FACULDADE SANTA TEREZINHA - CEST

CURSO DE SISTEMAS DE INFORMAÇÃO

HEITHOR ROBERT COSTA SILVA

A GESTÃO DE SEGURANÇA DA INFORMAÇÃO: um estudo de caso em um

órgão público do Estado

São Luís
2023
 HEITHOR ROBERT COSTA SILVA

A GESTÃO DE SEGURANÇA DA INFORMAÇÃO: Um estudo de caso em um

órgão público do Estado

Monografia apresentada ao Curso de Sistemas de

Informação, da Faculdade Santa Terezinha – CEST
para obtenção do grau de Bacharel em Sistemas de
Informação.

Orientador: Carlos Wagner Sousa da Costa

São Luís
2023
Silva, Heithor Robert Costa

A gestão de segurança da informação: um estudo de caso em um órgão

público do Estado./ Heithor Robert Costa Silva. - São Luís, 2023.

53 f.

Orientador(a): Prof. Carlos Wagner Sousa da Costa.

Monografia (Graduação em Sistemas de Informação) – Faculdade Santa

Terezinha, São Luís, 2023.

1. Tecnologia da Informação. 2. Cibersegurança. 3. Segurança de

dados. I. Título.

CDU 005.94
 HEITHOR ROBERT COSTA SILVA

A GESTÃO DE SEGURANÇA DA INFORMAÇÃO: Um estudo de caso em um

órgão público do Estado

Monografia apresentada ao Curso de Sistemas de

Informação, da Faculdade Santa Terezinha – CEST
para obtenção do grau de Bacharel em Sistemas de
Informação.

Aprovado em: ___/___/____.

________________________________________________
Prof. Carlos Wagner Sousa da Costa (Orientador)

________________________________________________
Prof. Thiago Nelson Faria dos Reis

________________________________________________
Profa. Pedriana de Jesus Pavão Castro

São Luís
2023
 RESUMO

Este estudo tem como objetivo investigar os principais obstáculos e perspectivas na

gestão da segurança de informação. A segurança da informação é uma área muito
abrangente e que demanda da utilização de uma série de tecnologias e
procedimentos, usados de forma complementar e que devem ser atualizados de forma
constante. Sua proteção, de forma abrangente, associa-se a forma em que as
pessoas coletam, registram e armazenam esses dados. Portanto, entende-se que
existe uma relação entre informação, segurança e os cuidados assumidos pelas
pessoas para que esses dados sejam protegidos de forma contínua. Assim como é
possível proteger as informações, também é possível sujeitá-las a situação de risco,
em caso de condutas inadequadas. As fragilidades que podem ocasionar falhas na
segurança de dados podem ser evitadas, ou, pelo menos, reduzidas. Entretanto, esse
procedimento de segurança deve ser realizado por um profissional capacitado e apto
em conjunto as empresas, portanto, ressalta-se a importância da formação em
Tecnologia da Informação (TI) para o desenvolvimento de soluções definitivas e de
longo prazo para segurança dos dados digitais

Palavras-chave: Tecnologia da informação. Cibersegurança. Segurança de dados.

 ABSTRACT

This study aims to investigate the main obstacles and perspectives in information
security management. Information security is a very comprehensive area that
demands the use of a series of technologies and procedures, used in a complementary
way and that must be constantly updated. Its protection, in a comprehensive way, is
associated with the way in which people collect, record and store this data. Therefore,
it is understood that there is a relationship between information, security and the care
taken by people so that this data is protected on an ongoing basis. Just as it is possible
to protect information, it is also possible to subject it to a situation of risk, in case of
inappropriate conduct. Fragilities that can cause failures in data security can be
avoided, or at least reduced. However, this security procedure must be carried out by
a trained and capable professional together with the companies, therefore, the
importance of training in Information Technology (IT) is emphasized for the
development of definitive and long-term solutions for data security fingerprints

Keywords: Information technology. Cybersecurity. Data security.

 LISTA DE ILUSTRAÇÕES

Figura 1 - Um exemplo da pirâmide dados-informações-conhecimento-

sabedoria 12
Figura 2 - Capacitação de Recursos Humanos em Tecnologia da
Informação e Comunicação 35
Figura 3 - Representa o organograma do órgão 39
Figura 4 - Números de ameaças via e-mail 41
Quadro 1 - Quantidade de e-mails de entrada e saída no mesmo período 42
Figura 5 - Ameaças detectadas pelo antivírus 43
Figura 6 - Status dos dispositivos 43
Figura 7 - Resumo de ameaças 44
Figura 8 - Categorias de acessos à rede 45
Figura 9 - Atividades de malware 45
Figura 10 - Ações por malware 46
Figura 11 - Ações por malware 46
Figura 12 - Incidentes detectados 46
 SUMÁRIO
1 INTRODUÇÃO ......................................................................................................... 8
1.1 Justificativa.......................................................................................................... 9
1.2 Metodologia ......................................................................................................... 9
1.3 Problemática ........................................................................................................ 9
1.4 Objetivo geral .................................................................................................... 10
1.5 Objetivos específicos........................................................................................ 10
2 A SEGURANÇA E GESTÃO DA INFORMAÇÃO ................................................. 11
2.1 Definição de dados ........................................................................................... 11
2.2 Definição de informação ................................................................................... 13
2.3 Segurança da informação................................................................................. 14
2.4 Gestão da segurança da informação ............................................................... 18
3 OBSTÁCULOS E DESAFIOS NA GESTÃO DE SEGURANÇA DE INFORMAÇÃO
.................................................................................................................................. 20
3.1 Crimes virtuais .................................................................................................. 20
3.1.1 Classificação dos crimes cibernéticos......................................................... 22
3.1.1.1 Crimes cibernéticos próprios ......................................................................... 22
3.2 Riscos e ameaças na utilização da internet .................................................... 24
3.2.1 Vírus ................................................................................................................ 25
3.2.2 Malware ........................................................................................................... 25
3.2.3 Trojan .............................................................................................................. 26
3.2.4 Spyware........................................................................................................... 26
3.2.5 Ataque de força bruta .................................................................................... 26
3.2.6 Phishing .......................................................................................................... 27
3.2.7 Worms ............................................................................................................. 27
3.2.8 Adware ............................................................................................................ 28
3.2.9 Ransomware ................................................................................................... 28
3.2.10 Ataque DDos ................................................................................................. 28
3.2.11 Vulnerabilidade zero-day ............................................................................. 29
3.2.12 Cross-site scripting ...................................................................................... 29
3.3 Defesas contra ameaças aos sistemas ........................................................... 29
3.3.1 Defesa física ................................................................................................... 31
3.3.2 Controles biométricos ................................................................................... 31
3.3.3 Autenticação e autorização ........................................................................... 32
3.3.4 Firewall ............................................................................................................ 32
3.3.5 Antivírus .......................................................................................................... 33
3.3.6 Criptografia ..................................................................................................... 33
4 A FORMAÇÃO EM TECNOLOGIA DA INFORMAÇÃO (TI) ................................. 35
5 ESTUDO DE CASO COMO ESTRATÉGIA DE PESQUISA NA ÁREA DE
SEGURANÇA A INFORMAÇÃO .......................................................................... 39
5.1 O órgão............................................................................................................... 39
5.1.1 Gestão e estrutura organizacional ................................................................ 39
5.2 A segurança da informação no órgão público ............................................... 40
5.3 Principais ameaças à segurança da informação do órgão ............................ 41
5.4 Defesas contra as ameaças ao órgão ............................................................. 41
5.4.1 Antispam ......................................................................................................... 41
5.4.2 Antivírus .......................................................................................................... 43
5.4.3 Firewall ............................................................................................................ 45
5.5 Resultados e considerações do estudo de caso ............................................ 48
6 CONSIDERAÇÕES FINAIS ................................................................................... 49
REFERÊNCIAS......................................................................................................... 50
 8

1 INTRODUÇÃO
A tecnologia da informação aumentou dramaticamente as oportunidades
de negócios online, no entanto, essas oportunidades também criaram sérios riscos
em relação à segurança da informação. Anteriormente, as questões de segurança da
informação eram estudadas em um contexto tecnológico, mas as crescentes
necessidades de segurança ampliaram a atenção dos pesquisadores para explorar o
papel da gestão na gestão da segurança da informação. Nimer (1998, p. 24) evidencia
a importância da segurança da informação em seu estudo, afirmando que “a
informação é grande fonte de riqueza (e, portanto, um dos principais ativos a serem
protegidos), subestimar a importância da segurança pode custar a sobrevivência da
organização no mercado”.
A era da informação e a internet encontram-se cada vez mais no alcance
de todos. Com isso, grande parte das informações são de fácil acesso e estão
disponíveis sem custos e limitações para diversos usuários, entretanto, há dados que
exigem maior proteção e resguardo, devido aos riscos que podem ser acarretados.
Isso, porque, com tantas informações relevantes sendo trocadas, é despertado um
interesse mal-intencionado no uso desses dados. Sendo assim, se faz fundamental a
necessidade e preocupação da segurança e proteção dessas informações.
É crescente o número de pesquisas que objetivam buscar maneiras de
ampliar a segurança das informações, fazendo com que sua utilização aconteça
somente por entidades e pessoas autorizadas, logo, evitando uma disseminação
inesperada e não autorizada, o que coloca em risco os usuários aos quais esses
dados se referem. Atualmente a informação constitui-se de um produto do mercado,
fundamental para as organizações que comercializam bens e serviços e podem
englobar estoque, clientes, contas a pagar, a receber, etc.
Neste mesmo contexto, a literatura aponta que o entendimento de
informação se constitui em qualquer conteúdo ou conjunto de dados de relevância
para determinada empresa ou indivíduo, denominando-se um recurso de grande valor
na sociedade atual. A segurança da informação é uma área muito abrangente e que
demanda da utilização de uma série de tecnologias e procedimentos, usados de forma
complementar e que devem ser atualizados de forma constante. Sua proteção, de
forma abrangente, associa-se a forma em que as pessoas coletam, registram e
armazenam esses dados. Portanto, entende-se que existe uma relação entre
informação, segurança e os cuidados assumidos pelas pessoas para que esses dados
 9

sejam protegidos de forma contínua. Assim como é possível proteger as informações,

também é possível sujeitá-las a situação de risco, em caso de condutas inadequadas.

1.1 Justificativa
A justificativa deste estudo se baseia na concepção de que as fragilidades
que podem ocasionar falhas na segurança de dados podem ser evitadas, ou, pelo
menos, reduzidas. Entretanto, esse procedimento de segurança deve ser realizado
por um profissional capacitado e apto em conjunto as empresas, portanto, ressalta-se
a importância da formação em Tecnologia da Informação (TI) para o desenvolvimento
de soluções definitivas e de longo prazo para segurança dos dados digitais.

1.2 Metodologia
O presente estudo pode ser considerado de natureza aplicada, com
abordagem qualitativa, com caráter exploratório e investigativo, e o procedimento
utilizado para alcançar as informações necessárias será a pesquisa bibliográfica e o
estudo de caso.
A pesquisa bibliográfica relatou os conceitos relacionados à gestão de
segurança da informação sobre os quais foi avaliado o órgão público, os dados e
informações foram analisados através das obras e materiais desenvolvidos por outros
autores, denominada como coleta bibliográfica, feita por meio da análise e descrição
sobre os conhecimentos teóricos-empíricos que irão nortear o trabalho desenvolvido,
que serão obtidos através de fontes em publicações periódicas nas bases de dados
utilizada para fornecer tal material.
O estudo de caso foi realizado em um órgão público do estado, com o
objetivo de analisar os aspectos relacionados à gestão e práticas de segurança da
informação, e fazer um levantamento das principais ameaças sofridas pelo órgão e os
controles e ações adotadas para combate-las.

