Apostila - Módulo 1 - CSO

Fundamentos em Segurança
Cibernética Ofensiva_
Rivanildo Santos
2023
SUMÁRIO
Capítulo 1. Introdução a Segurança da Informação e Cibernética ........... 5
Conceitos de Segurança da Informação ........................................................................... 5
Pilares de Segurança da Informação.................................................................................. 6
Ameaças, Riscos e Vulnerabilidades ................................................................................... 7
Medidas de Segurança ........................................................................................................... 10
Conceitos de Segurança Cibernética............................................................................... 12
OWASP e o Top 10 Web Application Security Risks................................................. 14
Red Team, Blue Team e Purple Team .............................................................................. 15
Capítulo 2. Governança e Política de Segurança da Informação ............ 18
Sistema de Gestão de Segurança da Informação (SGSI) ...................................... 18
Escopo de um Sistema de Gestão de Segurança da Informação (SGSI) ....... 20
Componentes de um SGSI conforme ISO/IEC 27001 (Controles do anexo A)

........................................................................................................................................................... 24
Controles para um Sistema de Gestão de Segurança da Informação (SGSI)

........................................................................................................................................................... 25
Gerenciamento de Incidentes de Segurança da Informação .............................. 26
Política de Segurança da Informação (PSI) ................................................................. 29
Práticas para criação da PSI ................................................................................................ 31
Capítulo 3. Normas ISO 27000 ............................................................................... 33
Conceitos básicos ..................................................................................................................... 33
Siglas Importantes................................................................................................................... 33
Normas da Família ISO/IEC 27000 .................................................................................. 34
Capítulo 4. Carreira Profissional e Certificações ............................................. 37
Tendências de Mercado e Regulamentações .............................................................. 37
Áreas de atuação de um Profissional de Cibersegurança...................................... 39
2
Certificações de Segurança Cibernética ........................................................................ 43
Capítulo 5. Engenharia Social .................................................................................. 50
O que é Engenharia Social?.................................................................................................. 50
Como atua o Engenheiro Social? ....................................................................................... 51
Tipos de Engenharia Social .................................................................................................. 52
Como se Proteger da Engenharia Social ........................................................................ 57
Capítulo 6. Introdução a Cloud Computing....................................................... 61
Definição de Cloud Computing ........................................................................................... 61
Características de Cloud Computing ............................................................................... 63
Modelos de Serviços de Cloud ............................................................................................ 65
Capítulo 7. Introdução a Comandos básicos de Linux ................................. 77
Introdução ao Linux ................................................................................................................ 77
Primeiros Passos no Linux.................................................................................................... 79
Gerenciamento de Arquivos e Diretórios ....................................................................... 83
1
Permissões de Arquivos ......................................................................................................... 93
Gerenciamento de Contas de Usuários .......................................................................... 97
Lista de Comandos Importantes do Linux ..................................................................101
Capítulo 8. Servidores WEB, Banco de Dados e Firewall .......................... 113
Servidores WEB........................................................................................................................ 113
Banco de Dados ....................................................................................................................... 114
Firewall .........................................................................................................................................121
Capítulo 9. Introdução aos Comandos Básicos de Linux ......................... 127
Metodologia Ágil para TI .....................................................................................................127
Principais Metodologias Ágeis .......................................................................................... 128
Qual o propósito em adotar Metodologias Ágeis?...................................................137
Referências ...................................................................................................................... 140
3
1
Capítulo 1. Introdução a Segurança da Informação e
Cibernética
Conceitos de Segurança da Informação
 Informação – É o dado ou conjunto de dados que tem significado

em algum contexto para o receptor.
Fonte: Foundations of Information Security, Van Haren .
 Sistemas de Informação – No contexto de segurança da

informação, um sistema de informação é todo o conjunto de meios,
procedimentos, regras e pessoas que asseguram o fornecimento de
informações para um processo de negócio.
Fonte: Foundations of Information Security, Van Haren.
 Segurança da Informação – É a proteção de informações contra

uma ampla gama de ameaças, a fim de garantir a continuidade do
negócio, minimizar o risco do negócio e maximizar o retorno sobre
os investimentos e oportunidades de negócio.
 Segurança da Informação – É a preservação de confidencialidade,

integridade e disponibilidade da informação.
Fonte: ISO /IEC 27000:2018
5
Pilares de Segurança da Informação
Os pilares da segurança da informação se aplicam a todas as suas
dimensões: da informação, cibernética, defensiva, ofensiva, dentre outras:
Figura 1 – Pilares de Segurança da Informação.
Fonte: https://treinaweb.com.br.
A confiabilidade da informação é determinada por vários aspectos

relacionados à segurança da informação, como:
 Confidencialidade.
 Integridade.
 Disponibilidade.
 Autenticidade.
6
 Não-repúdio.
 Privacidade.
Ameaças, Riscos e Vulnerabilidades

Ameaças
Potencial causa de um incidente indesejado que pode resultar em
dano a um sistema ou organização.
Fonte: ISO/IEC 27000:2018.
A ameaça pode ser um atacante ou um evento que explora uma

vulnerabilidade.
A entidade que retira vantagem de uma vulnerabilidade é conhecia

como um agente de ameaça.
Exemplos:
 Acesso não autorizado a arquivos.
 Travamento de servidor.
 Invasão na rede por crackers (hacker do mal).
 Tempestade.
 Funcionário cometendo erro não intencional.
 Funcionário irritado.
7
Figura 2 – Agente de Ameaça (hacker do mal).
Fonte: https://braziljournal.com/.
Vulnerabilidade
Fraqueza de um ativo ou controle que pode ser explorada por uma
ou mais ameaças.
Fonte: ISO/IEC 27000:2018
A vulnerabilidade caracteriza a ausência ou fraqueza de uma

garantia que pode ser explorada.
Exemplos:
 Desktop sem proteção de senha.
 E-mails enviados sem nenhum tipo de criptografia.
 Portas abertas no firewall.
 Antivírus desatualizado.
 Baixo nível de segurança física que permite qualquer um a entrar na

sala dos servidores.
8
Figura 3 – Vulnerabilidades.
Fonte: https://braziljournal.com/.
Riscos
É a probabilidade de um agente de ameaça tirar proveito de uma
vulnerabilidade e do impacto no negócio correspondente.
Fonte: livro Foundations of Information Security.
O risco amarra a ameaça, vulnerabilidade e chance de exploração ao

resultante impacto no negócio.
Exemplos:
 Se um firewall tem várias portas abertas, então há uma

probabilidade maior de um intruso utilizar alguma porta para acessar
a rede de uma forma não autorizada.
 Se os usuários não são informados sobre os processos e

procedimentos, então há uma probabilidade maior de um
funcionário cometer um erro intencional ou não, que pode acabar
destruindo dados.
9
Figura 4 – Riscos.
Medidas de Segurança
As medidas de segurança são garantias técnicas ou administrativas,
ou ações para evitar, combater ou minimizar a perda ou indisponibilidade de
ativos de informação, devido às ameaças que atuam sobre as suas
correspondentes vulnerabilidades.
As medidas modificam um risco e podem ser selecionadas a partir da

norma ISO/IEC 27002 ou de outras referências que a empresa utiliza.
Após uma análise de riscos, um conjunto de medidas apropriadas

devem ser selecionadas.
Para riscos em que a decisão de tratamento do risco tenha sido

aplicar medidas apropriadas, estas medidas devem:
 Ser selecionadas e implementadas para atender às necessidades

identificadas por uma avaliação de riscos.
 Assegurar que os riscos sejam reduzidos a um nível aceitável tendo

em conta:
10
– Conformidade com legislações e regulamentos nacionais e
internacionais.
– Objetivos organizacionais.
– Requisitos operacionais.
– A necessidade de equilibrar o investimento na implantação

e operação de medidas.
Deve-se ter em mente que nenhum conjunto de medidas pode

alcançar a segurança completa em toda a organização.
Figura 5 – Medidas de Segurança.
Categorias de Medidas de Segurança

