Princípios de Segurança Da Informação 2

24/11/23, 08:40 Princípios de Segurança da Informação
PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

CAPÍTULO 2 – RISCOS, AMEAÇAS E
VULNERABILIDADES NA SEGURANÇA DA
INFORMAÇÃ O
Dr. Halley Wesley Alexandre Silva Gondim
https://codely-fmu-content.s3.amazonaws.com/Moodle/EAD/Conteudo/CTI_PRISEG_19/unidade_2/ebook/index.html 1/27
Introdução
A nossa vida é cheia de riscos. Não importa o quanto tomemos cuidados, sempre haverá ameaças. Ao comprar
um carro, por exemplo, estamos vulneráveis a alguma ameaça, como uma colisão e roubo. Porém, podemos
atenuar o risco, ou seja, fazer com que não nos cause um grande prejuízo financeiro ou de tempo etc.
contratando um seguro total. Mesmo que ocorra algum incidente, não teremos um grande prejuízo, pois
passamos essa responsabilidade para um terceiro. Sabemos que isso tudo possui um preço e desde que ele
possua um valor aceitável é preferível que tal ação seja realizada.
Da mesma maneira, a Segurança da Informação visa a analisar e conhecer os riscos que uma organização está
exposta e, assim, gerenciá-los, reduzindo, aceitando ou mitigando esses riscos. Em se tratando de segurança de
seus dados, quais são os riscos que você sofre? A que tipos de vulnerabilidades os seus dados estão sujeitos?
Você toma alguma contramedida pra minimizar os riscos? Quais são os possíveis agentes ameaçadores de
seus dados? Até quanto, em termos de valores financeiros, você está disposto a pagar para deixar suas
informaçõ es livres dos riscos? É sobre isso que veremos nesta unidade.
1.1 O que é risco?

O risco está associado à probabilidade de que alguma coisa ruim possa acontecer com um ativo (algo de
valor) ou também o efeito causado ao ativo por sua exposição a determinas situaçõ es (GOODRICH, 2013). O
risco não está ligado somente à área de Segurança da Informação, mas como um todo, em todas as áreas.
Um exemplo bem clássico que está relacionado ao risco/análise de risco é o campo de seguros. A cotação de
um seguro envolve a análise total de um indivíduo, como: idade, sexo, escolaridade, estado civil, percurso,
local do trabalho, local da casa, tipo de garagem, etc. Com base nessas respostas é possível identificar o perfil
do contratante, ou seja, ele pode ser cotado como uma pessoa que possui um baixo índice de se envolver em
um acidente (senhor de meia idade, não bebe, 30 anos de direção, casado, pai de três filhos), pois é tido como
responsável. Por outro lado, há um perfil com grande probabilidade de se envolver em um acidente (jovem,
recém habilitado, solteiro, faz uso de bebida alcoó lica regulamente, mora com os pais). Da mesma forma que
um corretor tenta conhecer o risco, a Segurança da Informação também visa a identificá-lo para,
posteriormente, mitigar a sua ocorrência, mas, caso ocorra, que não cause tanto dano.
Na área da Segurança da Informação um risco pode ser a perda de dados, destruição/incêndio dos servidores,
realização de açõ es ilegais, roubo de informaçõ es etc. (HINTZBERGEN et al., 2018). Vale lembrar que tudo
possui um risco, alguns com pouca probabilidade e outros com altíssima. Saber lidar com o risco é o primeiro
passo para atenuar seus impactos.
Em uma instituição que possua um firewall com suas portas abertas, há uma grande probabilidade que um
invasor as use para ter acesso à rede e roubar informaçõ es. Isso poderia ser evitado com um treinamento
adequado do pessoal de infraestrutura, mostrando alguns tipos de configuraçõ es e recursos (monitoramento
da rede) que poderiam barrar ou alertar a grande maioria desses ataques.
VOCÊ SABIA?
De acordo com uma empresa de Segurança de TI, a SonicWall, em 2018 houve um
registro de 6 bilhões de ameaças a sistemas ao redor do mundo. As ameaças sã o
tã o presentes e reais a uma organizaçã o que, por exemplo, a Kaspersky Lab
afirmou que grandes organizações direcionam até 30% de todo o seu orçamento à
Tecnologia da Informaçã o para segurança (MELLO; TEIXEIRA, 2019).
O risco está sempre associado a inú meros termos, dentre eles podemos destacar dois deles que, de antemão,
farão parte de nosso estudo daqui em diante: os eventos e os incidentes. Um evento é quando se percebe um
estado, um comportamento incomum de um ativo. Isso acontece quando se desconfia de uma possível
violação de segurança, situação desconhecida ou simplesmente se percebe uma falha. Já o incidente, por sua
vez, pode ser disparado por um ou um conjunto de eventos indesejáveis que possuem uma probabilidade
elevada de causar danos a uma organização (HINTZBERGEN et al., 2018).
1.2 Avaliação de Riscos

Avaliar os riscos de uma organização não é uma tarefa tão simples. Primeiro, é necessário que ocorra um
gerenciamento dos riscos, realizando análises, por exemplo, quantitativas e qualitativas de cada um. A seguir
entraremos com mais detalhes sobre alguns passos importantes.
Figura 1 - A avaliação de um risco visa determinar a sua prioridade/importância.