1.3 Problemática
A evolução da tecnologia, o crescimento de novas formas de ataque e os
diversos malefícios às organizações vítimas desses ataques amplifica a necessidade
e relevância da segurança de dados. Partindo deste princípio, é possível destacar
quais são os obstáculos do setor e as perspectivas na área para sua efetivação a
longo prazo.
 10

Devido à grande importância e o valor dos ativos de informação do órgão

público, é fundamental trata-los e protege-los de forma adequada. Considerando que
o órgão requer um alto nível de proteção de sua informação, este trabalho tem como
propósito verificar a gestão de segurança da informação do órgão público, com foco
nas políticas de segurança da informação, as principais ameaças e as principais
defesas disponíveis para combatê-las.

1.4 Objetivo geral

Investigar um órgão público quanto a sua gestão de segurança da
informação, através de um estudo de caso com foco nas principais ameaças recebidas
e as defesas disponíveis para combater o cibercrime.

1.5 Objetivos específicos

a) Definir, a partir de uma série de obras e autores, as principais
definições sobre segurança da informação e seus princípios básicos.
b) Conhecer os principais riscos no uso da internet em relação a
ameaça dos dados e evidenciar os obstáculos da gestão de
segurança da informação.
c) Elaborar um estudo de caso em um órgão público, observando a
gestão e as principais práticas de segurança da informação
adotadas.
d) Analisar controles de segurança da informação utilizados no órgão
relativos à política de segurança da informação.
 11

2 A SEGURANÇA E GESTÃO DA INFORMAÇÃO

2.1 Definição de dados

Na computação, dados são informações que foram traduzidas em uma
forma eficiente para movimentação ou processamento. Em relação aos computadores
e meios de transmissão de hoje, os dados são informações convertidas em formato
binário. É aceitável que os dados sejam usados como um assunto singular ou um
assunto plural. Dados brutos é um termo usado para descrever dados em seu formato
digital mais básico (VIANA; FREITAS, 2019).
Para Santos (2021, p. 5) “dados são valores numéricos que, quando
devidamente estruturados e sistematizados, transformam-se em informações. Tais
informações quando filtradas e agrupadas geram conhecimento sobre determinado
objeto, pessoa ou grupo.”
O conceito de dados no contexto da computação tem suas raízes no
trabalho de Claude Shannon, um matemático americano conhecido como o pai da
teoria da informação. Ele inaugurou conceitos digitais binários baseados na aplicação
de lógica booleana de dois valores a circuitos eletrônicos. Os formatos de dígitos
binários são a base das CPUs, memórias de semicondutores e unidades de disco,
bem como muitos dos dispositivos periféricos comuns na computação atual. A entrada
inicial de computador para controle e dados assumiu a forma de perfurados, seguidos
por fita magnética e disco rígido (DALMARCO, 2020).
Desde o início, a importância dos dados na computação comercial tornou-
se aparente pela popularidade dos termos "processamento de dados" e
"processamento eletrônico de dados", que, por um tempo, passaram a abranger toda
a gama do que hoje é conhecido como tecnologia da informação. Ao longo da história
da computação corporativa, a especialização ocorreu e uma profissão de dados
distinta emergiu junto com o crescimento do processamento de dados corporativos
(TRUZZI; DAOUN, 2015).
Os computadores representam dados, incluindo vídeo, imagens, sons e
texto, como valores binários usando padrões de apenas dois números: 1 e 0. Um bit
é a menor unidade de dados e representa apenas um único valor. Um byte tem oito
dígitos binários. O armazenamento e a memória são medidos em megabytes e
gigabytes (VIANA; FREITAS, 2019).
 12

As unidades de medida de dados continuam a crescer à medida que cresce

a quantidade de dados coletados e armazenados. O termo relativamente novo
"brontobyte", por exemplo, é dados igual a 10 elevado à 27ª potência de bytes
(LAUDON; LAUDON, 2022).
Os dados podem ser armazenados em formatos de arquivo, como em
sistemas de mainframe usando ISAM e VSAM. Outros formatos de arquivo para
armazenamento, conversão e processamento de dados incluem valores separados
por vírgula. Esses formatos continuaram a encontrar uso em uma variedade de tipos
de máquinas, mesmo quando abordagens mais orientadas a dados estruturados
ganharam espaço na computação corporativa (DALMARCO, 2020).
Maior especialização desenvolvida como dados, sistema de gerenciamento
de banco de dados e, em seguida, surgiu a tecnologia de banco de dados relacional
para organizar as informações.
O crescimento da web e dos smartphones na última década levou a um
aumento na criação de dados digitais. Os dados agora incluem informações de texto,
áudio e vídeo, bem como logs e registros de atividades na web. Muito disso são dados
não estruturados (LOZANO, 2017).
O termo big data tem sido usado para descrever dados na faixa de
petabytes ou maiores. Uma tomada abreviada descreve big data com 3Vs - volume,
variedade e velocidade. À medida que o comércio eletrônico baseado na web se
espalhou, os modelos de negócios baseados em big data evoluíram, tratando os
dados como um ativo em si. Essas tendências também geraram maior preocupação
com os usos sociais de dados e privacidade de dados (VIANA; FREITAS, 2019).
Os dados têm significado além de seu uso em aplicativos de computação
voltados para o processamento de dados. Por exemplo, na interconexão de
componentes eletrônicos e comunicação de rede, o termo dados é frequentemente
diferenciado de "informações de controle", "bits de controle" e termos semelhantes
para identificar o conteúdo principal de uma unidade de transmissão. Além disso, na
ciência, o termo dados é usado para descrever um conjunto de fatos reunidos. Esse
também é o caso em áreas como finanças, marketing, demografia e saúde (LAUDON;
LAUDON, 2022).
 13

2.2 Definição de informação

Dalmarco (2020) define informação como estímulos que têm significado
em algum contexto para seu receptor. Quando as informações são inseridas e
armazenadas em um computador, geralmente são chamadas de dados. Após o
processamento - como formatação e impressão - os dados de saída podem
novamente ser percebidos como informações. Quando a informação é compilada
ou usada para entender melhor algo ou para fazer algo, ela se torna conhecimento.
O modelo dados-informações-conhecimento-sabedoria ilustra essa
hierarquia (Figura 1). Estruturado como uma pirâmide, o modelo foi criado para
mostrar que os dados podem ser capturados em diferentes formatos, analisados e
convertidos em diferentes formas (LAUDON; LAUDON, 2022). Cada nível da pirâmide
representa uma perspectiva diferente ou nível de abstração da seguinte forma:
a) Os fatos discretos e brutos sobre uma determinada situação sem
análise ou interpretação aplicada;
b) Aplicar descrição e significado aos dados para torná-los úteis;
c) Informações que possuem insight, contexto e um quadro de
referência aplicado para que possam ser interpretadas;
d) O conhecimento é convertido em sabedoria aplicando julgamento
e ação à informação.

Figura 1 - Um exemplo da pirâmide dados-informações-conhecimento-sabedoria.

Fonte: Lozano (2017)

Dados e informações não são a mesma coisa. Dados referem-se a

observações numéricas e qualitativas. A informação é criada quando os dados são
apresentados de uma forma que tenha significado para o destinatário. Para
 14

transformar dados em informações, eles devem ser processados e organizados.

Apresentar dados de uma forma que tenha significado e valor é chamado de design
da informação e é um campo importante tanto na arquitetura da informação quanto na
interação humano-computador (VIANA; FREITAS, 2019).

2.3 Segurança da informação

O potencial de ataques cibernéticos para comprometer informações
confidenciais armazenadas em bancos de dados representa uma ameaça real ao
mundo interconectado, afetando empresas e indivíduos. Essa ameaça tornou-se cada
vez mais relevante nos últimos anos, pois afetou instituições financeiras, organizações
privadas, infraestrutura crítica e sistemas governamentais. Preocupantemente, o
número de ataques cibernéticos está aumentando, tornando-se ainda mais perigosos
à medida que os cibercriminosos desenvolvem novas maneiras de violar os sistemas
de segurança e acessar dados valiosos (TERUAL LOZANO, 2017).
Segundo Turban, Rainer Jr e Potter (2007), em uma pesquisa da
Dataquest, realizada no início do século 21, quase 80% de todas as corporações
americanas enfrentaram ataques de computadores, o que demonstra o quão
despreparadas as empresas estão no que se refere ao assunto de segurança.
Somente no Canadá, o Statistics Canada revelou que as empresas
canadenses gastaram US$ 14 bilhões em segurança cibernética em 2017, e mais de
uma em cada cinco empresas canadenses afirma ter sido atingida por um ataque
cibernético naquele ano. As estatísticas mostraram que quanto maior a empresa, mais
suscetível ela fica a um ataque. O setor bancário, por exemplo, sofreu um grande
impacto desde os primeiros ataques a atingir as instituições financeiras
canadenses. Em 2017, o Bank of Montreal e o Canadian Imperial Bank of Commerce
perderam os dados de quase 90 mil clientes para hackers (SANTOS, 2021).
O Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança
no Brasil registrou 875.327 notificações de incidentes de segurança em 2019 e
318.697 somente no primeiro semestre de 2020, incluindo fraudes, golpes, worms,
ataques de negação de serviço e invasões. Esses relatórios, no entanto, são enviados
voluntariamente e, portanto, não refletem com precisão o número real de incidentes
de segurança identificados. Além disso, a empresa de segurança cibernética
Kaspersky publicou recentemente um estudo indicando que os ataques cibernéticos
no Brasil aumentaram 23% em 2021 (PAULA; OLIVEIRA-CASTRO, 2023).
 15

Uma pesquisa divulgada pela Sophos revelou que 55% das 200 empresas
brasileiras entrevistadas sofreram ataques de ransomware em 2021, ante 38% no ano
anterior. Além disso, o Centro de Estudos, Respostas e Tratamento de Incidentes de
Segurança no Brasil (CERT.br), vinculado ao Comitê Gestor da Internet no Brasil
(CGI), aponta grande número de tentativas de ciberataques no país desde 2012.
Diante desse cenário, a segurança cibernética tornou-se um assunto de destaque no
Brasil e há uma demanda crescente por regulamentação (MARTINS; CARNEIRO;
MERGULHÃO, 2023).
A falsa sensação de segurança conduz as empresas a adiarem as
providências necessárias para redução dos riscos, o que as torna despreparadas para
sobreviver e superar os ataques de invasores. Em contrapartida, algumas pesquisas
demonstram que o orçamento investido para segurança da informação vem
aumentando com o passar dos anos. É fundamental que as empresas tomem as
medidas necessárias para proteger suas informações prioritárias contra violações de
dados, acesso não autorizado e outras ameaças perturbadoras à segurança de dados
de empresas e consumidores (BLUM, 2018).
A segurança da informação nesse contexto se mostra essencial, e até
mesmo crítica em alguns casos, para que a consistência dos sistemas não seja
afetada, garantindo a redução de riscos de fraudes, erros, vazamento, roubo e uso
indevido de informações. A segurança da informação, é um processo de prevenção da
confidencialidade, integridade, disponibilidade e autenticidade de todas informações
e dados indispensáveis para uma organização e/ou indivíduo. A segurança da
informação protege dados das empresas que estão protegidos no sistema contra
maliciosos. As informações podem estar em qualquer formato, no formato digital ou
físico (PAULA; OLIVEIRA-CASTRO, 2023).
Corroborando com o autor supracitado, o Departamento de Comércio dos
Estados Unidos define a segurança da informação como a proteção da informação e
dos sistemas de informação contra acesso não autorizado, uso, divulgação,
interrupção, modificação ou destruição, a fim de fornecer confidencialidade,
integridade e disponibilidade (SILVA, 2023).
Desta forma, a segurança da informação se baseia em quatro pilares para
proteger as informações e dados: confidencialidade, integridade, disponibilidade e
autenticidade. Confidencialidade é a preservação do sigilo das informações (por
exemplo, relatórios de negócios, projetos técnicos ou projeções financeiras),
 16

garantindo que a visualização seja realizada exclusivamente por pessoas autorizadas.

