A detecção é a fase de aviso e registro de incidentes. Nela, os gestores são informados

por diversos meios que há ocorrência de incidentes, além de haver um controle dos
Detecção
sistemas de proteção para a precaução desses ataques nas organizaçõ es e um registro
deles para ter um histó rico de quando e como ocorreram (NEVES, 2015).

Quando se determina a aplicação do processo de prevenção de incidente e ela é

Prevenção direcionada ao gestor responsável por resolvê-la, estamos tratando da triagem. Esse
de procedimento examina se o incidente é de segurança, se está direcionado ao sistema
incidente da organização, se causará algum prejuízo, se terá consequências, e se terá
profissionais suficientes e eficientes para solucionar o caso (NEVES, 2015).

Já a análise está relacionada à resposta ao incidente. A análise começa com um exame de todas as informaçõ es
existentes e com os relatos do que foi danificado pelo incidente. Dessa forma, será encontrado o que causou o
ataque para avisar todos os possíveis afetados. Apó s isso, entramos na parte da resposta ao incidente, na qual
se busca a resolução dos ataques. De acordo com Neves (2015), ao se determinar uma ação de
resposta/solução conjunta entre todos os envolvidos, é feito um controle dos sistemas para analisar as
frequências de ocorrer novos incidentes e, assim, partir para uma nova ação de solução.

2.2.2 “Cloud computing risk assessment”

Antes de falarmos sobre a “Avaliação de risco de computação em nuvem”, precisamos entender o que é cloud
computing (PAIVA, 2016). Basicamente, a computação em nuvem é a possibilidade de você acessar os
sistemas computacionais de qualquer lugar que estiver. Os riscos desse tipo de tecnologia são maiores
quando há uma grande massa de recursos e informaçõ es na nuvem (CASTRO, 2012).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 10/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Figura 2 - O cloud computing é uma forma de o sujeito acessar seu sistema de computador de qualquer parte
do mundo, por isso, a sua segurança deve ser priorizada.
Fonte: QStock, Shutterstock, 2019.

Dessa forma, a ENISA publicou um conjunto de açõ es que devem ser seguidas para a prevenção contra as
invasõ es em nuvem, sendo elas: rastreamento de riscos, análise de vulnerabilidade e ameaças da nuvem. A
primeira ação corresponde à determinação e análise dos ativos prejudicados, além de verificação de quais são
os prejuízos reais causados pelos incidentes. A segunda é para reconhecer e monitorar os riscos e
vulnerabilidades. Finalmente, a ú ltima trata do monitoramento da frequência de ocorrências e quadros, acordo
das fases de gerenciamento de ameaças e a elaboração de estratégia de processos de reconhecimento de faltas
(CASTRO, 2012).
O profissional de tecnologia da informação (TI) que tem interesse nessa área pode fazer uma certificação
baseada nesse padrão da ENISA. O certificado de “Cloud Security Knowledge”, como é chamado, é um dos
primeiros que surgiram no setor de computação em nuvem. Ele foca em có digo de segurança em nuvem,
seguindo as práticas citadas acima.

2.3 Ataques relacionados às aplicações web e mobile

Atualmente, é muito difícil viver sem acesso à internet e sem celular, principalmente apó s o surgimento das
redes sociais, que possibilitam a troca de mensagens, notícias, fotos e vídeos com qualquer pessoa do mundo.
Além disso, há uma infinidade de aplicativos de jogos, mú sica, saú de, entre outros, que são muito fáceis de
baixar a partir desses meios.
Apesar do grande avanço dessas tecnologias e das facilidades que elas trazem ao nosso dia a dia, nota-se
também o aumento dos casos de ataques por pessoas mal-intencionadas. Os riscos que corremos são
constantes, pois a falta de segurança na web permite invasõ es às nossas informaçõ es. O Brasil é um dos
maiores alvos desses tipos de ataques e, por isso, devemos tomar mais cuidados e aplicar mais proteção à
nossa rede (O GLOBO, 2018).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 11/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