Fonte: Shutterstock, 2019.
O gerenciamento de risco envolve vários processos, a saber, planejar, organizar, conduzir e controlar. O
gerenciamento é bastante importante, pois por meio dele é possível rastrear os riscos existentes e definir
meios para minimizá-los. É possível basear o processo de gerenciamento de riscos em diversas entidades ou
padrõ es que são definidas por meio de boas práticas, tais como: PMI (Project Management Institute), normas
ISO e NIST (Nation Institute of Science and Tecnology). Não existe uma regra específica sobre qual usar, mas,
sim, quanto (financeiramente/tempo) uma instituição está disposta a investir para controlar seus riscos
(HINTZBERGEN et al., 2018).
VAMOS PRATICAR?
O PMBOK é um guia de gerenciamento de projetos mantido pela PM
conhecer suas boas prá ticas veja como é sua estrutura de á reas de conhe
e o que ele pode ser usado na aná lise de riscos. Acesse:
<https://brasil.pmi.org/brazil/PMBOKGuideAndStandards.aspx
(https://brasil.pmi.org/brazil/PMBOKGuideAndStandards.aspx)>
Todo esse processo é contínuo e a tendência é que ou se reduza ou se controle a grande quantidade de riscos.
Ao se conhecer um risco é possível realizar algumas estratégias, como terceirizá-lo (passar para outra
empresa), evitá-lo (limitar a exposição) ou, simplesmente, aceitá-lo (não fazer nada). Independentemente da
estratégia utilizada, as consequências são inú meras.
Para identificar os riscos de uma organização é preciso observarmos pelo menos os três tipos de requisitos de
segurança, clique nos itens para conhecê-los.
Estratégia, visão e objetivos da organização. Com base nisso é possível identificar os

a) diversos riscos associados ao negó cio, analisando o seu impacto e a probabilidade
de ocorrência.
As leis também possuem um forte impacto e se podem considerar regulamentos,

b) contratos, serviços, estatutos etc. Por exemplo, algumas leis podem inviabilizar o
operacional de uma empresa (níveis de ruídos até certas horas do dia).
Regras de negó cio, manipulação dos dados (processamento, armazenamento, etc.)

c) estão envolvidos no cotidiano da empresa. Por meio delas todas as operaçõ es e
serviços são realizados.
Por meio da avaliação de risco é possível nortear toda a organização a fim de garantir açõ es/atividades de
gerência, visando priorizar e implementar controles (contramedidas) dos ricos. Não adianta ter um
planejamento todo cheio de detalhes e para cada detalhe açõ es/atividades a serem tomadas se não houver um
monitoramento adequado. Em consequência, por meio do controle/monitoramento é possível realizar
adaptaçõ es e rever certas tomadas de decisão. É nesse momento que se observa que o que foi planejado está
dando certo e seguido (KIM, 2014).
Uma organização deve informar os seus objetivos e critérios de aceitação para que possa priorizar, identificar
e medir os riscos. Com base nisso é possível traçar estratégias/açõ es adequadas para geri-los e controlá-los.
Esse processo pode ser realizado inú meras vezes com o objetivo de abranger toda a organização.
Para analisarmos a seriedade de um risco é necessário que haja uma comparação sistemática entre o que se
estima e um critério. As avaliaçõ es de riscos devem ser realizadas de tempos em tempos. Isso é necessário,
haja vista que os requisitos, ameaças e vulnerabilidades podem mudar etc. (HINTZBERGEN et al., 2018).
Você deve estar pensando: se simplesmente podemos controlar todos os riscos de uma organização, logo, não
se tem nenhum problema. Se os recursos financeiros e de tempo fossem infinitos, essa seria uma ó tima
estratégia. Porém, se despende uma grande quantia de dinheiro tratando de riscos que talvez nunca aconteçam
ou que sejam bastante caros (SÊ MOLA, 2014).
A análise de risco visar a auxilia a avaliação correta dos riscos, definindo os mais importantes, e que
abordagem se deve ter. Ao tratarmos de análise de risco podemos afirmar que são representados basicamente
quatro objetivos. Clique nos nú meros para saber quais são eles.
1
Mapear os ativos da organização, o valor/grau de importância.
Quando fazemos um mapeamento/identificação adequada do que é
mais importante (ativos) estamos realizando uma priorização. A
partir daqui é possível definir estratégias para assegurar os seus
itens mais relevantes.
2
Identificar as ameaças e vulnerabilidades. Como disse Sun Tzu, no
livro “A arte da Guerra”, além de conhecer o seu inimigo, você deve
conhecer primeiramente a si mesmo. Identificando suas fraquezas
você poderá melhorar a cada dia e se tornar cada vez mais
preparado.
3 Ponderar estatisticamente o risco das ameaças virarem reais e quais

os possíveis danos. Nem sempre uma ameaça se tornará um risco,
isso irá depender da sua probabilidade. Caso seja muito improvável,
não há a necessidade de se despender cuidados para isso. Por
exemplo, o risco de enchente em uma cidade na qual não chove
frequentemente.
Equilibrar custos de medida e incidente, ou seja, o dano que um

risco causa é maior ou menor ao investimento de controle
empregado.
Sobre o ú ltimo objetivo, imagine o seguinte caso. Uma empresa está preocupada com o acesso de terceiros e
quanto à integridade de determinadas informaçõ es. Atualmente, sabe-se que existem políticas de criptografia e
backup bem seguras e que o prejuízo de se perder as informaçõ es não passa de quatro horas de mão de obra
especializada (R$ 4.000,00) para retomar a operação normal. Contudo, em uma análise de risco equivocada,
priorizou-se esse risco e ele foi determinado como crítico. Então, decidiram como contramedida melhorar a
criptografia e armazenar os dados na nuvem e tal medida ultrapassa R$20.000,00.
Perceba que aceitar o risco é bem mais barato do que tentar resolvê-lo. O exemplo foi ilustrativo e em uma
organização isso pode não ficar tão claro no início, mas aos poucos se vai percebendo que aceitá-lo é uma
melhor opção apó s diversas mediçõ es.
VOCÊ QUER VER?