Para criar um plano de segurança, podemos considerar sete
categorias diferentes de medidas:
Figura 6 – Categorias de Medidas de Segurança.
11
Tipos de Medidas de Segurança
As medidas de segurança podem ser classificadas em três tipos:
Conceitos de Segurança Cibernética

O que é Segurança Cibernética?
A segurança cibernética é um conjunto de ações sobre pessoas,
tecnologias e processos contra os ataques cibernéticos. Por vezes nomeada
como segurança digital ou segurança de TI, é uma ramificação na segurança
da informação.
A segurança cibernética é a prática de proteger os ativos de

informação, contra ameaças cibernéticas ou ataques maliciosos.
A segurança cibernética deve ser trabalhada em vários níveis, desde

a segurança das redes físicas e dos aplicativos, até a educação do usuário
final.
A segurança cibernética ou cibersegurança é uma área que atua no

ambiente digital, na prevenção, mitigando e recuperando frente aos ataques
cibernéticos.
12
Figura 7 – Segurança Cibernética.
O que são Ataques Cibernéticos?

Em computadores e redes de computadores, um ciberataque,
também chamado de ataque cibernético, é qualquer tentativa de expor,
alterar, desativar, destruir, roubar ou obter acesso não autorizado, ou fazer
uso não autorizado de um dispositivo.
Quais os tipos de Ataques Cibernéticos?

Os ataques cibernéticos nas redes podem acontecer de diferentes
formas e podem enganar ou passar despercebidas pelos usuários, que
acabam caindo em golpes. Existem muitas formas de ataques cibernéticos,
então vamos citar alguns como exemplo:
Ransomware
Esse tipo de ataque ocorre quando uma pessoa acessa um site sem
segurança, dentro da rede da empresa. Além disso, anexos de e-mails não
confiáveis também podem causar esse problema.
O ransomware criptografa todos os arquivos da máquina infectada.

Desse modo, é cobrado um valor, conhecido como resgate, pela devolução
da máquina ou das informações, funciona como uma forma de sequestro.
13
Phishing
A atenção às páginas visitadas e aos links clicados é importante
também para evitar o phishing. Nesse caso, são criados gatilhos para que o
usuário se direcione a um site, que, por sua vez, apresenta baixa segurança.
Em ataques como o phishing, são roubados dados importantes da

rede, como senhas, informações pessoais, conteúdos financeiros, entre
vários outros.
Ataques de Força Bruta

As senhas utilizadas para login nos sites também podem ser
ameaçadas. Isso acontece principalmente durante os ataques de força
bruta. Trata-se de tentativas de invasão de sistemas, por meio de estratégias
que ajudam a descobrir o nome dos usuários e a chave de acesso.
OWASP e o Top 10 Web Application Security Risks

A OWASP (Open Web Application Security Project) é uma das
maiores e mais respeitadas organizações quando o assunto é a segurança
de software. Sem fins lucrativos, ela reúne projetos que envolvem
comunidades das diferentes regiões do planeta com o propósito de
aumentar a proteção web.
Um dos seus projetos mais conhecidos, o OWASP Top 10, engloba as

10 vulnerabilidades mais reportadas no meio digital e como elas são
categorizadas. Até a lista de 2021, a última classificação da organização
datava de 2017 e era amplamente utilizada até o novo relatório. Na imagem
abaixo você confere as principais mudanças entre as duas versões:
 A01:2021 – Broken Access Control.
 A02:2021 – Cryptographic Failures.
 A03:2021 – Injection.
14
 A04:2021 – Insecure Design.
 A05:2021 – Security Misconfiguration.
 A06:2021 – Vulnerable and Outdated Components.
 A07:2021 – Identification and Authentication Failures.
 A08: 2021 – Software and Data Integrity Failures.
 A09:2021 – Security Logging and Monitoring Failures.
 A10:2021 – Server-Side Request Forgery.
Figura 8 – OWASP Top 10.
Fonte: https://owasp.org/.
Red Team, Blue Team e Purple Team

Os times de segurança cibernética podem ser agrupados em três
grandes verticais:
Figura 8 – Times de Segurança Cibernética.
Fonte: Twitter, @proxyblue.
Principais atribuições de cada time:
15
Red Team
 Simula ataques.
 Atua continuamente buscando vulnerabilidades e explorando falhas.
 Executa testes Black / Gray box.
 Não tem acesso prévio / liberado aos sistemas atacados.
 Atua, sempre, com permissão (escrita) prévia.
Blue Team
 Cria, implanta e monitora controles para evitar ataques.
 Identifica e reage a incidentes.
 Corrige e reporta falhas.
 Tem amplo conhecimento e acesso ao ambiente interno.
Purple Team
 Cria, implanta e monitora controles para evitar ataques.
 Identifica e reage a incidentes.
 Corrige e reporta falhas.
 Tem amplo conhecimento e acesso ao ambiente interno.
16
2
Capítulo 2. Governança e Política de Segurança da Informação
Sistema de Gestão de Segurança da Informação (SGSI)
O que é um SGSI?
É um sistema de gestão corporativa voltado para a Segurança da
Informação, que inclui toda a abordagem organizacional usada para
proteger a informação empresarial e seus critérios de Confidencialidade,
Integridade e Disponibilidade.
O SGSI é uma abordagem sistemática, que inclui estratégias, planos,

políticas, medidas, controles e diversos instrumentos usados para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar a segurança da informação.
Essa abordagem baseia-se na avaliação de risco e níveis de aceitação

de risco da organização, projetados para tratar e gerenciar os riscos com
eficácia. Não necessariamente inclui um sistema automatizado.
Figura 8 – SGSI.
Fonte: https://www.tjsc.jus.br.
18
O sistema de gestão de segurança da informação – SGSI, é um
sistema fundamentado nas normas da família NBR ISO/IEC 27000, que
inclui toda a abordagem institucional usada para proteger a informação de
acordo com seus princípios e atributos de confidencialidade,
disponibilidade, integridade, responsabilidade, autenticidade e criticidade. E
estabelece os seguintes processos organizacionais:
Classificação da Informação: inventariar e classificar as

informações de acordo com sua confidencialidade e associá-las a um
proprietário da informação.
Gestão de Riscos de Segurança da Informação: objetiva minimizar

os riscos associados à informação, apresentando as medidas de segurança
necessárias e realizando a avaliação contínua por meio de análise
sistemática e periódica.
Gestão de Resposta a Incidentes em Segurança da informação:

visa à continuidade do negócio, tentando reduzir a um nível aceitável a
interrupção causada por desastres ou falhas, principalmente nos ativos que
suportam os processos críticos de informação do órgão.
Controle de Acesso à Informação: o acesso (lógico e físico) deve ser

controlado e estar de acordo com as normas e os procedimentos definidos.
Segurança da Informação em Recursos Humanos e