2.3.1 Tipos de ataques em web e mobile

Antes de vermos formas de prevenir os ataques à web e mobile, precisamos conhecer os tipos de invasõ es que
existem. Esses tipos de ameaças são imprevisíveis, pois a cada ano que passa, os hackers têm desenvolvido
ataques cada vez mais sofisticados e por meios muito improváveis. Sendo assim, você verá alguns dos
principais tipos de ataques que acontecem e as formas de preveni-los.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 12/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Figura 3 - Os ataques relacionados às aplicaçõ es em web e mobile também são chamados de malwares
(KOLBE, 2017).
Fonte: Happy Stock Photo, Shutterstock, 2019.

• Vírus

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 13/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Eles costumam invadir os computadores por dispositivos removíveis ou por sites e arquivos baixados pela
web, como mú sicas, imagens, vídeos, textos etc. Assim que você abre o arquivo, o vírus contamina o
computador, podendo acabar com os arquivos do disco e causar o mal funcionamento dos hardwares que
compõ em seu dispositivo.

CASO
O Brasil é um dos maiores alvos de ataques relacionados à web (O GLOBO, 2018).
Existem vá rios casos em diversos setores que a cada ano vã o aumentando. Só
esse ano, já aconteceram invasões em celulares de autoridades federais, em
sistemas de contas municipais para desvio de dinheiro e de informações de
negócios de grandes empresas. Os principais ataques acontecem por meio de
links de redes sociais, e-mails que encaminham o usuá rio para sites maliciosos e
anú ncios nã o confiáveis.

Isso tem ocorrido porque as organizações e a populaçã o brasileiras nã o procuram

se proteger ou se prevenir dessas ameaças ciberné ticas, abrindo brechas para os
invasores dominarem e controlarem seus sistemas (O GLOBO, 2018). Por conta
disso, tem se discutido muito sobre aplicar uma política de segurança em todas as
á reas e para todos os indivíduos, uma vez que existem inú meros processos
conhecidos e padronizados que podem ajudar nessa questã o. Alé m disso, é
necessá rio que todos periodicamente monitorem e gerenciem seus recursos
computacionais, sempre atualizando e implantando programas que impeçam ou
que destruam os malwares.

A forma de identificar e acabar com o vírus é utilizando programas antivírus sempre atualizados, pois a todo
momento são desenvolvidos novos tipos de vírus que podem até afetar o funcionamento do programa. Por
essa razão, deve-se dar atenção à sua atualização frequente e considerar o uso de mais de um antivírus
(IMONIANA, 2016).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 14/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Figura 4 - Os vírus também atacam os dispositivos mobiles, principalmente os celulares por meio do
bluetooth.
Fonte: mama_mia, Shutterstock, 2019.

Além da instalação do antivírus, existem algumas práticas que também ajudam na prevenção contra essas
ameaças. Algumas delas são: não permitir que os anexos de e-mails ou programas sejam baixados
automaticamente, utilizar patches (programa que corrige e melhora o desempenho de outros softwares),
desabilitar o bluetooth e usar o antivírus para examinar os arquivos antes de abri-los (MACHADO, 2012).

• Cavalo de Troia
Assim como o vírus, o cavalo de Troia entra por meio de arquivos e programas baixados pela web e é ativado
no momento em que esses arquivos são abertos. Além de danificar documentos e programas do computador,
essa ameaça pode abrir outros tipos de ataques e invadir os có digos de acesso, pois é possível que o
criminoso consiga acesso remoto e domine totalmente o dispositivo (MACHADO, 2012).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 15/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

As formas de se prevenir do cavalo de Troia são as mesmas que as do vírus. Entretanto, é aconselhável um
reforço por meio da instalação de um firewall (GALVÃ O, 2015). Ele nada mais é que uma espécie de seletor que
monitora todos os tipos de arquivos e informaçõ es que passam pela rede, impedindo a entrada de aplicativos
ou dados de procedência não confiável e acessos de usuários não permitidos (IMONIANA, 2016).
• Adware
Ele é um software que vem acompanhado de vários anú ncios que incomodam. Sua real aplicação é de dar um
feedback para seu desenvolvedor, entretanto, há aqueles que utilizam desse recurso para invadir os
computadores e, assim, acompanhar as atividades da pessoa que utiliza o dispositivo para encaminhar os
anú ncios relacionados a ela (MACHADO, 2012).