Silicon Valley é uma sé rie de TV norte-americana que mostra o dia a dia de um grupo
de programadores nerds situados no Vale do Silício, na Califórnia. Apesar da sé rie ter
uma abordagem cômica é possível observar o risco que é presente no cotidiano de
uma empresa. Na narrativa da sé rie, um grupo de programadores tenta criar uma
empresa e inú meros problemas acontecem.
Muitas vezes, queremos analisar um risco, mas como podemos medi-lo? Existem basicamente duas formas:
análise quantitativa e a análise qualitativa (HINTZBERGEN, 2018), como você verá clicando nas abas a seguir.
•
Quantitativa
De acordo com o impacto do risco é possível calcular o valor do prejuízo financeiro. Além disso, é
possível calcular a chance do risco virar um incidente. Quando falamos em quantitativa, nos
lembramos de quantidade, de algo que é contado em nú meros. Para se realizar o cálculo são
considerados inú meros itens, a exemplo do impacto aos negó cios, custos das medidas de
segurança, softwares e hardwares, estabelecimento, dentre outros. Com base nisso, é possível
compreender melhor o risco e estimar com mais assertividade o custo. Entretanto, nem sempre um
valor é tangível. Podemos estimar valores para um data center, incluindo o seu preço, manutençõ es,
softwares necessários, salários de especialistas. Por outro lado, qual é o custo de se vazar uma
informação? Logo, essa tarefa não é tão trivial.
Qualitativa
Nessa estratégia não se computa a quantidade em si, uma vez que há um cálculo do risco de acordo
com sua probabilidade. Uma classificação é necessária para definir a gravidade de cada risco e a
eficácia de suas contramedidas (contra-ataques). Para se realizar uma análise qualitativa, podemos
utilizar algumas das seguintes técnicas, mas não limitadas somente a elas: brainstorming
(tempestade de ideias, em que se reú nem várias pessoas em um mesmo lugar e cada uma pode
opinar sem nenhuma restrição. As ideias podem ser anotadas em um quadro e as melhores são
eleitas com base em uma votação), pesquisas, Delphi (realiza-se uma rodada com especialistas
definindo os objetivos desejados em que cada integrante retorna com questõ es que são relevantes
ao contexto. Basicamente, ela funciona com os seguintes passos: identifica-se um problema,
respondem-se questionários de maneira anô nima, compilam-se as repostas e assim por diante),
discussõ es, entrevistas, etc. A escolha de uma ou mais técnicas está diretamente relacionada ao
ambiente das empresas juntamente com as pessoas envolvidas. Um exemplo desse tipo de análise é
quando se apresenta um potencial risco em um cenário a um grupo de especialistas com diferentes
níveis de conhecimento. Então, cada integrante poderá ponderar a probabilidade da ameaça/dano de
acordo com sua experiência.
Veja, a seguir, uma forma de mapear os riscos. Acompanhe!
VAMOS PRATICAR?
É importante que vejamos como a té cnica de brainstorming funciona na
Junte alguns amigos e discuta sobre um hipoté tico problema. Sua organi
líder do mercado de armazenamento de fotos nas nuvens, poré m, você
preocupados em garantir a segurança do negócio. Identifique quais sã
ativos e quais sã o seus potenciais riscos.
Vale lembrar que para cada risco existem basicamente três estratégias, as quais elencamos a seguir
(HINTZBERGEN et al., 2018).
• Tolerância ao risco (aceitar) – nem todos os riscos devem ser

tratados, ou seja, às vezes, deve-se aceitar o risco. Outra
nomenclatura para essa estratégia e a do avestruz (enterra a
cabeça e não se importa). Com essa decisão pode ser que a
contramedida ao risco ultrapasse o valor de seu dano ou
simplesmente que tal risco não tenha um poder destrutivo;
• Redução (mitigar) – às vezes, não é possível eliminar um risco, ou
por custo ou por complexidade, mas, podemos tomar medidas ao
menos para mitigar seus danos;
• Prevenção (evitar) – com base em algumas medidas podemos
neutralizar uma ameaça, por exemplo, uma vulnerabilidade de um
sistema. Como prevenção, se podem realizar atualizações dele.
Nas pró ximas seçõ es entraremos com mais detalhes sobre a mitigação de riscos.
1.3 Mitigação de Riscos