Conscientização em Segurança da Informação: promove a validação das
evidências de cumprimento da PSI/PJSC e a definição de utilização e
responsabilidade com o uso das informações.
Segurança em Recursos de Tecnologia da Informação e

Comunicações (TIC): corresponde ao inventário e gestão dos ativos críticos
de tecnologia da informação e da comunicação.
19
O Sistema de Gestão de Segurança da Informação é nada mais do
que vários processos de segurança interligados – quão melhor esses
processos são definidos e inter-relacionados, menos incidentes de
segurança haverá na organização.
Escopo de um Sistema de Gestão de Segurança da Informação (SGSI)

Modelo PDCA
O modelo adotado para a estrutura do SGSI é baseado no PDCA
(Plan-Do-Check-Act) e contempla quatro partes fundamentais:
 Planejamento: normatização e documentação de processos e

procedimentos.
 Execução: implementação das ações do planejamento.
 Avaliação e correção: para determinar se a execução foi realizada de

acordo com o planejado e identificar necessidades de melhorias.
 Registro: foco nas lições aprendidas com o registro de ocorrências e

a prática de análises de tendência para prevenção, além da
divulgação de resultados.
A norma ISO 27001 adota o modelo PDCA (Plan-Do-Check-Act) para

descrever a estrutura de um SGSI. A imagem a seguir, junto com a descrição
de cada uma das etapas, provavelmente irá ajudá-lo a ganhar um pouco mais
de intimidade com o conceito.
20
Figura 9 – PDCA.
Fonte: https://www.portalgdti.com.br.
Estabelecer o SGSI
É a etapa que dá vida ao SGSI. Suas atividades devem estabelecer
políticas, objetivos, processos e procedimentos para a gestão de segurança
da informação. São os instrumentos estratégicos fundamentais para que a
organização possa integrar a segurança da informação às políticas e
objetivos globais da organização.
Requisitos da Norma ISO 27001 para esta etapa:
 Definição do escopo do SGSI (a quais processos organizacionais,

departamentos e partes interessadas se aplica).
 A Política do SGSI (que inclui objetivo, diretrizes, alinhamento ao

negócio, critérios de avaliação de riscos, dentre outros aspectos).
 Abordagem de gestão (a metodologia da organização utilizada para

identificação, análise, avaliação e tratamento de riscos).
21
 Objetivos de controle e controles selecionados (a empresa deve
declarar quais medidas foram selecionadas para tratar a segurança
da informação).
 Declaração de aplicabilidade (com os objetivos de controle

selecionados).
Implementar o SGSI
Consiste em implementar e operar a política de segurança, os
controles / medidas de segurança, processos e procedimentos.
 Formular um plano de tratamento de riscos que identifique a ação

de gestão apropriada, recursos, responsabilidades e prioridades para
a Gestão de Riscos.
 Implementar o plano de tratamento de riscos para alcançar os

objetivos de controle identificados, que inclua considerações de
financiamentos e atribuição de papéis e responsabilidades.
 Implementar os controles selecionados.
 Definir como medir a eficácia dos controles ou grupos de controles

selecionados, e especificar como essas medidas devem ser usadas
para avaliar a eficácia dos controles de modo a produzir resultados
comparáveis e reproduzíveis.
 Implementar programas de conscientização e treinamento.
 Gerenciar as operações do SGSI.
 Gerenciar os recursos para o SGSI.
22
 Implementar procedimentos e outros controles capazes de permitir
a pronta detecção de eventos de segurança da informação e
resposta a incidentes de segurança da informação.
Monitorar e analisar criticamente o SGSI

Reúne as práticas necessárias para avaliar a eficiência e eficácia do
sistema de gestão e apresentar os resultados para a análise crítica pela
direção. A política de segurança é usada para comparar e desempenho
alcançado com as diretrizes definidas.
 Executar procedimentos de monitoração e análise crítica.
 Realizar análises críticas regulares da eficácia do SGSI (incluindo o

atendimento da política e dos objetivos do SGSI e a análise crítica
de controles de segurança), levando em consideração os resultados
de auditorias de segurança da informação, incidentes de segurança
da informação, resultados da eficácia das medições, sugestões e
realimentação de todas as partes interessadas.
 Medir a eficácia dos controles para verificar que os requisitos de

segurança da informação foram atendidos.
 Analisar criticamente as análises/avaliações de riscos a intervalos

planejados, e analisar criticamente os riscos residuais e os níveis de
riscos aceitáveis identificados.
 Conduzir auditorias internas do SGSI a intervalos planejados.
 Realizar uma análise crítica do SGSI pela direção, em bases

regulares para assegurar que o escopo permanece adequado e que
são identificadas melhorias nos processos do SGSI.
23
 Atualizar os planos de segurança da informação para levar em
consideração os resultados das atividades de monitoramento e
análise crítica.
 Registrar ações e eventos que possam ter um impacto na eficácia ou

no desempenho do SGSI.
Manter e melhorar continuamente o SGSI

Executar as ações corretivas e preventivas, com base nos resultados
da auditoria interna do SGSI e da análise crítica pela direção ou outra
informação pertinente, para alcançar a melhoria contínua do SGSI.
 Implementar as melhorias identificadas no SGSI.
 Executar as ações preventivas e corretivas apropriadas.
 Aplicar as lições aprendidas de experiências de segurança da

informação de outras organizações e aquelas da própria
organização.
 Comunicar as ações e melhorias a todas as partes interessadas, com

um nível de detalhe apropriado às circunstâncias e, se relevante,
obter a concordância sobre como proceder.
 Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
Componentes de um SGSI conforme ISO/IEC 27001 (Controles do anexo A)

14 Sessões da ISO 27002
A norma contém 14 seções de controles de Segurança da
Informação, de um total de 35 objetivos de controles e 114 controles de
segurança.
24
 Cada seção definindo os controles de SI, contém um ou mais
objetivos de controle.
 Cada seção principal contém um objetivo de controle, declarando o

que se espera ser alcançado; e um ou mais controles que podem ser
aplicados para se alcançar o objetivo do controle.
 Cada controle possui um conjunto de diretrizes de implementação,

as quais apresentam informações mais detalhadas para apoiar a
implementação do controle e alcançar o objetivo do controle.
Figura 10 – Componentes de um SGSI.
Fonte: ISACA.
Controles para um Sistema de Gestão de Segurança da Informação (SGSI)

