Escolar Documentos
Profissional Documentos
Cultura Documentos
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 1/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 2/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Introdução
Nesta unidade, você terá a oportunidade de conhecer duas importantes instituiçõ es de padronização: o
Instituto Nacional de Padronização e Tecnologia (National Institute of Standards and Technology - NIST) e a
Agência da União Europeia para Segurança Cibernética (European Union Agency for Cibersecurity – ENISA).
Você sabe o que são essas instituiçõ es? Quais são suas especialidades? Quais são seus princípios e objetivos?
Que tipos de padrõ es elas desenvolvem? Por que são referências de publicaçõ es ligadas à segurança para os
diversos tipos de organizaçõ es?
As respostas dessas questõ es nos levarão à definição dos ó rgãos que serão apresentados, além de nos
possibilitar descobrir onde eles ficam instalados e como surgiram. A partir disso, poderemos também
compreender os padrõ es especializados que são desenvolvidos por essas instituiçõ es e quais são suas
diretrizes e aplicaçõ es. Em seguida, conheceremos o conceito de segurança cibernética – um conceito de
grande importância e, também, de grande preocupação para as empresas – e suas principais normas para
proteção de incidentes.
Depois de passar por todos esses conceitos, trataremos sobre os ataques referentes à web e mobile. Assim,
examinaremos os tipos mais conhecidos de ameaças, os meios que são usados para invasão e danificação dos
sistemas e os dispositivos e formas de prevenção. Finalmente, teremos a oportunidade de conhecer um
projeto muito especial que identifica e divulga uma lista das vulnerabilidades da web.
Ficou curioso? Então, acompanhe esta unidade com atenção!
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 3/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
VAMOS PRATICAR?
A sé rie SP 800 da NIST é de grande importâ ncia para os profissio
segurança computacional, pois ela disponibiliza um conjunto de prá ticas, t
guias, publicações, instruções e ações para se proteger dos ataques ciber
Ela serve de apoio para a segurança dos sistemas de informa
confidencialidades do governo dos Estados Unidos, seguindo as leis federa
disso, ela també m dá suporte para organizações corporativas e inst
educacionais.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 4/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Conheça a seguir outros documentos da série 800. Para tanto, clique nas abas abaixo.
O padrão mais utilizado da série 800 é o NIST SP-800-30 (Risk Management Guide for Information Technology
Systems – Guia de Gerenciamento de Risco para Sistemas de Tecnologia da Informação). Ele é o principal
modelo implantado pelas empresas no que se refere à gestão de risco por meio de nove procedimentos:
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 5/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
2.1.2 CSF
A Estrutura de Cibersegurança do NIST (CSF – NIST Cybersecurity Framework) foi criada em 2014, em
conformidade com o Decreto presidencial n. 13.636, nos Estados Unidos, que reivindica a elaboração de uma
base focada em riscos para o melhoramento da segurança cibernética das organizaçõ es (AMAZON WEB
SERVICES, 2019). O conceito de segurança cibernética diz respeito a um conjunto de diretrizes que deve ser
seguido para a proteção das informaçõ es contra os ataques via web (GALVÃ O, 2015).
Figura 1 - Os ataques cibernéticos são cada vez mais frequentes e o padrão CSF da NIST é referência para a
segurança cibernética.
Fonte: ESB Professional, Shutterstock, 2019.
A CSF foi adotada por diversas instituiçõ es pú blicas e privadas, apesar de ela ser direcionada para a área de
infraestrutura crítica. Essa estrutura do NIST orienta que as organizaçõ es apliquem suas práticas para proteger
seus conteú dos por meio de monitoramento de acesso de usuários autorizados, política de responsabilidade,
solução efetiva de incidentes e gerenciamento dos sistemas (AMAZON WEB SERVICES, 2019).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 6/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
O método empregado pela CSF é composto pelas cinco funçõ es. Clique para conhecê-las.
•
Identificar
Aprimora a compreensã o da instituiçã o sobre a
gestã o de riscos de segurança cibernética em
processos, ativos, colaboradores, dados e
conteú dos.