Integridade é garantir que as informações sejam precisas e consistentes e não tenham
sido manipuladas. A disponibilidade garante que as informações sejam acessíveis a
pessoas autorizadas quando necessário. Por fim, a autenticidade é o que garante a
verdadeira autoria da informação, ou seja, que os dados são de fato provenientes de
determinada fonte (PAULA; OLIVEIRA-CASTRO, 2023).
Outros fatores também se fazem essenciais, tais como a auditabilidade e o
não repúdio de autoria. A auditabilidade é o acesso e o uso da informação devem ser
registrados, possibilitando a identificação de quem fez o acesso e o que foi feito. O
não repúdio de autoria: o usuário que gerou ou alterou a informação não pode negar
o fato, pois existem mecanismos que garantem sua autoria (MARTINS; CARNEIRO;
MERGULHÃO, 2023).
As informações podem ser de qualquer origem, como informações
comerciais, pessoais, dados confidenciais no computador ou telefone celular etc. Essa
preservação passa pelo ambiente físico, tecnológico e gestão de pessoas, tornando
assim uma área que estimula o interesse dentro de uma organização que se importa
com a qualidade e continuidade dos seus negócios (SILVA, 2023).
A importância da informação está ligada a quem á tem, por exemplo uma
telefonista da empresa detém uma informação que para ela pareça inofensiva, porém
para alguém que tenha todo o contexto, aquela informação seria vital, como diz Mitnick
e Simon (2003, p 21), “assim como as peças de um quebra-cabeça, cada informação
parece irrelevante sozinha. Porém, quando as peças são juntadas, uma figura
aparece.”
Na era digital, os dados são tão importantes que milhares de ataques
acontecem diariamente. O Brasil se tornou o segundo maior alvo mundial de
ciberataques, segundo um estudo da Netscout, mas um estudo da International
Telecommunications Union (ITU), agência ligada à Organização das Nações Unidas
(ONU), revelou que já existe um movimento de mudança nesse cenário. Segundo a
instituição, o país deu um salto significativo no ranking mundial de cibersegurança,
passando da 71ª posição para a 18ª posição entre 194 países analisados. Entre os
países das Américas, o Brasil está em 3º lugar, superado apenas pelos EUA e
Canadá. A metodologia da UIT para medir o Índice Global no combate aos riscos
cibernéticos considera cinco aspectos: medidas legais, técnicas, cooperativas,
organizacionais e de treinamento (BATISTA; SOARES; SOCREPPA, 2023).
 17

Os profissionais do setor reforçam que ainda há muitas questões a serem

resolvidas no país. As corporações brasileiras precisam cada vez mais investir para
fechar a lacuna entre o cibercrime e os controles, pois esses ataques evoluem tão
rapidamente quanto a própria tecnologia (FONTES, 2017).
A maioria das organizações enxerga o tema apenas como um custo. Ainda
falta a visão de que é uma forma de garantir o bem-estar do negócio. A causa da
irregularidade nos investimentos em cibersegurança em diferentes territórios
nacionais é consenso entre os especialistas quanto à falta de comunicação entre os
setores público e privado. Ao contrário de países como os Estados Unidos, onde a
internet e o ciberespaço são considerados um dos domínios da guerra em sua doutrina
militar, no Brasil há pouca integração aparente entre forças militares, inteligência e
órgãos e empresas governamentais (DORNELAS, 2020).
Falta ao Brasil sinergia e, ao mesmo tempo, maior adequação legislativa.
Recentemente, alguns movimentos têm ocorrido nesse sentido, com a LGPD (Lei
Geral de Proteção de Dados do Brasil), mas é uma situação única. Em um contexto
mais amplo, no que diz respeito às esferas privada e pública, faltam parcerias em
termos de desenvolvimento, colaboração e regras tratadas por um grande comitê.
Hoje, essa missão está centrada apenas em órgãos específicos, que são
independentes e não compartilham informações (DALMARCO, 2020).
Historicamente, a segurança da informação tem sido abordada
principalmente como uma questão técnica. Controles preventivos, como firewalls,
mecanismos de controle de acesso do usuário, criptografia de dados e comunicações,
assinaturas digitais, sistemas de backup de dados e controles de detecção, como
sistemas de detecção de intrusão ou plataformas de monitoramento de segurança,
formaram os componentes básicos da arquitetura de segurança. Frequentemente, os
controles técnicos são complementados por um conjunto de políticas, procedimentos
e diretrizes de segurança que visam controlar as ações do pessoal (ALMEIDA, 2015).
Essa abordagem, no entanto, tem se mostrado insuficiente. Os incidentes
de segurança continuam a aumentar e os problemas de segurança permanecem sem
solução, enquanto os especialistas em segurança da informação têm sido desafiados
a comunicar efetivamente o valor da segurança da informação ao gerenciamento
corporativo. A causa raiz desses problemas pode ser a própria definição de segurança
da informação. Há uma falta de consistência, pois cada setor, indústria e até mesmo
empresa teve que definir a segurança da informação de forma única, com base em
 18

necessidades de negócios muito específicas. Essa falta de consistência contribuiu

para a falta de compreensão e de valorização do valor da segurança da informação
(ALMEIDA; ROQUE, 2017).
Neste contexto, fica claro que a informação é um dado valioso, que tem um
alto valor dentro dos negócios da organização, aprender como a torná-la segura é um
passo vital dentro do sucesso da empresa, pois sendo ela uma troca de dados entre
máquinas ou entre profissionais, a informação quando colocada no seu contexto certo,
revela a sua verdadeira relevância. Assim é fundamental que ela seja utilizada apenas
por indivíduos devidamente autorizados.

2.4 Gestão da segurança da informação

Gerir é administrar, de modo que a gestão da segurança da informação
refere-se ao modo como são administradas as ferramentas desenvolvidas e aplicadas
no sentido de proteger e assegurar as informações constantes de determinado
sistema. Essa gestão é um processo amplo, composto de inúmeras etapas e
indispensável no contexto atual, dentro do qual a informações dá poder aos seus
detentores (SÊMOLA, 2003).
O gerenciamento de segurança da informação define e gerencia os
controles que uma organização precisa implementar para garantir a proteção sensata
da confidencialidade, disponibilidade e integridade dos ativos contra ameaças e
vulnerabilidades. O núcleo do gerenciamento de segurança da informação inclui
o gerenciamento de riscos da informação, um processo que envolve a avaliação dos
riscos com os quais uma organização deve lidar na gestão e proteção de ativos, bem
como a disseminação dos riscos a todas as partes interessadas apropriadas
(LAUDON; LAUDON, 2022).
Para Rocha et al. (2021), gerir a segurança da informação de uma empresa
significa proteger todos os dados dos quais ela dispõe, não apenas os dados de seus
clientes, fornecedores e parceiros, mas dados internos, relativos ao seu
funcionamento, atividades e setores, evitando que seu vazamento se transforme em
uma vantagem competitiva para outras empresas no mercado.
Isso requer etapas adequadas de identificação e avaliação de ativos,
incluindo a avaliação do valor da confidencialidade, integridade, disponibilidade e
substituição de ativos. Como parte do gerenciamento de segurança da informação,
uma organização pode implementar um sistema de gerenciamento de segurança da
 19

informação e outras práticas recomendadas encontradas nos padrões ISO/IEC 27001,

ISO/IEC 27002 e ISO/IEC 27035 sobre segurança da informação (SILVA, 2017).
Oliveira, Mouro e Araújo (2012, p. 4) discorrem sobre o gerenciamento de
segurança da informação e as ameaças na internet:
[...] a gestão da informação é entendida como a gestão eficaz de todos os
recursos de informação relevantes para a organização, tanto de recursos
gerados internamente como os produzidos externamente e fazendo apelo,
sempre que necessário, à tecnologia de informação. No passado a questão
segurança da informação era muito mais simples, pois os arquivos contendo
inúmeros papéis podiam ser trancados fisicamente; porém, com a chegada
das tecnologias da informação e comunicação esse fator ficou bem mais
complexo. Atualmente a maioria dos computadores conecta-se à internet e
consequentemente a internet conecta-se a eles; além disto, sabemos que
dados em formato digital são portáteis, fator este que fez com que estes ativos
tornassem atrativos para ladrões. Mas isto não é tudo, pois existem inúmeras
situações de insegurança que podem afetar os sistemas de informação tais
como: incêndios; alagamentos; problemas elétricos; fraudes; uso inadequado
dos sistemas; engenharia social, entre outros.
 20

3 OBSTÁCULOS E DESAFIOS NA GESTÃO DE SEGURANÇA DE INFORMAÇÃO

3.1 Crimes virtuais

Ao longo da história a sociedade alcança diferentes etapas do avanço da
tecnologia, cada uma delas apresentando particularidades ou peculiaridades que as
caracterizaram. Atualmente, vive-se a Era da Computação, a Era do mundo
globalizado ou simplesmente a “Era Digital”, onde a informação é o foco principal e
todos os olhares estão voltados para ela (DORNELAS, 2020).
O avanço da internet concomitantemente à globalização formou um mundo
onde a predominância das relações interpessoais e ou profissionais passam a ser
criadas a partir de aparelhos eletrônicos, costumes e culturas diferentes se misturam
e barreiras físicas são quebradas. Diante dessa situação o Direito identificou a
necessidade de se moldar a essa nova realidade que se apresenta, de modo que o
ciberespaço e as condutas praticadas nele não se tornem a margem da legislação,
fora do controle do Estado.
De acordo com Crespo (2017) atualmente, é possível estabelecer
comunicação instantânea com pessoas em qualquer lugar do mundo de forma rápida
e prática o que, igualmente, propicia que ilícitos sejam praticados com muita agilidade
e constância.
Nessa perspectiva, o avanço da tecnologia de informação e comunicação
gerou enormes mudanças na sociedade e permitiu uma maior facilidade em transmitir
e receber várias informações a cada segundo, desde o surgimento da internet.
Igualmente permite que as informações possam ser recepcionadas por diversos meios
de comunicação, com independência e com ausência de censura. A abertura e o
anonimato da mídia social tornam conveniente para os usuários compartilhar e trocar
informações, mas também a torna vulnerável para atividades nefastas.
Diante dessa nova realidade, transformada pela internet, tecnologia e
globalização, os sistemas jurídicos de todo mundo enxergaram e reconheceram a
iminente necessidade de legislar ou adaptar suas leis para que englobem as condutas
ilícitas existentes nesse ciberespaço, denominadas como Crimes Cibernéticos
(VIANA; MACHADO, 2013). Os crimes cometidos no âmbito virtual ou no ciberespaço
não possuem nomenclatura pacífica na doutrina, entretanto, alguns doutrinadores os
nomeiam como crimes virtuais ou crimes cibernéticos. Tomando por base o conceito
analítico finalista de crime, pode-se concluir que, o crime virtual são todas as condutas
 21