Anexo A da ISO/IEC 27001
O Anexo A da ISO/IEC 27001 tem um catálogo de 114 controles de
segurança em 14 grupos e 35 objetivos de controle, os quais a organização
deve selecionar de acordo com a sua aplicabilidade (para tratar os riscos).
25
Os controles são detalhados na ISO:
Figura 11 – Controles do Anexo A.
Fonte: ISO 27001 / 27002
Gerenciamento de Incidentes de Segurança da Informação

O que é um Incidente de segurança da informação?
Indicado por um simples ou por uma série de eventos de segurança
da informação indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação.
Fonte: ISO /IEC 27000:2018.
Alguns exemplos de Incidentes de Segurança:

Uso impróprio:
 Uso de e-mail corporativo para spam ou promoção de negócios

pessoais.
 Instalação de softwares não autorizados.
26
 Uso de pendrive de forma não autorizada.
 Impressão não autorizada de documentos.
Vazamento de dados:
 Exposição não autorizada de dados pessoais e informações privadas.
 Credenciais roubadas ou comprometidas.
Tentativas de acesso não autorizado a sistemas ou dados, como por

exemplo:
 Tentar ou realizar acesso utilizando credenciais de terceiros.
 Má utilização de um sistema.
 Provocar falhas no sistema que impeçam um acesso autorizado.
Ataques de negação de serviço:
 Forçar um sistema a reinicializar ou consumir excessivamente

recursos (como memória ou processamento por exemplo) de forma
que ele não possa mais fornecer seu serviço.
 Obstruir mídia de comunicação entre os utilizadores, de forma a não

se comunicarem adequadamente.
 Vírus e outros códigos maliciosos.
 Sequestro de dados (ransomware).
 Desfiguração de sites.
 Modificações em um sistema, sem conhecimento, instruções ou

consentimento prévio do proprietário.
27
 Desrespeito à política de segurança ou à política de uso aceitável de
uma empresa ou provedor de acesso.
O que é Gerenciamento de incidente de segurança da informação?

Processos para detectar, relatar, avaliar, responder, tratar e para
aprender com incidentes de segurança da informação.
Fonte: ISO /IEC27000:2018.
Objetivos do Gerenciamento de Incidentes:

Garantir que eventos e fragilidades da segurança da informação
associados a sistemas de informação sejam comunicados de forma a
permitir a tomada de ações corretivas.
Aplicar procedimentos formais para relatos de eventos e

procedimentos de escalação.
Figura 12 – Gestão de Incidentes.
Fonte: LinkedIn.
28
Política de Segurança da Informação (PSI)
O que é uma PSI?
É um documento que registra os princípios e as diretrizes de
segurança adotados pela organização, a serem observados por todos os seus
integrantes e colaboradores e aplicados a todos os sistemas de informação
e processos corporativos.
Contém diretrizes que determinam as linhas mestras que devem ser

seguidas pela organização, para que sejam asseguradas a segurança dos
recursos computacionais e suas informações. Convém ser escrita como um
resumo de fatos-chave.
A PSI pode extrapolar o escopo abrangido pelas áreas de sistemas

de informação e pelos recursos computacionais. Ela não precisa ficar restrita
à área de TI.
Principais tópicos abordados em uma PSI:
 Definição de segurança de informações e de sua importância.
 Declaração do comprometimento da alta administração com a PSI.
 Objetivos de segurança da organização.
 Definição de responsabilidades gerais na gestão de segurança de

informações.
 Orientações sobre análise e gerência de riscos.
 Princípios de conformidade dos sistemas computacionais com a PSI.
 Padrões mínimos de qualidade que esses sistemas devem possuir.
 Princípios de supervisão constante das tentativas de violação da

segurança de informações.
29
 Consequências de violações de normas estabelecidas na política de
segurança.
 Princípios de gestão da continuidade do negócio.
 Plano de treinamento em segurança de informações.
No nível mais baixo, convém que a política de segurança da

informação seja apoiada por políticas de tópicos específicos, tais como:
 Controle de acesso.
 Classificação e tratamento da informação.
 Segurança física e do ambiente.
 Tópicos orientados aos usuários finais:
– Uso aceitável dos ativos.
– Mesa limpa e tela limpa.
– Transferência de informações.
– Dispositivos móveis e trabalho remoto.
– Restrições sobre o uso e instalação de software.
– Backup.
– Transferência da informação.
 Proteção contra códigos maliciosos.
 Gerenciamento de vulnerabilidades técnicas.
 Controles criptográficos.
 Segurança nas comunicações.
 Proteção e privacidade da informação de identificação pessoal.
30
 Relacionamento na cadeia de suprimentos.
Práticas para criação da PSI

Esta política convém ser:
 Redigida em conformidade com os requisitos do negócio, bem como

com a legislação e com a regulamentação pertinentes.
 Aprovada pelo Conselho Administrativo.
 Publicada para todos os funcionários e todas as partes externas

relevantes, tais como clientes e fornecedores.
– Em forma de folheto.
– Em versão completa na intranet.
A Política de Segurança da Informação deve ser criada com base em

Regulamentos, Procedimentos, Diretrizes e Normas, como a ISO/IEC 27000.
31
3
Capítulo 3. Normas ISO 27000
Conceitos básicos
Normas: têm como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou serviço.
Políticas: contêm orientações para alcançar conformidade com os

objetivos de negócio.
Regulamentações: são exigências estabelecidas por leis e

regulamentos de setor.
Baseline: nível mínimo de proteção nos sistemas críticos. A ISO/IEC

27001 e 27002 podem ser consideradas uma linha de base de proteção da
segurança da informação.
 Ou seja, quando a empresa não sabe por onde começar, pode

implementar os controles propostos por essas normas.
Diretrizes
 Em um contexto estratégico, podem ser interpretadas como ações

ou caminhos a serem seguidos em determinados momentos.
 Orientam o que deve ser feito e como, para que se alcancem os

objetivos estabelecidos na política [ISO 27002].
Procedimentos: são instruções no nível operacional.
Siglas Importantes
O que significa a palavra ISO?
A sigla ISO denomina a International Organization for
Standardization, ou seja, Organização Internacional de Padronização.
33
Portanto, é um meio de promover a padronização de produtos e serviços,
utilizando normas internacionais para melhoria contínua.
Figura 13 – Siglas Importantes.
Normas da Família ISO/IEC 27000

A ISO/IEC 27000 é um conjunto de certificações de segurança da
informação e proteção de dados para empresas e órgãos públicos. Elas
servem como base para a criação de um Sistema de Gestão de Segurança da
Informação (SGSI) em organizações de pequeno, médio e grande porte.
A série ISO/IEC 27000 (também conhecida como 'Família de normas

GSI' ou 'ISO27K') inclui normas de segurança da informação publicadas em
conjunto pela ISO e pela IEC.
Existem mais de 40 normas nessa família.
Quais são os princípios da ISO 27000?