VOCÊ SABIA?
Um termo muito utilizado na á rea de tecnologia da informaçã o é o middleware. Ele
é uma camada do programa que fica entre o hardware e o sistema operacional, ou
seja, funciona como uma interface. Ele foi criado como uma soluçã o para as
organizações que desejam modernizar e atualizar seu sistema computacional, pois
ele aceita vá rias arquiteturas mediante crité rios realizados por procedimentos,
possibilitando a mobilidade das aplicações (GHISI; IAN, 2009).

• Spyware
Esse é um tipo perigoso de ameaça, pois ele funciona como um espião que vigia todas as suas atividades
realizadas no computador e passa as informaçõ es para outros criminosos. Além de vigiar seus documentos e
os sites que você visita, ele pode habilitar a webcam e o microfone do computador e acessar suas imagens e
sons.
O spyware – que invade toda sua vida pessoal e particular e é um risco para a proteção do seu sistema de
informação – também pode ser transmitido pela web. Uma forma de acabar com esse tipo de ataque é
instalando um antispyware que trabalha da mesma forma que o antivírus (MACHADO, 2012).

• Backdoor
Ele permite que o criminoso consiga acessar o computador infectado sempre que quiser. Para isso, basta que
ele seja executado apenas uma vez e se prolifere, então, por todo o sistema do dispositivo. Essa ameaça
costuma entrar por meio de um cavalo de Troia, de uma oferta de um novo serviço ou de um mal
funcionamento de programa de acesso remoto.
Para prevenir esse tipo de ataque, deve-se aplicar todas as práticas mencionadas anteriormente. Além disso, é
importante, para ajudar na precaução, instruir-se e se orientar sobre o modo de gerenciar adequadamente os
serviços dos quais o backdoor se utiliza para invadir (MACHADO, 2012).

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 16/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

• Keylogger e screenlogger
Esses dois tipos de ameaças funcionam de forma semelhante. O keylogger detecta quais teclas estão sendo
usadas no teclado do computador, enquanto que o screenlogger capta as imagens da tela do computador e o
deslocamento do mouse. Segundo Machado (2012), esse tipo de invasão pode ocorrer sempre ou apenas
quando estiver utilizando algum site que tenha seus dados (usuário e senha, por exemplo), e costuma estar
embutido em algum programa ou dispositivo para infectar e invadir o seu computador.

• Worm
Esse tipo de ameaça distribui có pias de si pró prio para outros dispositivos automaticamente. Ele consegue
identificar as fragilidades e os problemas dos sistemas sem necessidade de abri-los e processá-los e, assim,
propaga-se. O prejuízo causado por esse ataque é no funcionamento do computador, pois ele destró i os
programas do sistema. Sendo assim, sua remoção é feita através do uso de patches recomendados pelos
fornecedores de programas computacionais (MACHADO, 2012).
• Bot
Assim como os worms, esse tipo de ataque se distribui explorando as fragilidades do sistema. Entretanto, seu
diferencial é que as vítimas podem ser invadidas remotamente. Ele costuma infectar por meio do acesso a um
canal de servidor de chat controlado pelo criminoso e, assim, invadir o sistema das vítimas. Tendo sob seu
controle vários computadores acessando a internet, o hacker pode impedi-los de acessar os recursos do
sistema (MACHADO, 2012).