Quando falamos em minimizar risco devemos ter em mente um conjunto de controles. Os controles são as
contramedidas necessárias que visam a minimizar/neutralizar perdas, danos, indisponibilidade a uma
organização.
Primeiramente, para minimizar um risco é preciso selecioná-lo, identificá-lo. Dessa primeira lista podemos
excluir os riscos que serão prontamente aceitos (por serem de baixo risco ou de custo elevado) de acordo com
os critérios de aceitação de risco da organização (KIM, 2014). A seguir estão listados alguns controles para
tratamento de riscos. Clique nos itens.
•
Selecionar controles pertinentes para a reduçã o

de riscos.
Evitar riscos, eliminando açõ es que podem

ocasioná -los.
Terceirizar riscos, deixar que outras empresas o

administrem. Como exemplo temos a
hospedagem de um site (backup, manutençã o de
servidores etc.).
Uma vez que os controles estejam bem definidos, devemos nos preocupar em garantir que os riscos
receberam uma redução de sua gravidade ou de nível e que estejam em padrõ es aceitáveis, considerando
também as restriçõ es legais, os objetivos/visão da organização, os custos da implementação etc.
Escolher um conjunto de controles não implica, necessariamente, em sucesso garantido na minimização do
risco. É necessário que a organização monitore e avalie constantemente o controle a fim de verificar a sua
efetividade/eficiência sobre um risco. Eventualmente, podem surgir novos. Logo, medidas emergenciais
deverão ser realizadas para minimizar o seu risco (HINTZBERGEN et al., 2018).
Uma vez encontrados os riscos devemos definir contramedidas a fim de mitigar tais ameaças. Elas têm como
objetivo reduzir a possibilidade de ocorrência, reduzir suas consequências ou uma combinação de ambas.
Podemos categorizar uma contramedida de acordo com os objetivos da organização. Basicamente, elas são
seis, como vemos a seguir. Clique nos cards.
oãçneverP
Evita incidentes.
oãçceteD
Detecta incidentes.
oãsserpeR
Limita um incidente.
oãçerroC
Recupera dos danos, apó s o incidente.
oruge S
Reduz probabilidade de ameaças.
oãçatiecA
Ignora o risco.
Observe a imagem a seguir.
Figura 2 - Medidas de proteção.

Fonte: HINTZBERGEN et al., 2018, p. 45.
Prevenção – como o pró prio nome já diz, é prevenir que a ameaça ocorra, ou seja, estar preparado, conforme
mostra a figura anterior, em que o retângulo de prevenção está posicionado anteriormente ao do incidente. Um
exemplo de prevenção é remover o acesso externo (Internet) de um servidor com informaçõ es sigilosas. Por
outro lado, em nosso cotidiano, um exemplo seria colocar um alarme no carro para evitar que um ladrão o
leve. Desta forma, estamos reagindo (tomando contramedidas) a possíveis ameaças. Dentro da ITIL
(Technology Infrastructure Library), que é um conjunto de boas práticas que visa a gerenciar os serviços da TI
(Tecnologia da Informação), há uma gerência que está diretamente ligada às mudanças. Contudo, por que a
mudança está relacionada à prevenção? Elas estão fortemente ligadas. A prevenção é realizada sobre a
antecipação de uma ameaça, porém, ao se realizar uma alteração em uma infraestrutura, por exemplo, sem um
prévio estudo, podem ser incluídas falhas. Logo, as mudanças devem ser sempre ser gerenciadas e
controladas.
VOCÊ QUER LER?

ITIL® (Information Technology Infrastructure Library) é o framework para
gerenciamento de serviços de TI (ITSM) mais adotado mundialmente. A utilizaçã o das
melhores prá ticas contidas na ITIL V4 (versã o atual) ajuda as organizações a atingirem
seus objetivos de negócio (planejamento estraté gico) utilizando apropriadamente os
serviços TI. Acesse:
<https://www.axelos.com/itil-update (https://www.axelos.com/itil-update)>
Detecção – quando um incidente não causa muitos danos e suas consequências são baixas pode-se optar pela
detecção. A sua premissa é a de que o incidente possa ser detectado o mais cedo possível. Softwares de
monitoramento podem ser bastante ú teis para verificar qualquer tipo de anormalidades. Nesse contexto,
monitorar o acesso dos empregados na Internet pode prevenir alguns tipos de ameaça (HINTZBERGEN, 2018).
Repressão – uma vez detectada uma ameaça é preciso tomar medidas para solucionar ou reduzir o dano
causado pelo incidente. Por exemplo, foi detectado que várias torneiras estão abertas, mas ninguém tomou
iniciativa alguma, logo, nada vai foi feito a respeito. Então, medidas repressoras devem ser executadas para
minimizar os dados, nesse caso, financeiros, pelo desperdício de água.
Correção – quando ocorre um incidente, independentemente de seu poder de dano, sempre há a necessidade
de se corrigir ou de se recuperar alguma coisa. Ela está diretamente relacionada à repressão adotada. Uma
repressão ineficiente, com certeza, necessitará de uma correção maior e vice-versa. Um exemplo muito
comum é o backup de informaçõ es. Imagine que ocorreu um incidente no qual o diretó rio de arquivos de um
repositó rio de có digo foi corrompido. Uma correção pode ser a volta de um backup. Consequentemente, os
danos podem ser maiores se o backup for muito antigo.
VAMOS PRATICAR?
Com base no resultado do ú ltimo Vamos Praticar, com a fictícia história
organizaçã o de armazenamento na nuvem, selecione trê s riscos encont
diferentes as contramedidas que melhor se encaixam.
Seguro – caso os eventos não sejam totalmente prevenidos e não haja a opção de aceitá-los, devemos ao
menos mitigá-los. Um exemplo clássico é realizar backups fora da localização física de uma organização, pois,
é aceitável que um incêndio possa ocorrer, mas ao menos as informaçõ es vitais (ativo) da empresa estarão
seguras. E em relação aos equipamentos físicos/instalação, uma opção é realizar um seguro contra incêndio.
Aceitação – a medida mais simples, ou seja, não fazer nada. Podemos apenas aceitar o risco ou porque o dano
causado poderá ser bem pequeno ou nulo ou porque a contramedida será tão cara e dispendiosa, que o dano
ou prejuízo será bem menor.
1.4 O Que é uma Ameaça?