típicas, antijurídicas e culpáveis praticadas contra sistemas de informática ou se

utilizando dos sistemas de informática (CAPANEMA, 2019).
Assim como ocorre com o crime tradicional, o crime cibernético tem muitas
formas de agir e varia de acordo com os objetivos dos criminosos cibernéticos. Isso
prova que o crime cibernético é um crime como qualquer outro, mas usa como
ingrediente o computador ou os meios cibernéticos para a prática do crime (BORLOT,
2017)
Segundo Terual Lozano (2017) os crimes cibernéticos são o resultado de
mudanças sociais irreversíveis e só terão o usuário como vítima se não for
devidamente treinado, pois é o único tipo de crime em que a reação da vítima é válida
e bem-sucedida. Os crimes cibernéticos são divididos em crimes cibernéticos próprios
e impróprios. Enquanto estes abrangem todos os crimes já cometidos antes da
popularização dos dispositivos informáticos, da Internet e utilizam a tecnologia apenas
como facilitador ou meio de atuação que tem como alvo o próprio sistema de
computador. Ambos em geral são crimes que utilizam a engenharia social aliada à
fragilidade e despreparo da vítima para atingir objetivos criminosos.
Assim, para melhor conceituar os crimes cibernéticos, seguem
pensamentos de diversos autores. Segundo Salvador (2019, p. 56) sobre crimes
cibernéticos:
[...] o significado de “delito informático” poderia ser apontado como aquela
conduta típica e ilícita, constitutiva de crime ou contravenção, dolosa ou
culposa, comissiva ou omissiva, praticada por pessoa física ou jurídica,
fazendo o uso da internet, utilizando o ambiente de rede ou distante dele, e
que ofenda de forma direta ou indiretamente, a segurança da informática, que
tem por elementos a integridade, a disponibilidade a confidencialidade.

Ao se falar em delitos cibernéticos, segundo Borlot (2017) são crimes de

contravenções penais, não somente no âmbito da informática e sim em qualquer
conduta que possa ter relação com os sistemas cibernéticos. Portanto, se resume
crime cibernético sempre que o computador for um instrumento para a prática de um
crime. Ademais, o autor descreve “o delito cibernético é gênero, do qual delito
telemático é espécie, dada a peculiaridade de ocorrer no e a partir do inter-
relacionamento entre os computadores em rede telemática usados na prática delitiva”.
Portanto, segundo a Organização para a Cooperação Econômica
Desenvolvimento da ONU “o crime cibernético é qualquer conduta ilegal não ética, ou
não autorizada, que envolva processamento de dados e/ou transmissão de dados”.
(TRUZZI; DAOUN, 2015, p. 115).
 22

Incluem-se no rol de crimes cibernéticos: os crimes patrimoniais, crimes

contra a honra, pedofilia, racismo, ameaças, entre outros já tipificados na legislação
penal. Por outro lado, os crimes cibernéticos propriamente ditos ocorrem quando há
uma invasão não autorizada ou desprotegida a dispositivos de computador, como
acesso não autorizado a banco de dados, ataque de negação de serviço a sites,
sequestro de informações, apropriação indébita de dados, entre outros (DEL PINO;
MONTENEGRO; BASTOS, 2020).
No Brasil, o crime que ganhou destaque no mundo do crime virtual é o
peculato, crime pelo qual o perpetrador obteve, para si ou para outrem, vantagem
injusta no preconceito estrangeiro, por artifício, dolo ou meio fraudulento tipificado no
artigo 171 do Código Penal Brasileiro (ALMEIDA; ROQUE, 2017).
Este tipo de crime tem se expandido principalmente pela crescente
demanda do e-commerce, uma característica dos tempos modernos que tem feito
emergir novas formas de execução. Em nível ascendente, estão os crimes de
preconceito racial e os crimes contra a honra, seguidos da pedofilia virtual. Em sua
maioria, existem os idosos, crianças e adolescentes tão fáceis de serem vítimas de
ataques cibernéticos. As mulheres veem ser a principal vítima da conhecida vingança
do pornô (FIORILLO; CONTE, 2017).

3.1.1 Classificação dos crimes cibernéticos

Os crimes praticados na internet possuem uma característica própria e uma
abordagem incomum na prática dos crimes. Esse delito não se delimita a contato
físico, localidade do ato, e não há nenhum padrão em comum, com exceção do
instrumento para sua execução. (TERUAL LOZANO, 2017). As classificações
normativas propostas caracterizam os crimes cibernéticos como próprios ou puros e,
ainda, em impróprios ou impuros. Juridicamente, a classificação adotada na
atualidade é a que os crimes podem ser próprios ou impróprios.

3.1.1.1 Crimes cibernéticos próprios

Diversos doutrinadores afirmam, assim como Viana (2013, p. 57), que os
crimes cibernéticos próprios “são aqueles em que o bem jurídico protegido pela norma
penal é a inviolabilidade das informações automatizadas (dados)”. Entende-se,
portanto que, os crimes cibernéticos próprios são considerados uma prática ilícita, que
 23

tem como motivação o ataque de processos e sistematizações na rede de

computadores e seus diferentes elementos, como sites, softwares, programas, etc.
Almeida et al. (2015) menciona que nesse tipo de crime, o sujeito ativo usa
o sistema de informática do sujeito passivo, a qual o computador é considerado um
objeto e recurso tecnológico para executar o crime. Os crimes cibernéticos próprios
são classificados pelo bem jurídico, e constituídos de forma exclusiva pela
propriedade virtual, sendo assim, os bens jurídicos lesados são diretamente
relacionados a sistema de informatização e dados.
De acordo com suas condutas e classificações de crime cibernético próprio,
o acesso não autorizado é uma conduta exclusiva dessa rotulação, e se configuram
como uma violação e invasão, que reproduz efeitos de manipulação, sabotagem de
dados, e etc. (ARANTES; DESLANDES, 2017). Vale ressaltar, que o acesso sem
autorização não está limitado a invasões apenas de hackers, e alcança todo indivíduo
de conhecimentos básicos que acesse o dispositivo alheio sem autorização
(BORLOT, 2017).
Nessa mesma perspectiva, o estudo de Correa Segundo (2016), destaca
que na categoria de crimes próprios é relevante mencionar sobre duas figuras
distintas: os hackers e crackers. Conforme a conceituação de Almeida e Roque (2017)
os hackers têm amplo conhecimento em computadores e internet e atuam junto com
a justiça e com a polícia, a fim de detectarem, identificarem e, então, combaterem a
ação dos criminosos virtuais. Complementando tal definição, Correa Segundo (2016,
p. 26) afirma sobre os hackers:
[...] pessoa que usa seu conhecimento técnico para ganhar acesso a sistemas
privados. Fazendo uma análise sobre a acepção desta palavra, podemos
concluir que esta é a pessoa que detém um conhecimento singular acerca do
assunto e que não necessariamente o use com o propósito de atuar na
ilegalidade.

No entanto, os crackers são os responsáveis pelos crimes virtuais, ou

crimes da rede, os quais utilizam os seus conhecimentos sobre os computadores e a
internet para prejudicar, em algum aspecto, outros indivíduos (ALMEIDA; ROQUE,
2017). Correa Segundo (2016) aponta que os crackers são indivíduos que atuam com
foco na vantagem ilícita, invadindo e destruindo sites, sejam quais forem, fazendo a
quebra de senhas, desenvolvendo softwares capazes de destruir várias máquinas ao
mesmo tempo.
 24

3.1.1.2 Crimes cibernéticos impróprio

Os crimes cibernéticos impróprios são práticas já tipificadas ordenamento
jurídico, mas que executadas com a utilização de um recurso digital. São exemplos os
crimes contra honra, estelionato, ameaça, entre outros. De maneira distinta dos crimes
cibernéticos próprios, o crime impróprio usa o computador como um mero instrumento
para a realização deste. Almeida et al. (2015, p. 225) complementa a caracterização
dos crimes cibernéticos impróprios exemplificando:
Os crimes virtuais denominados impróprios são aqueles realizados com a
utilização do computador, ou seja, por meio da máquina que é utilizada como
instrumento para realização de condutas ilícitas que atinge todo o bem
jurídico já tutelado, crimes, portanto já tipificados que são realizados agora
com a utilização do computador e da rede, utilizando o sistema de informática
e seus componentes como mais um meio para realização do crime, e se difere
quanto a não essencialidade do computador para concretização do ato ilícito
que pode se dar de outras formas e não necessariamente pela informática
para chegar ao fim desejado como no caso de crimes como: pedofilia.

Carneiro (2012 apud Correa Segundo, 2016, p. 27) também conceitua o

referido crime:
Os crimes eletrônicos impróprios são aqueles em que o agente se vale do
computador como meio para produzir resultado naturalístico, que ofenda o
mundo físico ou o espaço "real", ameaçando ou lesando outros bens, não
computacionais ou diversos da informática.

É possível observar que na tipificação de crimes cibernéticos impróprios a

legislação tem uma maior abrangência, visto que são crimes protegidos pelo Código
Penal Brasileiro (SILVA, 2020). Entretanto, as práticas ganham enfoque tecnológico
por ter como meio de prática, o instrumento de rede.
Diante do exposto neste capítulo, compreende-se que se predominam dois
grupos para a identificação dos crimes cibernéticos: crimes próprios e impróprios.
Que, sucintamente, os crimes próprios estão voltados contra os sistemas informáticos
e dados, como exemplo, é possível mencionar o acesso não autorizado a dados, a
disseminação de vírus e o embarcamento ao funcionamento de sistemas, e são
reconhecidos como delitos de risco informáticos. Os crimes cibernéticos impróprios,
estão relacionados com os bens jurídicos não tecnológicos e convencionais que estão
tipificados no ordenamento jurídico, como crimes contra a vida, liberdade, patrimônio
etc.

3.2 Riscos e ameaças na utilização da internet

São consideradas ameaças à segurança da informação, as ações que
impossibilitam o funcionamento dos atributos básicos da segurança da informação,
 25

que são: confidencialidade (atributo que permite acesso da informação, somente por
usuários devidamente autorizados), integridade (atributo que garante que a
informação continue com as características originais da sua criação) e disponibilidade
(atributo que garante que a informação esteja sempre disponível). A perda de alguma
desses atributos causará um incidente na segurança e assim causando
provavelmente um impacto nos processos da organização (SILVA, 2023).
Ameaças na opinião de Sêmola (2014, p.45)," são agentes ou condições
que causam incidentes que comprometem as informações e seus ativos por meio da
exploração de vulnerabilidades". Essas vulnerabilidades podem ser físicas, naturais,
de hardwares, de softwares, de comunicação e humanas. Há um grande risco de uma
determinada ameaça utilizar dessas vulnerabilidades para realizar um ataque a
segurança da informação, o que impossibilitaria a continuidade do negócio.
Algumas das principais ameaças que causam impacto para segurança da
informação são:

3.2.1 Vírus
O vírus é um programa com a capacidade de anexar-se e infectar outros
programas de computadores. O vírus tem a capacidade de se prevalecer sob um
sistema infectado sem que o proprietário do programa o perceba. Quando o software
é inicializado pelo mesmo, o vírus se espalha, provocando danos ao computador e
obtendo informações sigilosas (TURBAN; RAINER Jr; POTTER, 2003).
Segundo Fontes (2014, p.66), “os vírus são programas que penetram no
computador que utilizamos sem a nossa autorização e executam ações que não
solicitamos. Normalmente, essas ações prejudicam o equipamento ou o seu
desempenho”.