• Rootkit
Esse ú ltimo ataque oculta a identidade do criminoso que contaminou o computador e garante que ele não será
descoberto mediante uma infinidade de procedimentos aplicados. Seu objetivo é invadir e não deixar rastros,
pois ele pode deletar as açõ es e os dados do criminoso. Essa ameaça, ainda, pode carregar outros tipos de
invasõ es em si. Assim, segundo Machado (2012), como precaução, a potencial vítima precisa evitar o usar
programas como administradora, impedindo que o sistema seja infectado gravemente.

2.3.2 OWASP
O Projeto Aberto de Segurança em Aplicação Web (Open Web Aplication Security Project) é uma comunidade
internacional independente sem fins lucrativos que contribui com artigos, métodos, guias, políticas,
publicaçõ es e tecnologias ligadas à segurança em aplicaçõ es web abertos a todo o mundo. Atualmente, o seu
documento mais conhecido é o OWASP TOP 10, que descreve os dez problemas na proteção da web (OWASP
FOUNDATION, 2017). São eles:

• injeção: consiste na perda de controle das aplicações web para o

criminoso. As informações suspeitas são encaminhadas para um
interpretador de comando e, ao executá-lo, acontece a invasão;
• quebra de autenticação: os recursos de autenticação costumam
ser mal desenvolvidos, abrindo brecha para invasão de senhas,
chaves de segurança e cartões de acesso e para o invasor se
apresentar em nome de outra pessoa;
• exposição de dados sensíveis: os dados sensíveis (identidade
particular, saúde, finanças) não têm uma segurança apropriada na

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 17/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

web e, por isso, os criminosos aproveitam para invadi-los e

adulterá-los;
• entidades externas de XML (XXE): o uso de programas obsoletos
e não atualizados permite que entidades externas publiquem
arquivos pessoais, impeçam o uso de aplicações do sistema e
busquem portas do dispositivo;
• quebra de controle de acessos: o controle de acesso dos
usuários que têm permissão não costuma ser examinado
adequadamente e, com isso, os invasores identificam essa falta e a
utilizam para divulgar informações sem permissão;

VOCÊ O CONHECE?
Stuart McClure é um dos autores mais respeitados na á rea de segurança ciberné tica,
ataques relacionados à internet e fragilidades de sistemas computacionais. Ele é
gerente do grupo eSecurity Solutions, da empresa britâ nica Ernst & Young. Uma de
suas obras mais conhecidas é “Hackers expostos: segredos e soluções para a segurança
de redes” (2000), escrita em coautoria com Scambray e Kurtz, que serve de instruçã o
para os gestores de redes prestarem atençã o nas fragilidades de suas informações que
podem estar expostas à s navegações da web e, por isso, podem ser invadidas por
criminosos.

• configurações de segurança incorretas: a falta de configuração

adequada é um dos maiores alvos dos atacantes. Isso ocorre
quando os princípios de segurança da informação não são
respeitados, tornando o sistema mais simples de invadir;
• cross-site scripting (XSS): essa falta está ligada a informações
suspeitas de um site sem autenticação correta. Nesses casos, os

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 18/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

criminosos aproveitam para roubar sessões do usuário,

desconfigurar a página ou migrá-los para uma página mal-
intencionada;
• desserialização insegura: essa falha permite o acesso e a
efetuação de código remoto, dando abertura para ataques em
outras aplicações em web;
• utilização de componentes vulneráveis: o uso de componentes
vulneráveis fragiliza as aplicações em web, pois isso dá margem à
destruição de informações ou ao domínio total do servidor;
• registro e monitorização insuficientes: esses tipos de falhas
possibilitam que o invasor domine o sistema para atacar outros e
para corromper ou acabar com as informações (OWASP
FOUNDATION, 2017).