Uma ameaça é um possível incidente não desejado. Tal evento pode ocasionar prejuízos a toda uma
organização. Um agente que cause ameaça pode ser um terceiro (hackers e crackers) entrando na rede privada
de uma organização por meio de uma porta desprotegida no firewall ou de um funcionário gerando um erro
sem intenção e, em consequência, revelando informaçõ es altamente sigilosas.
Figura 3 - Agentes ameaçadores podem aproveitar as vulnerabilidades de uma organização.

Fonte: Shutterstock, 2019.
Outros motivos que levam agentes ameaçadores a procurarem vulnerabilidade nas organizaçõ es ou pessoas
podem ser vistos nos exemplos a seguir (KIM, 2014).
• Notoriedade – invadir um site considerado seguro ou de alguma

personalidade famosa somente para se autopromover e ganhar
respeito dentro da comunidade;
• Concorrência/espionagem – muitas organizações guardam suas
informações sobre a estratégia de negócio, novos produtos,
investimentos com bastante sigilo. Expor esses dados a empresas
concorrentes facilitará contramedidas para que seus produtos
sejam melhores. Imagine uma empresa que desenvolveu um
motor econômico e que possui um alto grau de desempenho,
gastando milhões de reais em pesquisa. Porém, uma empresa rival
contratou um cracker/hacker/funcionário infiltrado para obter o
esquema técnico desse motor. Se obtiver sucesso, terá a

oportunidade de continuar o trabalho de onde pararam com uma
maior tecnologia e com um custo bem reduzido;
• Política – recentemente foi noticiado de que turistas, ao entrarem
na China, tinham seus celulares confiscados para inclusão de
softwares de extração de informações. Tal medida tinha como
objetivo analisar o que era discutido contra o Governo;
• Empregados – por vingança, um empregado de uma organização
pode deixar portas abertas nos servidores ou simplesmente
cooperar para a inclusão de certos dispositivos. A NASA sofreu um
tipo semelhante de ataque, no qual, por meio da ajuda de um ex-
funcionário, foi adicionado um microcontrolador “Raspberry Pi”
na rede da agência americana para obter dados sobre viagem a
Marte e posicionamentos de antenas (OLHAR DIGITAL, 2019);
VOCÊ O CONHECE?
Edward Murphy é sem dú vida um grande exemplo de pessoa que pensa em riscos,
ameaças, danos de maneira exagerada. Ele foi um engenheiro da força aé rea
americana e seu trabalho estava relacionado em medir a tolerâ ncia do corpo humano
em relaçã o à aceleraçã o. Na realizaçã o de um dos testes, 16 sensores foram colocados
em um piloto a fim de observar a aceleraçã o e suas consequê ncias. Poré m, os 16
sensores foram instalados de maneira errada. Após esse episódio, ele elaborou uma
das frases mais conhecidas: "Se alguma coisa pode dar errado, dará . E mais, dará
errado da pior maneira, no pior momento e de modo que cause o maior dano possível"
(GORGES, 2007).
• Falhas de equipamento – a ameaça pode ser acidental. Por

exemplo, um HD pode queimar. Apesar de sua especificação
determinando a quantidade de anos que o objeto ou algo é
confiável, nada impede de que ele falhe;
• Falhas de software – sem dúvida é uma boa brecha/oportunidade
para a realização de inúmeros ataques. Mesmo que não haja,a
intenção de incluir pontos de vulnerabilidade no software, é
possível causar um grande impacto na organização. Um exemplo
bem comum disso é o uso da injeção de SQL, em que se podem
incluir comandos SQL em campos de texto para apagar ou para
obter alguma informação. Essa falha é possível quando um
programador coloca o parâmetro esperado da tela diretamente na
consulta. Veja o exemplo:
“SELECT * FROM Usuario u Where u.nome = ” + variavelDiretaTela.
Uma pessoa má intencionada pode inserir no campo texto “x; DELETE FROM Usuario” ou seja, o “;” irá fechar o
SQL anterior e, posteriormente, ele poderá inserir um novo SQL e de apagar toda a tabela Usuario, por
exemplo. Em outras palavras, injetamos um SQL na consulta original. Para evitar esse tipo de ataque é preciso
utilizar parâmetros fornecidos pelo pró prio SQL e nunca concatenar variáveis diretamente ao SQL.
1.5 Tipos de Ameaça

Quando tratamos de ameaças podemos, basicamente, dividi-las em duas categorias: as ameaças humanas e as
ameaças não humanas. Uma organização irá levantar suas principais ameaças com base em listas de boas
práticas (padrõ es/aprendizagem de diversas empresas), as quais podem ser obtidas por diversas normas. Não
é que uma ameaça contida na lista tenha que ser tratada na organização. Pelo contrário, a lista deve atender à
necessidade e aos objetivos da organização. Logo, é imperativo que se destine dinheiro e tempo somente às
ameaças pertinentes ao contexto (HINTZBERGEN et al., 2018).
As ameaças humanas podem ser divididas em intencionais e não intencionais. As ameaças intencionais não
são somente quando terceiros (crackers) desejam causar danos e prejuízos a uma organização. Os pró prios
funcionários podem ser uma ameaça. Imagine um funcionário modelo que por 20 anos dedicou-se à empresa e
que nunca recebeu a tão sonhada promoção, mas ele observa que o primo do seu chefe foi promovido mesmo
trabalhando há apenas 2 anos na instituição. Apesar de ser um exemplo fictício, isso é bastante comum.
VOCÊ QUER LER?