3.2.2 Malware
É uma forma de software malicioso em que qualquer arquivo ou programa
pode ser usado para prejudicar um usuário de computador. Diferentes tipos de
malware incluem worms, vírus, cavalos de Tróia e spyware. Os malwares são
desenvolvidos para roubar informações do usuário, geralmente estão associados a
programas ou softwares baixados pelos usuários (FONTES, 2014).
 26

3.2.3 Trojan
Mais conhecido como cavalo de Tróia tem como principal característica
enganar o usuário de suas verdadeiras intenções, geralmente se propaga através de
e-mails, formulários, anúncios e etc., coletam informações pessoais tais como senhas
ou identidade pessoal (GAO et al., 2019).
Conforme Mitnick e Simon (2003, p. 48), um trojan é um programa que
“contém um código malicioso ou prejudicial, criado para gerenciar os arquivos do
computador da vítima ou para obter informações do computador ou da rede da vítima”.
Este tipo de ameaça ocorre sem que a vítima perceba a presença da infecção.

3.2.4 Spyware
Programa espião mal-intencionado com objetivo de infiltrar em
computadores e dispositivos web para coleta de dados pessoais ou confidenciais. Um
spyware é um software especializado em monitorar de forma oculta as atividades de
um computador ou sistema. Esta ameaça captura as atividades do usuário, como sites
acessados, teclas digitadas e senhas por exemplo (MITNICK; SIMON, 2003).
Diferentemente do Trojan, os Spyware não controlam o sistema do usuário,
apenas coletam informações, podem ser utilizados por uma entidade externa ou por
um cracker. Contudo, muitos vírus utilizam os spywares, para roubar dados
confidenciais dos usuários, como por exemplo dados bancários (DORNELAS, 2020).
Inicialmente um spyware era comercializado para que os pais
conseguissem monitorar o acesso de seus filhos na internet, ou para que empresas
conseguissem acompanhar o uso dos recursos por seus colaboradores.
Posteriormente esse tipo de sistema começou a ser utilizado de forma irregular para
espionagem industrial. Atualmente esses sistemas são muito utilizados para captura
de informações sem as devidas autorizações do proprietário (MITNICK; SIMON,
2003).

3.2.5 Ataque de força bruta

Um ataque de força bruta é um método de hacking que usa tentativa e erro
para quebrar senhas, credenciais de login e chaves de criptografia. É uma tática
simples, mas confiável, para obter acesso não autorizado a contas individuais e
sistemas e redes de organizações. O hacker tenta vários nomes de usuário e senhas,
 27

muitas vezes usando um computador para testar uma ampla gama de combinações,
até encontrar as informações de login corretas (ALMEIDA; ROQUE, 2017).
O nome "força bruta" vem de invasores que usam tentativas
excessivamente contundentes para obter acesso a contas de usuários. Apesar de ser
um método antigo de ataque cibernético, os ataques de força bruta são
experimentados e testados e continuam sendo uma tática popular entre os hackers
(SILVA, 2017).

3.2.6 Phishing
Cibercrime no qual um alvo ou alvos são contatados por e-mail, telefone ou
mensagem de texto por alguém que se faz passar por uma instituição legítima para
induzir indivíduos a fornecer dados confidenciais, como informações de identificação
pessoal, dados bancários e de cartão de crédito e senhas (BLUM, 2018).
A forma mais comum de phishing, esse tipo de ataque usa táticas de envio
de hiperlinks falsos para induzir os destinatários a compartilhar informações pessoais.
Os invasores geralmente se disfarçam de grandes provedores de contas, como
Microsoft ou Google, ou até mesmo colegas de trabalho. As informações são usadas
para acessar contas importantes e podem resultar em roubo de identidade e perda
financeira (BORLOT, 2017).
O primeiro processo de phishing foi aberto em 2004 contra um adolescente
californiano que criou a imitação do site “America Online”. Com esse site falso, ele
conseguiu obter informações confidenciais dos usuários e acessar os detalhes do
cartão de crédito para sacar dinheiro de suas contas. Além de e-mail e phishing de
site, há também 'vishing' (phishing de voz), 'smishing' (SMS Phishing) e várias outras
técnicas de phishing que os cibercriminosos utilizam para aplicar golpes (BLUM,
2018).

3.2.7 Worms
As vulnerabilidades de softwares fornecem um caminho para os worms
infectarem as máquinas. E-mail de spam ou anexos de mensagens instantâneas (IM)
também são um método de entrega. As mensagens usam engenharia social para
fazer os usuários pensarem que os arquivos maliciosos são seguros para abrir.
Unidades removíveis, como unidades USB, também podem fornecer Worms
(FIORILLO; CONTE, 2017).
 28

Os worms utilizam o método recursivo para copiar sem o programa

hospedeiro, ou seja, infectam o sistema por um programa específico, mas ao infectar
a máquina se distribuem de diversas formas pela rede, causando grandes
interrupções ao aumentar o tráfego da rede e outros efeitos indesejados (GAO et al.,
2019).
Um worm não é um vírus, embora, como um vírus, possa interromper
gravemente as operações de TI e causar perda de dados. Na verdade, um worm é
muito mais sério do que um vírus porque, uma vez que infecta uma máquina
vulnerável, ele pode se “autorreplicar” e se espalhar automaticamente por vários
dispositivos (ROCHA et al., 2021).

3.2.8 Adware
O adware é um software mantido por propagandas, normalmente
apresentadas como pop-up ou barra de ferramentas. No geral são ameaças que
geram incômodo ao usuário, porém não causam danos. Alguns deles podem ser
potencialmente perigosos, ao serem utilizados para coletar informações pessoais e
rastrear sua navegação (GAO et al., 2019).

3.2.9 Ransomware
Tipo de software malicioso que bloqueia o acesso ou restringe a um
sistema ou aplicação, fazendo de refém a normalização do acesso e cobrando um
resgate que geralmente é cobrado em criptomoedas para a liberação do uso. Caso o
usuário infectado não ceda à chantagem pode ter seus arquivos deletados, acesso
bloqueado, vazamento de dados entre outras ações orquestradas por um hacker
(BORLOT, 2017).

3.2.10 Ataque DDos

Os ataques distribuídos de negação de serviço (DDoS) são ataques
sofisticados projetados para inundar a rede com tráfego supérfluo. Um ataque DDoS
resulta em desempenho de rede degradado ou em uma interrupção total do serviço
da infraestrutura crítica. Os perpetradores por trás desses ataques inundam um site
com tráfego errôneo, resultando em uma funcionalidade ruim ou deixando-o
totalmente offline (VIANNA; MACHADO, 2013).
 29

Na primeira metade de 2021, a Rede do Azure relatou um aumento de 25%

em DDoS comparado no quarto trimestre de 2020. A partir daí, o Azure mitigou mais
de 359.713 ataques únicos contra sua infraestrutura global durante o segundo
semestre de 2021, um aumento de 43% em relação ao primeiro semestre do ano
(SILVA, 2023).
Os DDoS têm amplo alcance, direcionando para todos os tipos de setores
e empresas globais de todos os tamanhos. Dito isso, determinados setores são mais
direcionados do que outros, como jogos, comércio eletrônico e telecomunicações. Os
DDoS são algumas das ameaças cibernéticas mais comuns e podem comprometer
negócios, segurança online, vendas e reputação (VIANNA; MACHADO, 2013).

3.2.11 Vulnerabilidade zero-day

Uma vulnerabilidade de dia zero é uma vulnerabilidade de software
descoberta por invasores antes que o fornecedor tenha conhecimento dela. Como os
fornecedores não estão cientes, não existe nenhum patch para vulnerabilidades de
dia zero, tornando os ataques provavelmente bem-sucedidos (SILVA, 2020).

3.2.12 Cross-site scripting

O XSS, também conhecido como cross-site scripting, é uma ameaça pelo
qual scripts maliciosos são inseridos em aplicativos ou páginas da internet que são
considerados confiáveis. O principal objetivo do hacker é coletar dados pessoais,
direcionar a navegação para sites fraudulentos ou danificar o computador da vítima
(CAPANEMA, 2019).

3.3 Defesas contra ameaças aos sistemas

Os ataques contra rede de computadores aumentam consideravelmente a
cada ano, tornando cada vez mais necessário o uso e mecanismos de defesa, a fim
de minimizar a ação de invasores e pessoas mal-intencionadas” (SILVA, 2023).
Termo de condição de uso, aceitação de cookies e permissão para acessar
dados, fotos e localização nos aplicativos de celular, boa parte dessa movimentação
que temos visto no Brasil no último mês em sites, redes sociais e aplicativos mobile
indica os primeiros passos das empresas para se adequarem à Lei Geral de Proteção
de Dados (LGPD) que está em vigor no Brasil desde setembro de 2020 (DALMARCO,
2020).
 30

A privacidade na era da informação deverá ser definida pelo direito do

sujeito de manter o controle sobre as próprias informações. Nesse sentido, valorizam-
se as escolhas pessoais, levando em conta o novo poder que o indivíduo possui sobre
o tratamento de seus dados (ARANTES; DESLANDES, 2017).
A temática voltada para a proteção de dados já era indiretamente tratada
em legislações esparsas como o Código de Defesa do Consumidor e a Lei do
Cadastro Positivo (Lei nº 12.414/2011) e o Marco Civil da Internet. Entretanto, não
havia regulamentação especificamente para a problemática da proteção de dados,
colocando em evidência a importância de uma legislação específica sobre isso
(CAPANEMA, 2019).
A discussão sobre a proteção de dados pessoais e sua possível
regulamentação percorreu diversas fases, associando sua relevância e necessidade
ao conceito de direito à privacidade, garantido pelo Estado dentro da esfera individual
de cada um. Deste modo, o debate sobre o que atualmente se define como
privacidade, teve origem a partir do momento em que as tecnologias se tornaram
invasivas, abrindo espaço para a divulgação de informações da esfera privada do
indivíduo.
Observa-se que tal preocupação cresce substancialmente em devido a
recentes episódios de vazamentos de dados pessoais, que envolvem os usuários do
Facebook, Uber, Delta, Equifax, dentre outras empresas. Tais incidentes expuseram
milhares de dados cadastrais de consumidores, como nomes, CPFs, endereços,
números de cartões de crédito e até mesmo determinadas informações sensíveis,
como o DNA e as origens étnicas de várias pessoas, no caso da plataforma eletrônica
“My Heritage” (BLUM, 2018).
Desde a promulgação da Lei 13.709/2018 (Lei Geral de Proteção de Dados
Pessoais - LGPD), a sociedade brasileira e a comunidade jurídica, de forma
consistente, têm se envolvido fortemente no debate sobre a proteção e defesa de
dados pessoais (BLUM, 2018).
Além da LGDP, é possível que os usuários adotem medidas defensivas
contra as ameaças e vulnerabilidades ocorridas diariamente na internet. Fontes (2014)
menciona que tais medidas podem ser classificadas como: medidas preventivas,
detectivas e corretivas.
As medidas preventivas buscam evitar que desastres aconteçam por meio
de orientações básicas de prevenção contra as ameaças. São as mais conhecidas e
 31

economicamente viáveis de se implementar. As medidas dectivas possuem intuito de

identificar problemas que não foram impedidos através das prevenções. Quanto antes
identificado uma situação-problema, maior é a chance para tomadas de ações
corretivas efetivas. Por fim, as medidas corretivas visam a redução de um problema
existente. São alternativas que corrigem uma situação-problema, retornando à
normalidade do negócio (ARANTES; DESLANDES, 2017). Algumas das principais
defesas contra ameaças e vulnerabilidades serão exemplificadas a seguir.