Destacamos anteriormente que os preceitos presentes na ISO
27000 convertem para normas em relação à segurança dos dados. Entre os
principais princípios presentes nessa norma estão a disponibilidade, a
integridade, a confidencialidade e a autenticidade.
34
Figura 14 – Normas da Família ISO/IEC 27000.
Fonte: http://www.iso.org.
35
4
Capítulo 4. Carreira Profissional e Certificações
Tendências de Mercado e Regulamentações
A segurança e privacidade na internet sempre foi uma grande
preocupação da sociedade. Contudo, com o aumento exponencial do
mercado digital nos últimos anos, esses cuidados precisam agora ser
redobrados.
O tema é de tal relevância que até mesmo os Estados e entidades

governamentais começaram a intervir diretamente e regulamentar o setor
por meio de leis.
Figura 15 – Cyber Security.
Fonte: https://acaditi.com.br.
Regulamentações
E seguindo a tendência mundial, em agosto de 2018 o governo
brasileiro sancionou uma lei que regula a captação e tratamento de dados
pessoais. Conhecida como LGPD, a Lei Geral de Proteção de Dados foi
inspirada na regulamentação semelhante aprovada pela União Europeia, a
37
GPDR (General Data Protection Regulation). Com isso, o Brasil faz parte dos
mais de 120 países que têm uma legislação específica para o tratamento de
dados.
A LGPD, ou Lei 3.709/18, estabelece nove bases legais para legitimar

o tratamento de dados pessoais pelas empresas, visando assegurar a seus
clientes a proteção dos dados pessoais de suas empresas e a total
conformidade com as novas regulamentações.
Contudo, no caso de empresas que lidam com grandes quantidades

de dados, a própria LGPD recomenda que haja um profissional especializado
em cibersegurança e legislação, e que saiba não só orientar e prevenir, mas
agir em caso de algum ataque.
Por esses motivos, atualmente a carreira para quem deseja trabalhar

com cibersegurança apresenta uma série de oportunidades.
Figura 16 – LGPD.
Fonte: Blog Webde.
38
Áreas de atuação de um Profissional de Cibersegurança
Cibersegurança
A cibersegurança é um conjunto de ações e técnicas para proteger
sistemas, programas, redes e equipamentos de invasões.
Dessa forma, é possível garantir que dados valiosos não vazem ou

sejam violados em ataques cibernéticos.
Esses ataques podem ter a intenção de acessar servidores, roubar

senhas, sequestrar dados ou até mesmo fraudar transações financeiras.
A internet está cada vez mais complexa e isso abre mais pontos de
vulnerabilidade aos sistemas. Por esse motivo, a cibersegurança pode ser
dividida em diversos setores, cada um com uma responsabilidade diferente.
Segurança da Rede
O profissional desse setor é responsável por garantir que todos os
componentes de rede da empresa estejam protegidos contra ameaças e
possíveis vazamentos de informações, ou seja, costuma ser a primeira linha
de defesa da organização.
Para trabalhar nesse departamento, é necessário ter conhecimento

em protocolos de segurança de rede e sobre as ameaças mais comuns a
esses sistemas.
39
Figura 17 – Segurança da Rede.
Fonte: Fibracem.
Segurança de Informações e Dados

Quem atua nessa área precisa proteger os dados da empresa,
inclusive os dos usuários, contra roubos, mudanças e remoção. Para ser um
bom especialista nesse tipo de cibersegurança, o profissional precisa ter
conhecimento em gerenciamento de riscos, políticas ISO e arquitetura de
segurança.
Figura 18 – Segurança de Informações e Dados.
Fonte: Databel.
40
Segurança da Nuvem
Com tantos arquivos e dados sendo compartilhados na nuvem, não
é à toa que existe uma área da cibersegurança totalmente dedicada para a
situação.
O profissional dessa área garante que os usuários façam o uso

seguro de aplicativos, da web e de transferência de arquivos.
Para atuar nesse setor é interessante conhecer linguagens de

programação, como a Phyton, e plataformas de serviços na nuvem, como a
Microsoft Azure, Google Cloud Platform (GCP) e Amazon Web Services
(AWS).
Figura 18 – Segurança de Informações e Dados.
Fonte: Kaspersky.
Segurança de Aplicação
Nesse departamento, o especialista fica responsável por encontrar e
ajustar vulnerabilidades no código-fonte dos computadores, web e
dispositivos móveis. É interessante que esse profissional seja familiarizado
com, pelo menos, uma linguagem de programação.
41
Figura 19 – Segurança de Aplicação.
Fonte: Convisoappsec.
Segurança de Endpoints
Esse setor permite aos servidores se comunicarem de forma segura
com os terminais, o que pode incluir dispositivos pessoais. Os profissionais
dessa área da cibersegurança estão diretamente envolvidos em desenvolver
e configurar plataformas de proteção, garantindo a continuidade do negócio.
Figura 20 – Segurança de Endpoints.
Fonte: Canaltech.
42
Certificações de Segurança Cibernética
Certificações Profissionais
Certificações de segurança cibernética podem ser uma ótima
maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a
obter aquela promoção tão desejada.
No cenário de negócio a certificação se refere a um conjunto de

avaliações práticas e teóricas implementadas pelas empresas de
treinamento e pelas marcas fabricantes para nivelar a habilidade de cada
profissional, para trabalhar com determinado tipo de método tecnológico.
As certificações podem apresentar diferentes níveis de classificação,

partindo do básico até o mais avançado, podendo exigir alto investimento e
processos longos de preparação.
Por outro lado, o profissional impulsiona a sua carreira se tornando

uma referência para as melhores empresas do mercado. Por se tratar de um
diferencial, merece toda a atenção de empresas que precisam qualificar os
seus colaboradores e dos profissionais que sonham em crescer na profissão.
Figura 21 – Certificações Profissionais.
Fonte: Tecjump.
43
Certificações Profissionais
Certificações de segurança cibernética podem ser uma ótima
maneira de fast-tracking para sua carreira. O curso certo pode ajudar você a
obter aquela promoção tão desejada.
CISSP (Certified Information Systems Security Professional)

A Certified Information Systems Security Professional é uma das
certificações de segurança mais reconhecidas no mercado mundial e atesta
suas habilidades em segurança da informação de sistemas.
A prova de certificação da isc2.org (ISC)² contém cerca de 250

questões sobre oito áreas da segurança da informação, que devem ser
respondidas em até seis horas. O nível de dificuldade é alto e, por isso, o
candidato deve estudar muito antes de tentar obter o seu certificado.
C|CISO (Certified Chief Information Security Officer)

Essa é uma certificação inovadora, responsável por atestar os
conhecimentos específicos em segurança da informação de gestores e
executivos da área.
Desenvolvida pela EC-Concil, o objetivo dessa certificação é

repassar o conhecimento de profissionais com grande carga de experiência
para as novas gerações de executivos de segurança da informação.
A prova é composta de 250 questões relacionadas a cinco domínios

e tem duração de quatro horas. É preciso alcançar 70% de acerto para obter
a certificação. É necessário ainda realizar a comprovação de cinco anos de
experiência na área de segurança da informação.
CISM (Certified Information Security Manager)