“Aprenda a Desenvolver e Construir Sites Seguros” (2002), de Erik Schetina e Ken
Green, é uma ótima referê ncia para se ler. Apesar de ser um livro relativamente antigo,
ele mostra uma sé rie de conceitos e estudos voltados para o desenvolvimento de
aplicações de forma segura, alé m de definir boas prá ticas para infraestrutura de uma
organizaçã o.
Em decorrência desse fato, o funcionário mais velho poderia muito bem tornar-se uma ameaça à organização
inserindo erros no sistema para culpar o outro, mais jovem, ou simplesmente apagar informaçõ es para se
vingar da empresa. A engenharia Social é um sinô nimo de ameaça usado para esse tipo de ataque em que se
tira proveito da falta de segurança nas organizaçõ es e obtém informaçõ es sigilosas.
Muitos funcionários desconhecem esse golpe e podem abrir as portas para pessoas maliciosas. Não
necessariamente um engenheiro social precisa estar dentro de uma organização, ele pode ouvir algum
comentário em um restaurante, por exemplo, e pode se passar por outras pessoas somente com algumas
informaçõ es simples, algo que também é algo muito comum.
As ameaças não intencionais são criadas mesmo quando um funcionário possui a melhor das intençõ es.
Alguns exemplos são apagar dados importantes por usar um Delete no SQL de forma equivocada; salvar seu
trabalho em um pendrive para terminá-lo em casa, mas, sem querer, você acaba colocando um vírus na rede e
contaminando todos os dispositivos da organização.
Já as ameaças não humanas também são bem possíveis. Podemos levar em consideração eventos da
natureza como enchentes, incêndios, quedas de energias, tempestades etc. Por exemplo, o data center poderia
estar localizado no subsolo em uma sala que é bastante ú mida. Ao invés disso, tal sala poderia ser fechada,
sem umidade, sem janelas. Tais configuraçõ es influenciarão na severidade das ameaças.
VOCÊ QUER VER?

Caso queira conhecer um data center nacional veja o exemplo da Caixa Econômica
Federal. Por meio desse vídeo você compreenderá o quã o complexo é definir uma
estrutura de armazenamento de dados e que ainda possa atender seus clientes com
agilidade e confiança. Acesse:
<https://www.youtube.com/watch?v=WurCFAfIaZM
(https://www.youtube.com/watch?v=WurCFAfIaZM)>
Os danos ou impactos causados por uma ameaça são: diretos (dados são apagados) e indiretos (um incêndio
destruiu um servidor e o sistema ficou fora do ar). Veja que mesmo que um incêndio não esteja ligado
diretamente ao sistema o mesmo foi afetado.
1.6 O que é Vulnerabilidade/Exposição?

Podemos dizer que uma vulnerabilidade é um ponto fraco de um ativo/grupo de ativos. Ao se ter uma
vulnerabilidade, quem irá se aproveitar disso é uma ameaça. Para contextualizar melhor, imagine que uma
pessoa está andando em uma savana sem um rifle e sem um guia. Podemos afirmar que tal pessoa está
vulnerável, pois ela pode sofrer danos severos em consequência de um ataque de um animal selvagem, por
exemplo. Em consequência disso, ela corre risco de morte.
Com esse simples exemplo podemos ter uma diferenciação mais tangível de vulnerabilidade, dano, ameaça e
risco. Dizemos que algo é vulnerável quando carece de uma proteção. No contexto de TI, possíveis
vulnerabilidades podem ser: sistemas/aplicaçõ es desatualizadas, acessos indevidos, portas abertas em
firewall, pessoas mal treinadas na manipulação de dados sigilosos etc. (HINTZBERGEN, 2018).
Figura 4 - Relação entre risco, ameaça e vulnerabilidade.

Fonte: KIM, 2014, p. 92.
Em uma organização podemos destacar, no mínimo, sete tipos de vulnerabilidades, como vemos a seguir.
Clique nos itens.
Físicas
A instalação física, política de acesso local e áreas reservadas.
Naturais
Sem dú vida, qualquer empresa está vulnerável às açõ es na natureza
como enchentes, incêndios etc.
Humana
Um baixo treinamento e um empregado desmotivado podem ser uma

“ó tima” vulnerabilidade para a empresa.
A má instalação ou depreciação do hardware pode causar danos aos

Hardware ativos. Imagine um roteador antigo que tenha um algoritmo de
criptografia não mais utilizado. Um agente ameaçador poderia
quebrar essa criptografia com muita facilidade e entrar dentro da
rede.
Software Manter softwares, sistemas operacionais desatualizados ou,

simplesmente, não configurar de maneira adequada esses programas
podem causar sérios danos aos ativos da organização.
É muito comum que você chegue a seu ambiente de trabalho e queria