3.3.1 Defesa física

Uma das formas mais tradicionais para defesa contra ameaças é a
utilização da segurança física, através de barreiras perimetrais, que atuam como
estruturas de impedimento para entradas ou saídas não autorizadas. Algumas
instalações são altamente críticas ou vulneráveis, necessitando de múltiplas barreiras
físicas no entorno dos perímetros de áreas restritas internas (CABRAL; CAPRINO,
2015).

3.3.2 Controles biométricos

O controle de acesso biométrico é um dos tipos de sistemas de segurança
mais populares do mercado e por um bom motivo: combina segurança e conveniência
de uma forma que nenhum outro sistema de controle de acesso consegue
(DORNELAS, 2020).
O controle de acesso refere-se ao gerenciamento de um ponto de acesso,
como porta, catraca, elevador etc., de modo a permitir a entrada apenas de usuários
autorizados. Embora os sistemas de controle de acesso possam ser usados para
praticamente qualquer ponto de acesso que use um mecanismo de trava eletrônica,
as portas são as aplicações mais comuns para controle de acesso (CAPANEMA,
2019).
A biometria pode ser definida como o meio mais prático de identificar e
autenticar indivíduos de forma confiável e rápida por meio de características biológicas
únicas. Os identificadores morfológicos consistem principalmente em impressões
digitais, o formato da mão, o padrão das veias dos dedos, o olho (íris e retina) e o
formato do rosto. Para análises biológicas, DNA, sangue, saliva ou urina podem ser
usados por equipes médicas e policiais forenses (ARANTES; DESLANDES, 2017).
 32

O principal benefício do controle de biometria é o nível de segurança e

precisão. Ao contrário de senhas, crachás ou documentos, os dados biométricos não
podem ser esquecidos, trocados, roubados ou falsificados (DORNELAS, 2020).

3.3.3 Autenticação e autorização

Vazamentos maciços de dados que colocam em risco as informações
confidenciais do usuário, e as redes que os mantêm, tornaram-se muito comuns. Em
um mundo digital repleto de violações de segurança e hackers mal-intencionados, a
autenticação e a autorização são essenciais para qualquer organização.
A autenticação é a validação da identidade de um usuário antes que ele
acesse uma determinada rede, sistema ou conta. A principal diferença entre autorização
e autenticação é o que o usuário está tentando acessar. A autenticação é para acessar
uma conta e a autorização aprova ou nega uma solicitação para acessar determinados
dados. É um processo necessário que protege a empresa e seu banco de dados,
garantindo que os usuários possam visualizar apenas as informações que podem ver
(CABRAL; CAPRINO, 2015).
A diferença entre autenticação e autorização é clara. Enquanto a
autenticação autentica a identidade de uma pessoa antes de permitir o login bem-
sucedido, a autorização autoriza sua capacidade de acessar um arquivo, página ou
recurso específico que revela informações altamente confidenciais. A autenticação
exige que o usuário aja, mas a autorização coloca o ônus no servidor ou site
(ARANTES; DESLANDES, 2017).

3.3.4 Firewall
Um firewall é um dispositivo de segurança de rede que monitora o tráfego
de rede de entrada e saída e decide se permite ou bloqueia tráfego específico com
base em um conjunto definido de regras de segurança (DORNELAS, 2020).
Os firewalls têm sido a primeira linha de defesa em segurança de rede por
mais de 25 anos. Eles estabelecem uma barreira entre redes internas seguras e
controladas que podem ser confiáveis e não confiáveis em redes externas, como a
Internet. Um firewall pode ser hardware, software, software como serviço (SAAS),
nuvem pública ou nuvem privada (virtual) (CAPANEMA, 2019).
Os firewalls analisam cuidadosamente o tráfego de entrada com base em
regras pré-estabelecidas e filtram o tráfego proveniente de fontes não seguras ou
 33

suspeitas para evitar ataques. Os firewalls protegem o tráfego no ponto de entrada de

um computador, chamado de portas, onde as informações são trocadas com
dispositivos externos. Por exemplo, o endereço de origem 172.18.1.1 tem permissão
para alcançar o destino 172.18.2.1 pela porta 22 (ARANTES; DESLANDES, 2017).
Capanema (2019) traz uma analogia, comparando os endereços IP como
casas e nos números das portas como salas dentro da casa. Somente pessoas
confiáveis (endereços de origem) têm permissão para entrar na casa (endereço de
destino), então ela é filtrada para que as pessoas dentro da casa só tenham permissão
para acessar determinados cômodos (portas de destino), dependendo se são os
proprietários, uma criança ou um convidado. O proprietário tem permissão para entrar
em qualquer quarto (qualquer porta), enquanto crianças e convidados podem entrar
em um determinado conjunto de quartos (portas específicas) (CABRAL; CAPRINO,
2015).

3.3.5 Antivírus
A proteção antivírus é essencial, dada a variedade de ameaças cibernéticas
que surgem constantemente. É um tipo de programa de computador projetado para
procurar e remover vírus dos computadores. Eles também podem impedir que um
sistema seja infectado por novos vírus (CRESPO, 2017).
O software antivírus examina os dados — páginas da Web, arquivos,
software, aplicativos — que viajam pela rede até seus dispositivos. Ele procura por
ameaças conhecidas e monitora o comportamento de todos os programas,
sinalizando comportamentos suspeitos, bloqueando ou removendo malware o mais
rápido possível (CABRAL; CAPRINO, 2015).

3.3.6 Criptografia
Criptografia é uma forma de embaralhar os dados para que somente as
partes autorizadas possam entender as informações. Em termos técnicos, é o
processo de converter um texto legível por seres humanos em texto incompreensível,
também conhecido como texto cifrado ou criptografado. Em termos mais simples, a
criptografia altera dados legíveis e faz com que pareçam aleatórios. A criptografia
requer o uso de uma chave criptográfica: um conjunto de valores matemáticos com o
qual tanto o remetente quanto o destinatário de uma mensagem criptografada
concordam (ARANTES; DESLANDES, 2017).
 34

Embora os dados criptografados pareçam aleatórios, a criptografia procede

de forma lógica e previsível, permitindo que a parte que recebe os dados
criptografados e possui a chave certa descriptografe os dados, transformando-os
novamente em texto legível. A criptografia verdadeiramente segura utilizará chaves
complexas o suficiente para que seja altamente improvável que um terceiro
decodifique ou quebre o texto criptografado por meio de força bruta, isto é,
adivinhando a chave (CAPANEMA, 2019).
 35

4 A FORMAÇÃO EM TECNOLOGIA DA INFORMAÇÃO (TI)

Um dos aspectos mais empolgantes da tecnologia é que ela está em
constante evolução, adaptação e avanço, enquanto influencia o mundo ao nosso
redor. À medida que a tecnologia progride, o mesmo acontece com o papel dos
profissionais de Tecnologia da Informação (TI).
A TI é a aplicação da tecnologia para resolver problemas de negócios
organizacionais. Isso inclui construir redes de comunicação, proteger dados e
solucionar problemas de computador. Os profissionais de TI são especialistas em
tecnologia confiáveis para diagnosticar problemas técnicos e manter os negócios
funcionando da melhor maneira possível (BLUM, 2018).
Os profissionais de TI são qualificados para resolver problemas
operacionais e técnicos em vários setores. As organizações enfrentariam grande
obstáculos sem um departamento de TI experiente e capacitado. Ter um especialista
interno simplifica o sucesso e a eficiência em todos os departamentos (SILVA, 2023).
Fontes (2017, p. 29) chama atenção para a necessidade de investir
constantemente em sistemas, e isso inclui também os profissionais. A falta deste
investimento pode trazer sérios riscos às empresas:
Precisaremos de uma ampla compreensão sobre sistemas de informação
para atingir níveis mais altos de produtividade e eficácia em nossas fábricas
e escritórios nacionais. Será simplesmente impossível operar com eficiência,
mesmo uma pequena empresa, sem investimento significativo em Sistemas.

Atualmente, profissionais de diversas áreas do conhecimento criam

sistemas computacionais que promovem melhorias e inovações para todos.
Entretanto, é necessário que sejam tomados diversos cuidados para evitar vazamento
de informações, invasões, sequestros de dados e outros ciberataques.
A qualificação é um elemento fundamental para a definição da qualidade
dos profissionais, principalmente, dos que vão direcionar sua carreira à
cibersegurança. Por isso, a atenção no desenvolvimento dos planos de ensino da
graduação de Tecnologia da Informação deve ser cuidadosamente revisada e
adequada a realidade da área que está em constante mudanças, entretanto, é
relevante também manter o foco nos conhecimentos básicos e essenciais para uma
boa formação (ARANTES; DESLANDES, 2017). Pode-se perceber essa dificuldade
na afirmação de Takahashi (2000, p. 49):
No nível de graduação, alguns currículos estão irremediavelmente obsoletos:
por exemplo, o típico currículo de Ciências da Informação, em muitos países,
reflete uma visão da área que foi atropelada em muitos aspectos essenciais
 36

(alguns para bem, outros para mal) pela revolução das tecnologias de
informação e comunicação. [...] um reposicionamento dos Parâmetros
Curriculares Nacionais deve ser considerado.

“Há argumentos no sentido de que, para países em desenvolvimento, a

capacidade de absorver novas tecnologias e de colocá-las em aplicação é tão ou mais
importante do que a capacidade de gerar essas tecnologias”, segundo Takahashi
(2000, p. 48). O autor também sugere um fluxo de como seria um cenário ideal para
a capacitação de recursos humanos em Tecnologia da Informação, passando pelos
três processos principais de geração, aplicação e uso do conhecimento.

Figura 2 - Capacitação de Recursos Humanos em Tecnologia da Informação e

Comunicação

Fonte: Takahashi (2000, p. 48)

A Figura 2 demonstra a associação entre o desenvolvimento acadêmico e

o domínio do profissional sobre a temática. Sendo assim, enquanto avança da
formação de nível médio para níveis mais altos, vai agregando o que o autor chama
de alfabetização digital, atingindo aos poucos a fluência em TI.
No que diz respeito a inserção destes discentes no mercado de trabalho,
Cabral e Caprino (2015, p. 15) chama a atenção para as peculiaridades que acha
relevante em um profissional de segurança em TI, afirmando que, “ao procurar avaliar
 37

os estudantes com potencial para se tornarem grandes analistas de segurança,

costumo dividir as características desejáveis em dois grandes grupos: atitudes e
habilidades". Para o autor supracitado, atitudes são características próprias da
pessoa, enquanto habilidades são os conhecimentos adquiridos no decorrer do
tempo. O autor também levanta três características consideradas essenciais em um
bom analista de segurança: curiosidade, persistência e comprometimento.
Cabral e Caprino (2015, p. 14) tecem uma crítica sobre como as empresas
contratam os profissionais de segurança em TI:
Trata-se do fato de as empresas raramente possuírem uma política
institucional para contratação de profissionais de segurança da informação.
Na maioria das vezes, o setor de RH das empresas delega essa atribuição
para uma empresa de RH terceirizada, fora da organização, ou ainda
recorrem a headhunters ou sites especializados em recrutamento. As
exigências de contratação, nesses casos, baseiam-se em alguns poucos
critérios de habilidades técnicas, conhecimentos de línguas estrangeiras e
experiência anterior na área.