A Certified Information Security Manager é uma das certificações
para profissionais que são responsáveis por projetar, construir e gerenciar a
44
segurança da informação nas organizações e que têm experiência nas
seguintes áreas:
 Governança de Segurança da Informação.
 Gerenciamento de Riscos.
 Desenvolvimento de um Programa de Segurança da Informação.
 Gestão de Programas de Segurança da Informação.
 Gestão de Incidentes e Respostas em Segurança da Informação.
A prova de certificação da ISACA consiste em 150 perguntas de

múltipla escolha, que cobrem o respectivo esboço do conteúdo do exame
criado a partir da análise mais recente do conteúdo do exame. Os candidatos
têm até 4 horas (240 minutos) para concluir o exame.
CEH (Certified Ethical Hacker)

A Certified Ethical Hacker é uma certificação em segurança da
informação desenvolvida e fornecida pela EC-Council. Atestada a
capacidade de ataque do profissional e o seu conhecimento acerca de todas
as metodologias e ferramentas utilizadas pelos hackers no processo de
invasão e roubo de informação.
O programa CEH permite que o profissional certificado possa ser

identificado como um “hacker ético”, um profissional que utiliza seus
conhecimentos acerca de diversas ferramentas de ataques para realizar um
levantamento e análise de vulnerabilidade dos sistemas da empresa.
A prova CEH é composta de 125 questões de múltipla escolha, que

testará suas habilidades em ameaças à segurança da informação e vetores
de ataque, detecção de ataques, prevenção de ataques, procedimentos,
metodologias e muito mais! Os candidatos têm até 4 horas (240 minutos)
para concluir o exame.
45
CompTIA Security +
CompTIA Security + é a primeira certificação de segurança que um
candidato deve obter. Ele estabelece o conhecimento básico necessário para
qualquer função de segurança cibernética e fornece um trampolim para
trabalhos de segurança cibernética de nível intermediário. Security +
incorpora as melhores práticas na solução de problemas práticos,
garantindo que os candidatos tenham habilidades práticas de resolução de
problemas de segurança necessárias para:
 Avalie a postura de segurança de um ambiente corporativo e

recomende e implemente soluções de segurança apropriadas.
 Monitore e proteja ambientes híbridos, incluindo nuvem, celular e

IoT.
 Operar com consciência das leis e políticas aplicáveis, incluindo

princípios de governança, risco e conformidade.
 Identificar, analisar e responder a incidentes e eventos de

segurança.
A prova CompTIA Security + é composta de 90 questões de múltipla

escolha! Os candidatos têm até 1h:30min (90 minutos) para concluir o
exame.
CCSP (Certified Cloud Security Professional)

O CCSP foi pensando para garantir que os profissionais de
segurança em nuvem tenham conhecimentos, habilidades e capacidades de
auditoria necessárias para avaliar infraestruturas de nuvem e garantir um
alto nível de segurança.
O CCSP mostra que você possui as habilidades e conhecimentos

técnicos avançados para projetar, gerenciar e proteger dados, aplicativos e
infraestrutura na nuvem usando as melhores práticas, políticas e
46
procedimentos estabelecidos pelos especialistas em segurança cibernética
do (ISC)².
A prova CCSP é composta de 125 questões de múltipla escolha! Os

candidatos têm até 3 horas (180 minutos) para concluir o exame.
EXIN Information Security Officer (ISO)

A certificação Information Security Officer fornece os
conhecimentos e competências adequados para quem pretende tornar-se
ou já é um Information Security Officer. Quando você é certificado pelo EXIN
como Oficial de Segurança da Informação, você é amplamente testado não
apenas nos requisitos de Gerenciamento de Segurança da Informação (com
base no padrão ISO/IEC 27001), mas também em novos requisitos, como
Proteção de Dados e Blockchain.
O EXIN ISO é uma trilha composta por duas certificações de nível de

fundamentos e 1 de nível avançado.
 Certificações de Nível Foundation do EXIN, possuem 40 questões e

tem duração de 60 minutos.
 Certificações de Nível Professional do EXIN, possuem 30 questões

e tem duração de 2 horas (120 minutos) e requer apresentação de
um trabalho prático.
47
Figura 22 – EXIN Information Security Officer.
Fonte: EXIN.
48
5
Capítulo 5. Engenharia Social
O que é Engenharia Social?
Muito se fala sobre as ameaças cibernéticas, que aproveitam de
vulnerabilidades dos sistemas para invadir as redes e roubar dados de
usuários. Porém, não são só falhas virtuais que podem causar problemas
para a população. Erros humanos podem acontecer e comprometer
informações, e é isso que a engenharia social tenta causar.
Engenharia social é uma técnica usada por criminosos virtuais para

induzir usuários desavisados a enviar dados confidenciais, infectar seus
computadores com malware ou abrir links para sites maliciosos.
Nos crimes virtuais esses golpes geralmente atingem pessoas

desavisadas ou sem muita experiência no mundo virtual. As vítimas podem
ter desde seus dados roubados até mesmo seus computadores infectados
com vírus. Além disso, os ataques podem acontecer tanto online quanto por
telefone ou outros tipos de comunicação.
Figura 23 – Engenharia Social.
Fonte: atlasgov.com.
50
Como atua o Engenheiro Social?
Troia, século XIII a.C. Os gregos haviam desistido da luta contra os
troianos. Como prova de amizade, deram-lhes um presente: um enorme
cavalo de madeira, tomado pelo povo troiano como símbolo da vitória. Dentro
da estátua, contudo, havia diversos guerreiros gregos, esperando pelo
momento certo para atacar os troianos desprevenidos. Em uma única noite
os gregos venceram uma guerra que durou por quase dez anos.
O engenheiro social atua de maneira idêntica. Nesta técnica, o

cibercriminoso usufrui da ingenuidade e do descuido da própria vítima para
quebrar os mecanismos de segurança dos equipamentos dela ou da
organização em que ela trabalha. As iscas, porém, não são estátuas de
madeira, mas links para download de arquivos, e-mails indicando sites de
procedência duvidosa, entre outras coisas. E assim começa o ciberataque.
Existem casos também em que a engenharia social é utilizada

verbalmente, por ligações e conversas pessoalmente, ou em atividades
furtivas, como invasões em espaços restritos de organizações e
espionagens.
Na maioria das vezes, no entanto, trata-se de algo que incentive uma

ação da vítima, como quando os troianos aceitaram sem desconfiança
alguma o suposto “presente” dos gregos. Porém, esse método de enganação
pode assumir diferentes formas, o que nos leva ao próximo tópico.
51
Figura 24 – Engenharia Social: Linha do Tempo.
Tipos de Engenharia Social