Proteger
Elabora e aplica as prevençõ es necessá rias para
assegurar o fornecimento de serviços arriscados
de infraestrutura.
Detectar
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 7/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Responder
Produz e estabelece os documentos de instruçõ es
necessá rios para saber o procedimento em casos
nos quais sã o identificados ataques cibernéticos.
Recuperar
Aperfeiçoa e opera nas açõ es corretas para
garantir os processos de recuperaçã o e para
restabelecer todos os recursos ou serviços que
foram afetados pelos ataques cibernéticos.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 8/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Uma coisa muito interesse a respeito da estrutura de cibersegurança do NIST é que existem certificaçõ es para
o profissional que deseja atuar nessa área, sendo elas: Certificação NIST Cybersecurity Foundation e
Certificação NIST Cybersecurity Practitioner. A primeira é voltada para conhecer o CSF, além de mostrar as
dificuldades do mundo de hoje com relação à segurança cibernética e as prevençõ es das informaçõ es de
empresas que adotam o padrão. A segunda tem a anterior como pré-requisito e ensina a aplicar o CSF para
desenvolver, controlar, gerir e otimizar a segurança cibernética da instituição.
VAMOS PRATICAR?
No começo, a ENISA era uma agê ncia que tratava de segurança de red
informaçã o. Entretanto, com a tecnologia da web se desenvolvendo e cre
ela se tornou especialista em segurança ciberné tica. O principal motiv
mudança foi o aumento dos ataques ciberné ticos que vê m acontece
Europa, principalmente nos governos dos países e nas grandes multin
conhecidas mundialmente. Sendo assim, a agê ncia da Uniã o Europeia dá
para essas organizações com recomendações, té cnicas, guias, publica
ferramentas para a proteçã o de seus sistemas contra invasores.
Sabendo desse aumento dos ataques ciberné ticos, uma operadora de celul
implantar uma política de segurança ciberné tica em seus sistemas e co
você para fazer o projeto. Mostre o projeto que você fará para a empresa b
nos padrões publicados pela ENISA para proteger seus negócios contr
encontrados na web.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 9/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Suas soluçõ es se baseiam na gestão de atividades de ameaças contra a segurança cibernética em toda a Europa,
auxílio na elaboração de planos de cibersegurança dos países e incentivo de formação de equipes
colaboradoras para solução de ataques cibernéticos e para o desenvolvimento de recursos. A seguir,
trataremos de duas de suas publicaçõ es que se destacam: “Good pratice guide for incident management” e
“Cloud computing risk assessment”.
Já a análise está relacionada à resposta ao incidente. A análise começa com um exame de todas as informaçõ es
existentes e com os relatos do que foi danificado pelo incidente. Dessa forma, será encontrado o que causou o
ataque para avisar todos os possíveis afetados. Apó s isso, entramos na parte da resposta ao incidente, na qual
se busca a resolução dos ataques. De acordo com Neves (2015), ao se determinar uma ação de
resposta/solução conjunta entre todos os envolvidos, é feito um controle dos sistemas para analisar as
frequências de ocorrer novos incidentes e, assim, partir para uma nova ação de solução.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 10/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Figura 2 - O cloud computing é uma forma de o sujeito acessar seu sistema de computador de qualquer parte
do mundo, por isso, a sua segurança deve ser priorizada.
Fonte: QStock, Shutterstock, 2019.
Dessa forma, a ENISA publicou um conjunto de açõ es que devem ser seguidas para a prevenção contra as
invasõ es em nuvem, sendo elas: rastreamento de riscos, análise de vulnerabilidade e ameaças da nuvem. A
primeira ação corresponde à determinação e análise dos ativos prejudicados, além de verificação de quais são
os prejuízos reais causados pelos incidentes. A segunda é para reconhecer e monitorar os riscos e
vulnerabilidades. Finalmente, a ú ltima trata do monitoramento da frequência de ocorrências e quadros, acordo
das fases de gerenciamento de ameaças e a elaboração de estratégia de processos de reconhecimento de faltas
(CASTRO, 2012).