Mídias
copiar algum arquivo de seu pendrive ou HD. Tais dispositivos não
são autorizados e podem comprometer toda a segurança da rede.
Como exemplo, arquivos infectados.
Usar softwares não seguros para se comunicar, e-mails, WhatsApp,

mensagens podem comprometer uma organização. Talvez, o pró prio
Comunicação
aplicativo seja seguro, mas vulnerabilidades de sua arquitetura
podem torná-lo um alvo fácil. Um exemplo, o WhatsApp funciona
sobre um nú mero telefô nico e é possível clonar esse nú mero, ligar
na operadora e cancelar o serviço etc.
A exposição, como o pró prio nome já diz, é estar à mostra a uma ameaça. Talvez você tenha ouvido a seguinte
frase: “você se expõ e muito ao risco”. É exatamente isso! Se uma pessoa andar sozinha à noite em um lugar
perigoso, ela está se expondo ao risco, uma vez que pode ser assaltada. Quando se está vulnerável,
automaticamente, há uma exposição às ameaças.
CASO
O Avast PC Trends Reports 2017-2019 visa a levantar dados sobre
software/hardware de diversos dispositivos. Com base nisso é possível conhecer
as vulnerabilidades e també m definir a tendê ncia de hardware/software para o
futuro. Para termos uma ideia na dimensã o do risco, os dados coletados em 2019
mostram que, na mé dia, um PC tem 6 anos. Alé m disso, mais da metade (55%)
de todo software instalado está desatualizado e que 67% dos dispositivos sã o
notebooks ou tablets. Você deve se perguntar: ao longo do tempo, esses nú meros
(riscos) tendem a diminuir? Na verdade, nã o. Ao compararmos o nú mero de
softwares desatualizados em 2017 tem-se que dos 48% do nú mero de softwares
desatualizados houve um salto para 55%, em 2019. Outro dado interessante é a
lista dos dez programas mais desatualizados. No topo está a má quina virtual Java,
seguido pelo Adobe Air, Adobe Schockwave, VLC Media Player, iTunes, Firefox, 7-zip,
Winrar, QuickTime e, por fim, Adobe Flash Player. Nesse relatório ainda foi
informado que o Windows 7 possui 45% na fatia dos usuá rios do Windows (veja
a distribuiçã o de versões do Windows na figura a seguir), sendo que o fim de seu
suporte está programado para janeiro de 2020 (AVAST, 2019).
Figura 5 - Versõ es do Windows e a sua fatia no mercado.

Fonte: AVAST, 2019.
Sem dú vida é importante conhecer os riscos de uma organização para garantir a segurança do negó cio. Uma
vez identificados tais riscos devem ser tomadas as contramedidas adequadas a fim de amenizá-los ou eliminá-
los. O risco causa uma vulnerabilidade que pode ser explorada por agentes ameaçadores.
Síntese
Vimos nesse capítulo que um risco é a probabilidade que algo ruim aconteça a um ativo (itens de valor) da
organização. Quando uma empresa possui uma vulnerabilidade, podendo ser, por exemplo, de software (SO
não atualizado), dizemos que ela está exposta a um ataque. O ataque, por sua vez, visa, em sua grande maioria,
a causar algum dano à organização. Gerenciar os riscos de uma organização se torna cada dia mais imperativo
em frente ao leque de ataques que ocorrem na rede diariamente.
Nesta unidade, você teve a oportunidade de:
• compreendemos o termo risco para segurança da informação;