Síntese
Chegamos ao final desta unidade que tratou das normas e padrõ es de segurança da informação. Nela,
descobrimos algumas das mais importantes organizaçõ es de padronização do mundo e suas normas mais
conhecidas. Vimos também diferentes formas com que são feitos os ataques à internet.
Nesta unidade, você teve a oportunidade de:

• conhecer a instituição de padrões NIST, seus objetivos e

especialidades;
• descobrir a série 800 de padrões ligados à segurança
computacional da NIST;
• aprender sobre segurança cibernética e conhecer a publicação
CSF da NIST, que é uma das mais utilizadas pelas empresas;
• inteirar-se sobre o órgão ENISA, seus princípios e seu foco em
cibersegurança;
• explorar as publicações da ENISA sobre gestão de incidente e
avaliação de risco de computação em nuvem;
• identificar os diversos tipos de ataques referentes à web e mobile,
seus meios de invasão, seus impactos nos sistemas e descobrir
como eliminá-los;
• conhecer o OWASP e sua lista de vulnerabilidades na web.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 19/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

Bibliografia
AMAZON WEB SERVICES. Estrutura de segurança cibernética (CSF) do NIST: alinhando-se à CSF do NIST
na nuvem AWS. Estados Unidos: AWS, 2019.
CASTRO, R. C. C. Mapeamento de possíveis vulnerabilidades em nuvens públicas com uso de ontologia
no contexto de IaaS. 2012. 99 f. Dissertação (Mestrado em Computação Aplicada) – Universidade Estadual
do Ceará, Instituto Federal do Ceará, Fortaleza, 2012.
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética: a pró xima ameaça à segurança e o que fazer a respeito. Rio
de Janeiro: Brasport, 2015.
GALVÃ O, M. C. Fundamentos de segurança da informação. São Paulo: Pearson, 2015.
GHISI, B.; RIBAS, I. Introdução ao middleware de TV digital brasileiro. Florianó polis: Open TDC, 2009.
GLOBONEWS. Aumenta a demanda por segurança cibernética. G1, Rio de Janeiro, mai. 2018. Disponível em:
<http://g1.globo.com/globo-news/conta-corrente/videos/v/aumenta-a-demanda-por-seguranca-
cibernetica/6707497/ (http://g1.globo.com/globo-news/conta-corrente/videos/v/aumenta-a-demanda-por-
seguranca-cibernetica/6707497/)>. Acesso em: 10 jul. 2019.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
KOLBE JÚ NIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: InterSaberes, 2017.
MACHADO, M. J. Segurança da informação: uma visão geral sobre as soluçõ es adotadas em ambientes
organizacionais. 2012. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) –
Universidade Federal do Paraná, Curitiba, 2012.
MACHADO, M. J. Segurança da informação: uma visão geral sobre as soluçõ es adotadas em ambientes
organizacionais. 2012. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) –
Universidade Federal do Paraná, Curitiba, 2012.
NEVES, P. J. B. Capacidade de resposta a incidentes de segurança da informação no ciberespaço: uma
abordagem DOTMLPI-I. 2015. 123 f. Dissertação (Mestrado em Segurança da Informação e Direito no
Ciberespaço) – Universidade de Lisboa, Lisboa, 2015.
O GLOBO. Brasil é o sétimo país com mais invasõ es de hackers. Confira os golpes mais comuns. Jornal O
Globo, Rio de Janeiro, 14 nov. 2018. Disponível em: https://oglobo.globo.com/economia/tecnologia/brasil-o-
setimo-pais-com-mais-invasoes-de-hackers-confira-os-golpes-mais-comuns-2323226
(https://oglobo.globo.com/economia/tecnologia/brasil-o-setimo-pais-com-mais-invasoes-de-hackers-
confira-os-golpes-mais-comuns-23232268)8. Acesso em: 24 jul. 2019.
OWASP FOUNDATION. OWASP Top 10 - 2017: the ten most critical web application security risks.
PAIVA, L. M. M. Análise de risco para computação em nuvem. 2016. 92 f. Tese (Mestrado em Informação e
Sistemas Empresariais) – Universidade Aberta, Lisboa, 2016.

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 20/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação

https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 21/21