O profissional de tecnologia da informação (TI) que tem interesse nessa área pode fazer uma certificação
baseada nesse padrão da ENISA. O certificado de “Cloud Security Knowledge”, como é chamado, é um dos
primeiros que surgiram no setor de computação em nuvem. Ele foca em có digo de segurança em nuvem,
seguindo as práticas citadas acima.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 11/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 12/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Figura 3 - Os ataques relacionados às aplicaçõ es em web e mobile também são chamados de malwares
(KOLBE, 2017).
Fonte: Happy Stock Photo, Shutterstock, 2019.
• Vírus
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 13/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Eles costumam invadir os computadores por dispositivos removíveis ou por sites e arquivos baixados pela
web, como mú sicas, imagens, vídeos, textos etc. Assim que você abre o arquivo, o vírus contamina o
computador, podendo acabar com os arquivos do disco e causar o mal funcionamento dos hardwares que
compõ em seu dispositivo.
CASO
O Brasil é um dos maiores alvos de ataques relacionados à web (O GLOBO, 2018).
Existem vá rios casos em diversos setores que a cada ano vã o aumentando. Só
esse ano, já aconteceram invasões em celulares de autoridades federais, em
sistemas de contas municipais para desvio de dinheiro e de informações de
negócios de grandes empresas. Os principais ataques acontecem por meio de
links de redes sociais, e-mails que encaminham o usuá rio para sites maliciosos e
anú ncios nã o confiáveis.
A forma de identificar e acabar com o vírus é utilizando programas antivírus sempre atualizados, pois a todo
momento são desenvolvidos novos tipos de vírus que podem até afetar o funcionamento do programa. Por
essa razão, deve-se dar atenção à sua atualização frequente e considerar o uso de mais de um antivírus
(IMONIANA, 2016).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 14/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Figura 4 - Os vírus também atacam os dispositivos mobiles, principalmente os celulares por meio do
bluetooth.
Fonte: mama_mia, Shutterstock, 2019.
Além da instalação do antivírus, existem algumas práticas que também ajudam na prevenção contra essas
ameaças. Algumas delas são: não permitir que os anexos de e-mails ou programas sejam baixados
automaticamente, utilizar patches (programa que corrige e melhora o desempenho de outros softwares),
desabilitar o bluetooth e usar o antivírus para examinar os arquivos antes de abri-los (MACHADO, 2012).
• Cavalo de Troia
Assim como o vírus, o cavalo de Troia entra por meio de arquivos e programas baixados pela web e é ativado
no momento em que esses arquivos são abertos. Além de danificar documentos e programas do computador,
essa ameaça pode abrir outros tipos de ataques e invadir os có digos de acesso, pois é possível que o
criminoso consiga acesso remoto e domine totalmente o dispositivo (MACHADO, 2012).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 15/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
As formas de se prevenir do cavalo de Troia são as mesmas que as do vírus. Entretanto, é aconselhável um
reforço por meio da instalação de um firewall (GALVÃ O, 2015). Ele nada mais é que uma espécie de seletor que
monitora todos os tipos de arquivos e informaçõ es que passam pela rede, impedindo a entrada de aplicativos
ou dados de procedência não confiável e acessos de usuários não permitidos (IMONIANA, 2016).
• Adware
Ele é um software que vem acompanhado de vários anú ncios que incomodam. Sua real aplicação é de dar um
feedback para seu desenvolvedor, entretanto, há aqueles que utilizam desse recurso para invadir os
computadores e, assim, acompanhar as atividades da pessoa que utiliza o dispositivo para encaminhar os
anú ncios relacionados a ela (MACHADO, 2012).
VOCÊ SABIA?
Um termo muito utilizado na á rea de tecnologia da informaçã o é o middleware. Ele
é uma camada do programa que fica entre o hardware e o sistema operacional, ou
seja, funciona como uma interface. Ele foi criado como uma soluçã o para as
organizações que desejam modernizar e atualizar seu sistema computacional, pois
ele aceita vá rias arquiteturas mediante crité rios realizados por procedimentos,
possibilitando a mobilidade das aplicações (GHISI; IAN, 2009).