O autor supracitado ainda complementa o texto acima, acrescentando sua

experiência prática como argumento:
Segundo minha experiência, os analistas de segurança que acabam tendo
mais sucesso profissional e que conseguem evoluir de forma mais rápida
suas habilidades de hacking já possuem as características de atitude
presentes em seu comportamento e seu caráter. (CABRAL; CAPRINO, 2015,
p. 16).

Conforme o exposto acima, ressalta-se sobre as habilidades e

características técnicas serem de relevância, entretanto, os autores acreditam que o
desenvolvimento de comportamentos e posturas é essencial para a constituição de
um profissional capacitado na área de cibersegurança. Sobre as exigências que são
solicitadas hoje para contratação de um profissional de segurança em TI Cabral e
Caprino (2015, p.6) ressaltam que:
Universidades, faculdades, entidades de classe, instituições públicas ou
privadas, dentre outros consultados, afirmam não possuir uma política bem
estabelecida e escrita sobre o currículo mínimo exigido para avaliar formação
específica que seja aplicada para contratação em segurança de TI. Também
não existem políticas escritas a respeito de habilidades e personalidades a
serem buscadas.

Para maior segurança de sua atuação, os profissionais formados em

Segurança da Informação podem buscar as denominadas Certificações referente às
suas competências. De acordo com Fontes (2017, p. 76 e 77), dentre as certificações
mais procuradas e conhecidas no mercado estão:
 38

a) Certified Information Security Manager (CISM): Certificação de Gestor

em SI, é destinada àqueles profissionais que atuam com planejamento,
gerenciamento, acompanhamento e execução das atividades relacionadas à
segurança da informação em uma empresa.
b) Certified Insurance Fraud Investigator (CIFI): Certificação de
Investigador em Fraudes de Segurança, desenvolvida pela IISFA, entidade americana
especialista em crimes cibernéticos.
c) Systems Security Certified Practioner (SSCP): Certificação em Práticas
de SI, é considerada o primeiro passo dentro da carreira em SI.
d) Certified Information Systems Security Professional (CISSP) Certificação
de Profissional em Segurança de Sistemas de Informação. Conta com poucos
profissionais certificados no Brasil, pois possui várias exigências. Entre elas, ter 3
anos de experiência na área e ser indicado por outro membro que já possui a
certificação.
e) Certified Information Systems Auditor (CISA): Certificação de Auditor de
Sistemas de Informação, é uma formação mais genérica, mas considerada uma das
mais eficazes.
f) CompTIA Security+: é uma certificação respeitada mundialmente para
validar conhecimento e competências de segurança de TI de base e neutro do ponto
de vista do fornecedor.
As certificações possuem garantia e proporcionam segurança para as
organizações que buscam um diferencial no ato da contratação dos profissionais de
cibersegurança e TI.
 39

5 ESTUDO DE CASO COMO ESTRATÉGIA DE PESQUISA NA ÁREA DE

SEGURANÇA A INFORMAÇÃO
Conforme indicado em Fernandes (2010), a característica exploratória dos
estudos de casos é importante para analisar gestão de segurança da informação em
organizações. A partir dos conceitos apresentados na fundamentação teórica, será
realizado um estudo de caso em um órgão público do estado, com o objetivo de fazer
um levantamento das principais ameaças existentes e as principais defesas
disponíveis na organização para combater o crime cibernético.

5.1 O órgão
O órgão público do estado em questão, é vinculado ao Ministério da
Fazenda responsável pela receita e despesa do estado, a qual, tem como missão
promover e controlar o cumprimento das obrigações tributárias com justiça e eficiência
para contribuir com o desenvolvimento do Estado.

5.1.1 Gestão e estrutura organizacional

O órgão é administrado por um secretário nomeado pelo governador para
comandar a pasta das finanças do estado. Cada departamento é administrado por um
servidor indicado pelo secretário, e dependendo do departamento, existe uma divisão
de áreas a qual cada uma possui gestor.
O departamento de tecnologia é gerido por um servidor indicado pelo
secretário, e dentro desse departamento fica dividido os gestores de cada área, sendo
elas de desenvolvimento, banco de dados, segurança da informação, suporte,
manutenção, gestão de negócios e de contratos de empresas prestadoras de serviço.
 40

Figura 3 – Representa o organograma do órgão

Fonte: Portal do órgão (2023).

5.2 A segurança da informação no órgão público

A política de segurança da informação do órgão define responsabilidades
e orienta a conduta de profissionais e usuários de Tecnologia da Informação, tem
como objetivo a manutenção dos principais pilares de segurança da informação, e por
ser um órgão público necessita de uma maior segurança aos seus ativos
estabelecendo os seus princípios.
Os princípios básicos da Política de Segurança do órgão público do estado
em questão são os seguintes:
1) Criação, desenvolvimento e manutenção de mentalidade de
segurança, nos aspectos físico, lógico, informacionais e de pessoal;
2) Proteção e preservação dos ativos da organização;
3) Utilização dos ativos da organização somente em ações
relacionadas com as atividades próprias desenvolvidas pelo órgão;
4) Preservação da integridade, confidencialidade, disponibilidade e
autenticidade das informações, evitando sua destruição, mitificação
e divulgação indevida, bem como o seu acesso não autorizado.
Para os ativos de Segurança da Informação são estabelecidos os seguintes
princípios:
 41

1) Confidencialidade: garantia que o acesso à informação seja obtido

somente por pessoas autorizadas;
2) Criticidade: grau de importância da informação para a continuidade
dos negócios do órgão;
3) Disponibilidade: estabelece que as informações e os recursos
estarão disponíveis sempre que necessário;
4) Integridade: garantia de que a informação não será alterada sem a
devida autorização.

5.3 Principais ameaças à segurança da informação do órgão

Por se tratar de um órgão público, contém uma área de tecnologia bem
consolidada, não por isso, ela se abstém de ameaças a sua segurança da informação.
Por esse motivo as ameaças que podem ocasionar sérios riscos aos seus ativos vêm
da utilização dos serviços pelos seus próprios servidores.
O órgão utiliza um grande serviço de mensageria, enviando e recebendo
uma grande quantidade de e-mails diariamente dos seus contribuintes e parceiros, e
por um motivo de falta de conhecimento do usuário pode acessar links indesejados
ou não permitidos pelas políticas de segurança da informação. Uma dessas ameaças
é o Phishing, que é uma ameaça em que a maioria das vezes se passa por grandes
empresas a fim de obter uma facilidade em obter vantagens ilícitas sobre o usuário.
Outro tipo de ameaça que pode prejudicar o seu correto funcionamento são
os Vírus, que são ameaças que se prevalecem sobre um sistema causando sérios
danos ao órgão sem nenhum tipo de autorização ou sem que o usuário perceba.

5.4 Defesas contra as ameaças ao órgão

Durante o período do estudo foi feito o acompanhamento das principais
defesas dos sistemas que são utilizados pelo órgão, sendo eles o antispam, antivírus
e o firewall.

5.4.1 Antispam
O órgão utiliza um sistema de antispam para bloquear quaisquer tipos de
ameaças recebidas pelo serviço de e-mail. Diariamente são enviadas e recebidas uma
 42

grande quantidade de e-mails, devido a isso, o órgão se viu obrigado a utilizar um

sistema para permitir ou bloquear mensagens suspeitas.
A principal ameaça que pode chegar por esse tipo de serviço é o Phishing,
que pode se passar por grandes empresas para ter acesso a um sistema e ocasionar
sérios danos, diante disso, a equipe de analistas utiliza de ameaças e possíveis
ameaças já recebidas para criar listas de bloqueios nomeadas como “blacklist”, são
utilizadas também palavras chaves como por exemplo sites de compras, promoções,
ganhos de brindes, entre outros, para atrair o usuário a clicar no link autorizando assim
a invasão. Após a criação dessas blacklists, os e-mails em que contém no seu corpo
alguma dessas palavras chaves são bloqueados pelo antispam.
Os usuários quando necessitam de algum e-mail bloqueado pelo antispam
solicitam formalmente o e-mail desejado e informando o por que precisa dele. Após o
recebimento dessa solicitação, a equipe de analistas faz uma análise no e-mail
recebido para eliminar qualquer possível ameaça, e estando fora de perigo para órgão
aquele e-mail é liberado para a caixa de entrada do usuário.
O gráfico abaixo mostra o número de ameaças no serviço de e-mail no
período de 01/06/de 2023 a 15/06/2023.

Figura 4 – Números de ameaças via e-mail

Ameaças via E-mail

79.210
70.689

5.709 1.222 1.590

Spam Phishing URLs Outros Total de

suspeitos Mensagens

Fonte: AntiSpam Trend Micro (2023).

 43

Quadro 1 - Quantidade de e-mails de entrada e saída no mesmo período.

Condições de
Email Total Mensagem % Entrada Saída
Spam 5.709 7.21 4577 1.132
Phishing 1.222 1.54 1.222 0
URLs suspeitos 1.590 2.01 1.554 36
Outros 70.689 89.24 60.050 10.639
Total de Mensagens 79.210 100 67.403 11.807
Fonte: O autor (2023)

Os números mostram que o órgão público tem um grande serviço de

mensageria, onde seu principal meio de comunicação com o seu contribuinte é o e-
mail. A ferramenta de antispam inspecionou um total de 79.210 mensagens de e-mail,
sendo eles de entrada e saída e com diferentes ameaças à segurança da informação.
As mensagens que são bloqueadas pelo antispam, porém, são de interesse
do órgão e do contribuinte, são solicitadas pelo servidor da casa por meio de abertura
de chamado, informando o remetente e o destinatário solicitando a liberação e o
motivo. Após a equipe de analistas receberam o chamado a mensagem passa por
uma verificação para eliminar qualquer possível ameaça, e então o e-mail é liberado
e encaminhado ao destinatário.

5.4.2 Antivírus
Os vírus são um tipo de ameaças eminentes em qualquer tipo de sistema
informático, por esse motivo e pela grande quantidade de computadores conectados
à rede corporativa do órgão, todos os computadores sejam eles do tipo desktop ou
notebook são instalados o Agente de rede e o Endpoint do antivírus.
O antivírus utilizado é o da empresa russa Kaspersky, o software obedece
a uma política de segurança da informação estabelecida previamente pelo
departamento de tecnologia da informação.
O programa funciona com a finalidade de bloquear, suspender ou informar
sobre qualquer tipo de ameaça em que aquela máquina está sendo afetada, seja por
um dispositivo removível como um pen drive ou HD, seja por um programa que será
baixado ou até mesmo por sites maliciosos que possam causar danos a rede.
O gráfico a seguir mostra informações sobre as ameaças detectadas nos
dispositivos no período de 01/06/2023 a 15/06/2023 pelo antivírus.
 44

Figura 5 – Ameaças detectadas pelo antivírus

Fonte: Kaspersky Security Center (2023)

Durante esse período a ferramenta bloqueou ou excluiu várias tentativas

de acessos maliciosos como Cavalo de Tróia (Trojan), link de phishing, programas,
entre outros.
A imagem a seguir mostra o relatório do status dos aplicativos de
segurança nos dispositivos conectados à rede.