• vimos sobre os riscos devem ser gerenciados em uma
organização;
• aprendemos que se deve analisar um risco para conhecê-lo e
priorizá-lo;
• vimos que um gerenciamento de risco pode seguir o processo de
normas ou entidades relacionadas.
• vimos que os riscos são baseados na visão/objetivos da
organização, leis e normais assim como regras de negócio;
• na análise de risco podemos mapear os ativos da organização,
identificar ameaças, ponderar o risco e equilibrar o custo;
• compreendemos que um risco pode ser medido de forma
quantitativa e/ou qualitativa;
• a estratégica básica para se classificar um risco pode ser: aceitar,
mitigar ou evitar;
• pode-se mitigar um risco assumindo controles (contramedidas)
pertinentes;
• vimos que as contramedidas podem ser categorizadas em:
preventiva, redutiva, detectiva, repressiva, corretiva e de
aceitação;
• aprendemos que risco é igual à ameaça versus vulnerabilidade;
• aprendemos que os tipos básicos de ameaça podem ser humanas
e não humanas;
• compreendemos que uma organização pode ter, no mínimo, sete
tipos de vulnerabilidades: físicas, naturais, humana, hardware,
software, mídias e comunicação.
Bibliografia
AVAST. AVAST PC Trends Reports. AVAST Blog, 2019. Disponível em: (https://blog.avast.com/pc-trends-
reports#2017-2019-trends)https://blog.avast.com/pc-trends-reports#2017-2019-trends
(https://blog.avast.com/pc-trends-reports#2017-2019-trends). Acesso em: 18 jul. 20
AXELOS - Global Best Practice. ITIL® Update, 2019. Disponível em: (https://www.axelos.com/itil-
update)https://www.axelos.com/itil-update (https://www.axelos.com/itil-update). Acesso em: 22 jul. 2019.
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. São Paulo: Bookman, 2013.
GORGES, E. A Lei de Murphy no gerenciamento de projetos. Rio de Janeiro: Brasport, 2007.
HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002.
São Paulo: Brasport, 2018.
KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC, 2014.
MELLO, K.; TEIXEIRA, L. B. Era da Proteção. Forbes – UOL – Negócios, 01 jan. 2019. Disponível em:
(https://forbes.com.br/principal/2019/01/por-que-estamos-na-era-da-protecao-da-
informacao/)https://forbes.com.br/principal/2019/01/por-que-estamos-na-era-da-protecao-da-informacao/
(https://forbes.com.br/principal/2019/01/por-que-estamos-na-era-da-protecao-da-informacao/). Acesso em:
18 jul. 2019.
MULTIDRONES. Data Center Caixa Econô mica Federal. Youtube, 24 out. 2014. Disponível em:
(https://www.youtube.com/watch?v=WurCFAfIaZM)https://www.youtube.com/watch?v=WurCFAfIaZM
(https://www.youtube.com/watch?v=WurCFAfIaZM). Acesso em: 18 jul. 2019.
OLHAR DIGITAL. NASA foi hackeada porque havia um Raspberry Pi conectado à rede. Olhar Digital –
Segurança, 24 jun. 2019. Disponível em: (https://olhardigital.com.br/fique_seguro/noticia/nasa-foi-
hackeada-porque-havia-um-raspberry-pi-conectado-a-
rede/87217)https://olhardigital.com.br/fique_seguro/noticia/nasa-foi-hackeada-porque-havia-um-raspberry-
pi-conectado-a-rede/87217 (https://olhardigital.com.br/fique_seguro/noticia/nasa-foi-hackeada-porque-
havia-um-raspberry-pi-conectado-a-rede/87217). Acesso em: 18 jul. 2019.
PMI. Guia PMBOK® & Padrões, 2019. Disponível em:
(https://brasil.pmi.org/brazil/PMBOKGuideAndStandards.aspx)https://brasil.pmi.org/brazil/PMBOKGuideAn
dStandards.aspx (https://brasil.pmi.org/brazil/PMBOKGuideAndStandards.aspx). Acesso em: 22 jul. 2019.
SCHETINA, E.; GREEN, K. Aprenda a desenvolver e construir sites seguros. São Paulo: Campus, 2002.
SÊ MOLA, M. Gestão da segurança da informação. São Paulo: Elsevier Brasil, 2014.
SILICON VALLEY. Criadores: Mike Judge, John Altschuler, Dave Krinsky. Produtor: Jim Kleverweis. Elenco:
Thomas Middleditch, T.J. Miller, Josh BrenerEstados Unidos e outros. Distribuído por: Warner Bros. Television
Distribution. Estados Unidos, 2014. Série de TV.

Princípios de Segurança Da Informação 2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Princípios de Segurança Da Informação 2

Enviado por

Direitos autorais:

Formatos disponíveis

24/11/23, 08:40 Princípios de Segurança da Informação

PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO

Dr. Halley Wesley Alexandre Silva Gondim

1.1 O que é risco?

1.2 Avaliação de Riscos

Figura 1 - A avaliação de um risco visa determinar a sua prioridade/importância.

Estratégia, visão e objetivos da organização. Com base nisso é possível identificar os

As leis também possuem um forte impacto e se podem considerar regulamentos,

Regras de negó cio, manipulação dos dados (processamento, armazenamento, etc.)

3 Ponderar estatisticamente o risco das ameaças virarem reais e quais

Equilibrar custos de medida e incidente, ou seja, o dano que um

VOCÊ QUER VER?

Veja, a seguir, uma forma de mapear os riscos. Acompanhe!

• Tolerância ao risco (aceitar) – nem todos os riscos devem ser

1.3 Mitigação de Riscos

Selecionar controles pertinentes para a reduçã o

Evitar riscos, eliminando açõ es que podem

Terceirizar riscos, deixar que outras empresas o

Recupera dos danos, apó s o incidente.

Reduz probabilidade de ameaças.

Observe a imagem a seguir.

Figura 2 - Medidas de proteção.

VOCÊ QUER LER?

1.4 O Que é uma Ameaça?

Figura 3 - Agentes ameaçadores podem aproveitar as vulnerabilidades de uma organização.

• Notoriedade – invadir um site considerado seguro ou de alguma

esquema técnico desse motor. Se obtiver sucesso, terá a

• Falhas de equipamento – a ameaça pode ser acidental. Por

“SELECT * FROM Usuario u Where u.nome = ” + variavelDiretaTela.

1.5 Tipos de Ameaça

VOCÊ QUER LER?

VOCÊ QUER VER?

1.6 O que é Vulnerabilidade/Exposição?

Figura 4 - Relação entre risco, ameaça e vulnerabilidade.

Um baixo treinamento e um empregado desmotivado podem ser uma

A má instalação ou depreciação do hardware pode causar danos aos

Software Manter softwares, sistemas operacionais desatualizados ou,

É muito comum que você chegue a seu ambiente de trabalho e queria

Usar softwares não seguros para se comunicar, e-mails, WhatsApp,

Figura 5 - Versõ es do Windows e a sua fatia no mercado.

• compreendemos o termo risco para segurança da informação;

Você também pode gostar