• Spyware
Esse é um tipo perigoso de ameaça, pois ele funciona como um espião que vigia todas as suas atividades
realizadas no computador e passa as informaçõ es para outros criminosos. Além de vigiar seus documentos e
os sites que você visita, ele pode habilitar a webcam e o microfone do computador e acessar suas imagens e
sons.
O spyware – que invade toda sua vida pessoal e particular e é um risco para a proteção do seu sistema de
informação – também pode ser transmitido pela web. Uma forma de acabar com esse tipo de ataque é
instalando um antispyware que trabalha da mesma forma que o antivírus (MACHADO, 2012).
• Backdoor
Ele permite que o criminoso consiga acessar o computador infectado sempre que quiser. Para isso, basta que
ele seja executado apenas uma vez e se prolifere, então, por todo o sistema do dispositivo. Essa ameaça
costuma entrar por meio de um cavalo de Troia, de uma oferta de um novo serviço ou de um mal
funcionamento de programa de acesso remoto.
Para prevenir esse tipo de ataque, deve-se aplicar todas as práticas mencionadas anteriormente. Além disso, é
importante, para ajudar na precaução, instruir-se e se orientar sobre o modo de gerenciar adequadamente os
serviços dos quais o backdoor se utiliza para invadir (MACHADO, 2012).
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 16/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
• Keylogger e screenlogger
Esses dois tipos de ameaças funcionam de forma semelhante. O keylogger detecta quais teclas estão sendo
usadas no teclado do computador, enquanto que o screenlogger capta as imagens da tela do computador e o
deslocamento do mouse. Segundo Machado (2012), esse tipo de invasão pode ocorrer sempre ou apenas
quando estiver utilizando algum site que tenha seus dados (usuário e senha, por exemplo), e costuma estar
embutido em algum programa ou dispositivo para infectar e invadir o seu computador.
• Worm
Esse tipo de ameaça distribui có pias de si pró prio para outros dispositivos automaticamente. Ele consegue
identificar as fragilidades e os problemas dos sistemas sem necessidade de abri-los e processá-los e, assim,
propaga-se. O prejuízo causado por esse ataque é no funcionamento do computador, pois ele destró i os
programas do sistema. Sendo assim, sua remoção é feita através do uso de patches recomendados pelos
fornecedores de programas computacionais (MACHADO, 2012).
• Bot
Assim como os worms, esse tipo de ataque se distribui explorando as fragilidades do sistema. Entretanto, seu
diferencial é que as vítimas podem ser invadidas remotamente. Ele costuma infectar por meio do acesso a um
canal de servidor de chat controlado pelo criminoso e, assim, invadir o sistema das vítimas. Tendo sob seu
controle vários computadores acessando a internet, o hacker pode impedi-los de acessar os recursos do
sistema (MACHADO, 2012).
• Rootkit
Esse ú ltimo ataque oculta a identidade do criminoso que contaminou o computador e garante que ele não será
descoberto mediante uma infinidade de procedimentos aplicados. Seu objetivo é invadir e não deixar rastros,
pois ele pode deletar as açõ es e os dados do criminoso. Essa ameaça, ainda, pode carregar outros tipos de
invasõ es em si. Assim, segundo Machado (2012), como precaução, a potencial vítima precisa evitar o usar
programas como administradora, impedindo que o sistema seja infectado gravemente.
2.3.2 OWASP
O Projeto Aberto de Segurança em Aplicação Web (Open Web Aplication Security Project) é uma comunidade
internacional independente sem fins lucrativos que contribui com artigos, métodos, guias, políticas,
publicaçõ es e tecnologias ligadas à segurança em aplicaçõ es web abertos a todo o mundo. Atualmente, o seu
documento mais conhecido é o OWASP TOP 10, que descreve os dez problemas na proteção da web (OWASP
FOUNDATION, 2017). São eles:
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 17/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
VOCÊ O CONHECE?