Existem vários tipos de ataques de engenharia social, sempre
tentando usar situações humanas para induzir a pessoa a cometer algum
erro.
No caso dos engenheiros sociais, o “presente” pode ser dado de

diferentes maneiras e em distintos pacotes.
Figura 24 – Engenharia Social - “O Presente”.
52
Phishing
Nos últimos anos a pescaria se tornou um dos esportes mais
praticados nos meios digitais – mas não de peixes, de pessoas. Isso porque
o Phishing, uma estratégia de ciberataque utilizada com frequência por
criminosos cibernéticos, tem feito diversas vítimas no mundo.
Essa prática consiste em conduzir pessoas por meio de fraudes, a

realizar uma ação – normalmente, um download de um arquivo malicioso e
aparentemente legítimo, por onde malwares são introduzidos na máquina
da vítima. As iscas são dadas por e-mails, SMS, links suspeitos, promoções
falsas, entre outros. As mais comuns são campanhas por e-mail que atingem
especialmente funcionários de empresas.
Segundo um estudo feito pela Kaspersky, o Brasil foi líder mundial

em phishing em 2020, ficando à frente de Portugal, França, Tunísia e Guiana
Francesa. O levantamento também mostrou que cerca de 20% dos
brasileiros tentaram acessar links de phishing pelo menos uma vez no ano.
Smishing
“Parabéns! Você foi premiado! Nunca mais precisará se preocupar
com custos por ligações e internet móvel, pois você acaba de receber
R$10.000,00 em créditos! Para obtê-los, basta clicar no link abaixo...”
O trecho acima é uma das milhares mensagens de texto enviadas

por SMS para a prática do Smishing, que seguindo a mesma lógica do
Phishing, explora a ingenuidade e o descuido das vítimas. Ao abrirem o link
indicado, abre-se também um caminho pelo qual o equipamento da vítima
poderá ser infectado por malwares e por onde dados sigilosos poderão ser
roubados.
Vishing
É a versão verbal do phishing, usada em ligações telefônicas.
Usualmente, o golpista utiliza disfarces e cria pretextos para obter os dados
53
da vítima no outro lado da linha (como no exemplo do tópico sobre
pretextings).
Além disso, o Vishing costuma iniciar de onde o Phishing parou. Eis

que você procura, por exemplo, por soluções para um problema no software
com o qual trabalha. Depois de algumas pesquisas, encontra um técnico de
informática que pode lhe ajudar por um valor razoável (foi o mais barato que
você encontrou). O portal aparenta ser de procedência duvidosa, mas você
acessa os links sem se importar com isso.
A sua interação com os links no portal aciona a atenção do

cibercriminoso que, depois, conversa com você por ligação e lhe convence a
fornecer dados do cartão de crédito para pagar o serviço prestado. O
indivíduo desaparece e, dias depois, você percebe que foi vítima de um golpe.
Quid pro quo

Quid pro quo é uma expressão latina que significa "tomar uma coisa
por outra". No contexto de Segurança da Informação é o ciberataque em que
a vítima é levada a acreditar em uma mentira, como de que o computador
dela foi infectado com um malware, por exemplo. Então, uma “solução” para
o suposto problema é oferecida, induzindo a vítima a baixar o malware do
invasor.
Baiting
Eis que, inesperadamente, um sujeito tem a sorte grande de receber
um incrível prêmio pelo e-mail: um material exclusivo – que ele não solicitou
- sobre uma pesquisa de mercado com dados muito interessantes – de um
remetente que ele não conhece. Basta fazer download do arquivo, sem
estresse e sem burocracia.
Sorte? Ou devo dizer azar? Ele foi vítima de um ataque Baiting!
54
Normalmente, essa técnica explora a curiosidade da vítima,
presenteando-lhe com arquivos que, no fim das contas, nada mais eram que
uma farsa, uma porta de entrada para malwares se instalarem no
equipamento da pessoa.
Pretexting
Duas pessoas conversam ao telefone. De um lado da linha, o
atendente explica que o cartão de crédito da pessoa com quem está falando
foi clonado e utilizado para uma compra de R$ 3.000,00. O proprietário do
cartão fica em choque. Rapidamente, o atendente oferece uma solução
imediata: “passe seus dados bancários e cancelaremos em apenas alguns
minutos a compra realizada no seu nome”.
Algo lhe soa estranho nessa história? Provavelmente sim. Conhecida

como “Pretexting”, essa técnica tem sido utilizada com frequência em
diversos golpes. O objetivo do golpista é criar um cenário que funcione como
pretexto para obter informações confidenciais da vítima.
Sextorsão
A Sextorsão, de acordo com o portal SaferNet, “é a ameaça de se
divulgar imagens íntimas para forçar alguém a fazer algo – ou por vingança,
ou humilhação ou para extorsão financeira. É uma forma de violência grave,
que pode levar a consequências extremas”.
Esse tipo de crime cibernético é realizado por meio de

relacionamentos on-line. A vítima é estimulada a ter conversas de conotação
sexual e levada a compartilhar imagens íntimas, utilizadas depois contra ela
para a extorsão de dinheiro ou outros para outros fins.
Dumpster diving
Também conhecido como Trashing, o Dumpster diving ocorre
quando criminosos vasculham o lixo da empresa em busca de informações
sigilosas que possam lhe dar alguma oportunidade de obter dinheiro por
55
meio de extorsão, roubo ou golpe. Em função disso, muitas organizações
picam todos os documentos antes de os descartar.
Shoulder surfing
Traduzido do inglês como “surfar no ombro”, essa prática é muito
usada por golpistas que, por trás das vítimas, vigiam dados utilizados para
acessar contas bancárias, e-mails, ou usar cartões de crédito. Como
precaução contra isso, sempre verifique se há algum desconhecido atrás de
você ao utilizar senhas e logins, principalmente em espaços públicos. Se
você costuma trabalhar em shoppings, cafés ou coworkings, é algo para se
atentar.
Tailgating
Há um motivo lógico para que alguns ambientes de uma organização
tenham controle de acesso: é uma prevenção contra o contato de pessoas
não-autorizadas com informações confidenciais. Contudo, já aconteceram
casos em que criminosos se passaram por colaboradores com autorização,
passando pelo complexo de segurança sem ser detectado e tendo acesso a
diversos dados sigilosos. Essa atividade é conhecida como Tailgating.
Para se proteger disso é necessário reforçar o esquema de

segurança da empresa. Uma boa sugestão é a identificação biométrica ou
por íris, que inutiliza os cartões de acesso em crachás (materiais que podem
ser roubados com facilidade).
56
Figura 25 – Engenharia Social.
Fonte: Valuehost.
Como se Proteger da Engenharia Social

É difícil se defender da engenharia social, já que essas fraudes são
feitas para explorar impulsos e erros humanos, que não são tão simples de
arrumar quanto uma atualização de software. Porém, existem várias dicas
que podem ajudar você a melhor identificar e se prevenir de tentativas de
golpe. Na maioria das vezes são procedimentos para checar a veracidade das
informações recebidas, um processo necessário e importante.
Confira a fonte
Recebeu um e-mail de uma empresa? Cheque o remetente. Achou
uma unidade USB do nada em sua mesa? Tente traçar a origem do
dispositivo antes de o conectar em seu computador. Checar a fonte é um
processo que não demanda muito esforço e que pode poupar muito estresse
no futuro.
Até pequenos detalhes, como erros ortográficos em uma suposta