Figura 6 – Status dos dispositivos

Fonte: Kaspersky Security Center (2023)

A tabela a seguir mostra um pequeno resumo das ameaças e ação executadas

pela ferramenta de antivírus.
 45

Figura 7 – Resumo de ameaças

Fonte: Kaspersky Security Center (2023)

5.4.3 Firewall
O sistema de firewall é uma ferramenta de suma importância para a
segurança dos ativos do órgão, tendo em vista que ele é o responsável pelo controle
de tráfego dos sistemas acessados pelos usuários da casa e de seus prestadores de
serviços.
O firewall é quem fornece os graus de acessos aos sistemas disponíveis,
determinando o que cada usuário pode acessar e o até que nível aquele usuário pode
acessar um sistema. Ele também organiza o controle da VPN, disponibilizando
acessos aos usuários para se conectarem a rede corporativa de onde quer que
estejam, fornecendo a cada um desses usuários um login com uma senha, e somente
pessoas autorizadas contém esse tipo de acesso.
 46

A ferramenta também controla os acessos às redes de internet disponíveis

no órgão, sendo elas no wi-fi ou pela rede cabeada. O gráfico abaixo mostra os
principais acessos a rede pelos usuários.

Figura 8 – Categorias de acessos à rede

Fonte: Firewall Checkpoint (2023)

O gráfico baixo demonstra a atividade de malware registrados pelo firewall

no período de 07/06/2023 a 07/07/2023.

Figura 9 – Atividades de malware

Fonte: Firewall Checkpoint (2023)

O gráfico a seguir mostra as principais ações por malware registradas pela

ferramenta.
 47

Figura 10 – Ações por malware

Fonte: Firewall Checkpoint (2023)

Figura 11 – Ações por malware

Fonte: Firewall Checkpoint (2023)

A imagem a seguir mostra incidentes detectados pelo Firewall.

Figura 12 – Incidentes detectados

Fonte: Firewall Checkpoint (2023)

 48

5.5 Resultados e considerações do estudo de caso

Neste capítulo foi relatado o cenário de gestão de segurança de informação
em um órgão público do estado, os dados foram levantados no período de 01/06/2023
a 07/07/2023 por meio de estudo de caso proposto para este trabalho.
Os dados coletados para este trabalho foram adquiridos junto a equipe de
analistas de segurança da informação do órgão, dados esses que foram informados
através de gráficos e tabelas. Vale salientar, que devido a questões de privacidade e
dados sensíveis, não foi possível coletar mais informações dos sistemas de defesa,
pois contém dados privados, as tabelas informadas anteriormente que continham
dados sigilosos foram ocultadas por “zeros”. Ainda de acordo com os analistas, não
houve nenhuma ameaça que afetou ao órgão consideravelmente em um período
próximo.
Por meio deste estudo de caso foi possível perceber que mesmo por se
tratar de um órgão público e com um sistema bem consolidado e gerido por
profissionais capacitados, o órgão recebe várias ameaças constantemente contra os
seus sistemas, porém, aliados a uma política de segurança da informação e uma
equipe de profissionais experientes, o órgão possui ferramentas capazes de combater
o cibercrime.
O órgão a cada dia que passa busca renovar e melhorar os seus sistemas
de segurança da informação, afim de evitar danos aos usuários e contribuintes do
estado, não afetando assim a pasta pública de finanças do estado.
 49

6 CONSIDERAÇÕES FINAIS
A partir dos principais autores e pesquisa bibliográfica para construção
deste estudo, conclui-se que a informação se tornou algo fundamental para as
empresas, e sua segurança é vital para o sigilo dos dados e demais informações que
circulam pela internet. Compreende-se, portanto, que houve uma evolução
tecnológica e com isso, as empresas se tornaram dependentes da tecnologia para
proteção de suas informações, um ativo de grande valor para as empresas.
Diante de tantas ameaças e ataques, é importante que as organizações se
protejam com uma segurança de dados eficaz, com ferramentas confiáveis. Diante de
tal realidade, surge a segurança da informação, iniciativa observada em todo o globo,
através do desenvolvimento de barreiras tecnológicas que impeça o uso indevido e
não autorizado dos dados organizacionais.
Verifica-se, portanto, que a gestão de segurança da informação vem
evoluindo exponencialmente no decorrer dos anos e os esforços na área terão
continuidade, em razão da necessidade de tornar as atividades virtuais mais seguras,
mantendo as organizações e os usuários em segurança.
Atualmente existem desafios consideráveis na área, como a prática de
crimes virtuais. Esses crimes envolvem fraudes, roubos, desvios de verbas, mas
também atingem a dignidade das pessoas quando são voltados ao âmbito moral.
Ofensas, ameaças, calúnias, todas são formas de ação criminosa que podem não
comprometer as finanças dos indivíduos, mas certamente atingem sua vida e
comprometem sua satisfação.
Entretanto, este estudo mostrou que há meios de defesas contra ameaças
e vulnerabilidades, assegurando o desenvolvimento das atividades e proteção de
dados. Manter a utilização da internet com seus riscos e ameaças reduzidos é uma
das maiores preocupações atualmente, principalmente de grandes empresas, que
podem sofrer graves consequências em casos de vazamento de dados.
 50

REFERÊNCIAS

ALMEIDA, Julia da Silva; ROQUE, Braynner Victor Silva. Desafios do Direito na

regulamentação das relações jurídicas na Deep Web e dos crimes
cibernéticos. Percurso, v. 1, n. 20, p. 164-170, 2017.

ALMEIDA, Jessica de Jesus et al. Crimes cibernéticos. Caderno de Graduação-

Ciências Humanas e Sociais-UNIT-Sergipe, v. 2, n. 3, p. 215-236, 2015.

ARANTES, Álisson Rabelo; DESLANDES, Maria Sônia. Os perigos dos crimes

virtuais nas redes sociais. Sinapse Múltipla, v. 6, n. 2, p. 175-178, 2017.

BATISTA, Poliana Aparecida; SOARES, Ana Flavia; SOCREPPA, Bruna. Tecnologia

da informação. Revista Mato-grossense de Gestão, Inovação e Comunicação, v.
1, n. 1, p. 32-48, 2023.

BLUM, R. O direito à privacidade e à proteção dos dados do consumidor. São

Paulo, 2018

BORTOT, Jessica Fagundes. Crimes cibernéticos: aspectos legislativos e

implicações na persecução penal com base nas legislações brasileira e
internacional. Virtuajus, v. 2, n. 2, p. 338-362, 2017.

CABRAL, Carlos; CAPRINO, Willian. Trilhas em segurança da informação:

caminhos e ideias para a proteção de dados. Brasport, 2015.

CAPANEMA, Walter Aranha. O spam e as pragas digitais: uma visão

jurídicotecnológica. São Paulo: Ltr, 2019.

CORREA SEGUNDO, Luiz Carlos Coelho. Crimes cibernéticos: análise das leis
12.735 e 12.737 no que tange a sua real necessidade de existência. 45 p.
Monografia (Graduação em Direito). Faculdade do Estado do Maranhão – FACEM,
São Luís, 2016.

CRESPO, Marcelo Xavier de Freitas. Crimes digitais. Saraiva Educação SA, 2017.

DALMARCO, Denise. Gestão da informação e inteligência de mercado. Editora

Senac São Paulo, 2020.

DEL PINO, Michele; MONTENEGRO, Ninfa Liliana Jacquet; BASTOS, Luciano Maia.
Crimes cibernéticos e digitais: uma análise da conduta típica praticada no âmbito da
internet. Revista Ipanec, v. 1, n. 1, p. 203-219, 2020.

DORNELAS, Natália Alves. A resposta estatal quanto aos crimes cibernéticos: uma
análise direcionada às leis nº 12.735/2012 e 12.737/2012. Repositório de
Trabalhos de Conclusão de Curso, 2020.

FIORILLO, Celso Antonio Pacheco; CONTE, Christiany Pegorari. Crimes no meio

ambiente digital. Saraiva Educação SA, 2017.
 51

FONTES, Edison. Segurança da Informação: o usuário faz a diferença. São Paulo:

Editora Saraiva, 2014.

FONTES, Edison Luiz Gonçalves. Segurança da informação. São Paulo: Saraiva

Educação SA, 2017.

GAO, Jun et al. Should you consider adware as malware in your study?. In: IEEE
26th International Conference on Software Analysis, Evolution and
Reengineering (SANER). IEEE, 2019. p. 604-608.

LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de informação gerenciais:

administrando a empresa digital. Bookman Editora, 2022.

MARTINS, Tailise Mascarenhas; CARNEIRO, Rafael Nunes; MERGULHÃO, Ricardo

Coser. O conceito da segurança da informação como estratégia organizacional no
contexto da Indústria 4.0. Revista de Gestão e Secretariado, v. 14, n. 1, p. 1068-
1082, 2023.

MITNICK, Kevin D.; SIMON, William L. A arte de enganar. São Paulo, 2003.

OLIVEIRA, Gabriella Domingos de; MOURA, Rafaela Karoline Galdêncio de;

ARAÚJO, Francisco de Assis Noberto Galdino de. Gestão da segurança da
informação: perspectivas baseadas na tecnologia da informação (t.i.). In:
ENCONTRO REGIONAL DOS ESTUDANTES DE BIBLIOTECONOIA,
DOCUMENTAÇÃO, GESTÃO E CIÊNCIA DA INFORMAÇÃO, 15, 2012, Cariri, CE.
Anais [...]. Cariri, CE: UFCA, 2012. p. 1-12.

PAULA, Rafael Almeida; OLIVEIRA-CASTRO, Jorge Mendes de. Sistemas de

gestão de segurança da informação–uma análise comportamental. Acta
Comportamentalia: Revista Latina de Análisis del Comportamiento, v. 31, n. 1,
2023.

ROCHA, Antônio A. de A. et al. Segurança e escalabilidade em sharding

blockchain. Sociedade Brasileira de Computação, 2021.

SALVADOR, Gislaine Sidor. A conduta criminosa no ambiente virtual e a

responsabilidade dos provedores de internet. Direito, p. 56-56, 2019.

SANTOS, Juliana Cardoso. Gestão documental e gestão da informação abordagens,

modelos e etapas. Informação@ Profissões, v. 10, n. 1, p. 99-120, 2021.

SÊMOLA, Marcos. Gestão da segurança da informação: visão executiva da

segurança da informação aplicada ao Security Officer. 2ª edição. Rio de Janeiro:
Editora Campus, 2003.

SILVA, Eduardo. Cloud Security & BYOD-Como ter mobilidade mantendo a

segurança da informação. Eduardo Silva, 2023.
 52

SILVA, Hugo Hayran Bezerra. Crimes cibernéticos: uma análise sobre a eficácia da
lei brasileira em face das políticas de segurança pública e política
criminal. Conteúdo Jurídico, Brasília, DF, 11 ago. 2020.

TAKAHASHI, Tadao. Sociedade da informação no Brasil: livro verde. Brasília:

Ministério da Ciência e Tecnologia, 2000.

TERUAL LOZANO, Germán M. Libertades Comunicativas Y Censura En El Entorno

Tecnológico Global. Revista de la Escuela Jacobea de Posgrado, n. 12, p. 75-102,
2017.

TRUZZI, Gisele; DAOUN, Alexandre. Crimes informáticos: o direito penal na era da

informação. Proceedings of the Second International Conference of Forensic
Computer Science. p. 115-120, 2015.

TURBAN, Efraim; RANIER JR., R. Kelly; POTTER, Richard E. Introdução a

sistemas de Informação uma abordagem gerencial. Tradução Daniel Vieira. Rio
de Janeiro: Elsevier, 2007.

VIANNA, Túlio; MACHADO, Felipe. Crimes informáticos. Belo Horizonte: Fórum,

2013.

VIANNA, William Barbosa; FREITAS, Maria Cristina Vieira de. Gestão da informação
e ciência da informação: elementos para um debate necessário. Ciência da
Informação, v. 48, n. 2, 2019.