Stuart McClure é um dos autores mais respeitados na á rea de segurança ciberné tica,
ataques relacionados à internet e fragilidades de sistemas computacionais. Ele é
gerente do grupo eSecurity Solutions, da empresa britâ nica Ernst & Young. Uma de
suas obras mais conhecidas é “Hackers expostos: segredos e soluções para a segurança
de redes” (2000), escrita em coautoria com Scambray e Kurtz, que serve de instruçã o
para os gestores de redes prestarem atençã o nas fragilidades de suas informações que
podem estar expostas à s navegações da web e, por isso, podem ser invadidas por
criminosos.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 18/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Síntese
Chegamos ao final desta unidade que tratou das normas e padrõ es de segurança da informação. Nela,
descobrimos algumas das mais importantes organizaçõ es de padronização do mundo e suas normas mais
conhecidas. Vimos também diferentes formas com que são feitos os ataques à internet.
Nesta unidade, você teve a oportunidade de:
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 19/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
Bibliografia
AMAZON WEB SERVICES. Estrutura de segurança cibernética (CSF) do NIST: alinhando-se à CSF do NIST
na nuvem AWS. Estados Unidos: AWS, 2019.
CASTRO, R. C. C. Mapeamento de possíveis vulnerabilidades em nuvens públicas com uso de ontologia
no contexto de IaaS. 2012. 99 f. Dissertação (Mestrado em Computação Aplicada) – Universidade Estadual
do Ceará, Instituto Federal do Ceará, Fortaleza, 2012.
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética: a pró xima ameaça à segurança e o que fazer a respeito. Rio
de Janeiro: Brasport, 2015.
GALVÃ O, M. C. Fundamentos de segurança da informação. São Paulo: Pearson, 2015.
GHISI, B.; RIBAS, I. Introdução ao middleware de TV digital brasileiro. Florianó polis: Open TDC, 2009.
GLOBONEWS. Aumenta a demanda por segurança cibernética. G1, Rio de Janeiro, mai. 2018. Disponível em:
<http://g1.globo.com/globo-news/conta-corrente/videos/v/aumenta-a-demanda-por-seguranca-
cibernetica/6707497/ (http://g1.globo.com/globo-news/conta-corrente/videos/v/aumenta-a-demanda-por-
seguranca-cibernetica/6707497/)>. Acesso em: 10 jul. 2019.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
KOLBE JÚ NIOR, A. Sistemas de segurança da informação na era do conhecimento. Curitiba: InterSaberes, 2017.
MACHADO, M. J. Segurança da informação: uma visão geral sobre as soluçõ es adotadas em ambientes
organizacionais. 2012. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) –
Universidade Federal do Paraná, Curitiba, 2012.
MACHADO, M. J. Segurança da informação: uma visão geral sobre as soluçõ es adotadas em ambientes
organizacionais. 2012. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação) –
Universidade Federal do Paraná, Curitiba, 2012.
NEVES, P. J. B. Capacidade de resposta a incidentes de segurança da informação no ciberespaço: uma
abordagem DOTMLPI-I. 2015. 123 f. Dissertação (Mestrado em Segurança da Informação e Direito no
Ciberespaço) – Universidade de Lisboa, Lisboa, 2015.
O GLOBO. Brasil é o sétimo país com mais invasõ es de hackers. Confira os golpes mais comuns. Jornal O
Globo, Rio de Janeiro, 14 nov. 2018. Disponível em: https://oglobo.globo.com/economia/tecnologia/brasil-o-
setimo-pais-com-mais-invasoes-de-hackers-confira-os-golpes-mais-comuns-2323226
(https://oglobo.globo.com/economia/tecnologia/brasil-o-setimo-pais-com-mais-invasoes-de-hackers-
confira-os-golpes-mais-comuns-23232268)8. Acesso em: 24 jul. 2019.
OWASP FOUNDATION. OWASP Top 10 - 2017: the ten most critical web application security risks.
PAIVA, L. M. M. Análise de risco para computação em nuvem. 2016. 92 f. Tese (Mestrado em Informação e
Sistemas Empresariais) – Universidade Aberta, Lisboa, 2016.
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 20/21
17/11/23, 13:56 Normas e Padrões de Segurança da Informação
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_NOPASE_19/unidade_2/ebook/index.html 21/21