comunicação oficial de um banco, podem levantar suspeitas, então fique de
olho. Em último caso, entre em contato por telefone ou outro meio legítimo
com quem supostamente está pedindo algo. Suas dúvidas com certeza
serão sanadas e você permanecerá seguro.
57
Veja o que eles sabem sobre você
Você recebeu um telefonema do banco e ele não começou com o
atendente fazendo perguntas de segurança, mas sim perguntando seu
nome ou algum outro dado pessoal? É bem possível que era um golpe. Até
comunicações por e-mail contam com pequenos detalhes para identificar
que são reais, como no caso da Nota Fiscal Gaúcha, que sempre tem uma
frase de segurança escolhida pelo usuário no cabeçalho do e-mail. A falta
dessas informações deve ser observada sempre.
Mantenha a calma
A engenharia social muitas vezes depende de um senso de urgência.
Em um exemplo fora do mundo digital, se você recebe um telefonema
falando que sua mãe foi sequestrada, sua primeira reação é ficar
desesperado. Porém, se você se acalma e entra em contato com ela, o
bandido perde toda a vantagem que tinha no golpe.
Os criminosos esperam que os seus alvos, tanto no mundo digital

quanto no real, não pensem muito no que está acontecendo. Se você
conseguir manter a calma e procurar, por exemplo, pelo contato oficial da
empresa que está supostamente entrando em contato com você, você verá
com facilidade como é fácil quebrar os objetivos dos criminosos.
Peça identificação
Recebeu um telefonema que de cara já está pedindo várias
informações pessoais? Pergunte com quem o telefonista trabalha e qual o
nome dele, ou desligue e vá entrar em contato com os números oficiais da
instituição. Não aceite de cara os questionamentos, trate com cuidado os
seus dados e sempre investigue o que realmente está acontecendo.
Use um bom filtro de spam

Sempre confira se seu e-mail está com um bom filtro de spam. Vários
filtros usam diversos tipos de informação para determinar quais mensagens
58
podem ser maliciosas. Eles também contam com um banco de dados que
permite identificar links suspeitos ou anexos perigosos, além de possuírem
uma lista de IP de remetentes suspeitos, que são automaticamente
bloqueados caso cheguem na sua caixa de entrada.
Proteja seus dispositivos

Como dito no começo dessa sessão, se defender de ataques de
engenharia social não é um processo fácil. Porém, caso você caia em um, se
seus dispositivos estiverem com antivírus em dia e com as atualizações de
software mais atuais, o impacto de uma invasão pode ser diminuído. Além
disso, evite usar a mesma senha em todas as contas. Se as credenciais forem
variadas, no caso de um vazamento ocorrer, menos informações ou acessos
estarão comprometidos. Também faça uso da autenticação de dois fatores
para que só a senha não seja o suficiente para acessar os serviços.
Pense na sua presença digital

Vivemos em uma época onde as pessoas compartilham muitas
informações nas redes sociais, e isso pode ser perigoso. Bancos e outras
instituições podem usar como uma pergunta de segurança para recuperação
da conta algo como “nome do primeiro animal de estimação”. Se você
compartilhou esse dado no Instagram, é possível que os criminosos saibam
a resposta e a usem para invadir suas contas. Alguns ataques de engenharia
social também tentam ganhar sua confiança usando eventos recentes
compartilhados em redes sociais para chamar sua atenção.
As recomendações gerais para evitar essas situações são para

sempre checar a privacidade das redes sociais, deixando as postagens
configuradas para “apenas amigos” e tomar cuidado com o que está sendo
publicado na internet. Essa cautela deve ser expandida para várias outras
situações on-line, como um currículo digital, onde é uma boa opção esconder
endereço, número de telefone e data de nascimento, para que essas
informações não sejam de acesso público.
59
6
Capítulo 6. Introdução a Cloud Computing
Definição de Cloud Computing
Cloud Computing (Computação em nuvem) é um termo coloquial
para a disponibilidade sob demanda de recursos do sistema de computador,
especialmente armazenamento de dados e capacidade de computação, sem
o gerenciamento ativo direto do utilizador. O termo geralmente é usado para
descrever centros de dados disponíveis para muitos utilizadores pela
Internet.
A definição aceita amplamente para cloud computing foi

estabelecida pelo NIST (National Institute of Standards and Technology)
em uma publicação especial:
A ABNT ISO/IEC 17788 fornece uma visão de cloud computing

acompanhada de um conjunto de termos e definições. Nesta norma é
fornecida a seguinte definição:
61
A nuvem (cloud) é o nome genérico dado à computação em
servidores disponíveis na Internet a partir de diferentes provedores.
Figura 26 – Computação em Nuvem.
Fonte: Wikipédia.
Termos básicos associados à Cloud:
Figura 27 – Termos associados à Cloud.
Fonte: ABNT ISO/IEC 17788.
62
Características de Cloud Computing
De acordo com o NIST, o modelo de cloud computing tem 5
características essenciais, 3 modelos básicos de serviço e 4 modelos de
implantação:
As 5 características essenciais que distinguem a cloud computing de

outros modelos de computação, de acordo com a definição do NIST, são:
A definição de computação em nuvem do Instituto Nacional de

Padrões e Tecnologia (NIST), são “cinco características essenciais”:
63
 Autoatendimento sob demanda – Um consumidor pode utilizar
unilateralmente recursos de computação, como tempo de servidor e
armazenamento de rede, conforme necessário, automaticamente,
sem exigir interação humana com cada provedor de serviços.
 Amplo acesso à rede – Os recursos estão disponíveis na rede e são

acedidos por meio de mecanismos padrão que promovem o uso por
plataformas heterogêneas (por exemplo, telefones celulares,
tablets, notebooks e estações de trabalho).
 Pool de recursos – Os recursos de computação do provedor são

agrupados para atender a vários consumidores usando um modelo
de multilocação, com diferentes recursos físicos e virtuais atribuídos
e reatribuídos dinamicamente, de acordo com a demanda do
consumidor.
 Elasticidade rápida – Os recursos podem ser provisionados e

liberados elasticamente, em alguns casos automaticamente, para
escalar rapidamente para fora e para dentro de acordo com a
demanda. Para o consumidor, os recursos disponíveis para utilização
muitas vezes parecem ilimitados e podem ser apropriados em
qualquer quantidade e a qualquer momento.
 Serviço medido – Os sistemas em nuvem controlam e otimizam

automaticamente o uso de recursos, aproveitando um recurso de
medição em algum nível de abstração apropriado ao tipo de serviço
(por exemplo, armazenamento, processamento, largura de banda e
contas de utilizador ativas). O uso de recursos pode ser monitorado,
controlado e relatado, fornecendo transparência tanto para o
provedor quanto para o consumidor do serviço utilizado.
64
Modelos de Serviços de Cloud
Existem três principais modelos de serviço de acordo com o NIST:
SaaS – “Software as a Service” ou Software como Serviço (em

português): o software como um serviço oferece um produto completo,
executado e gerenciado pelo provedor de serviços. Na maioria dos casos as
pessoas que se referem ao software como um serviço estão se referindo às
aplicações de utilizador final. Com uma oferta de SaaS, não é necessário
pensar sobre como o serviço é mantido ou como a infraestrutura subjacente
é gerenciada, você só precisa pensar em como usará este tipo específico de
software. (ex.: Google Docs e Microsoft SharePoint Online).
Figura 28 – SaaS - Software as a Service.
Fonte: Heymel.
65
PaaS – “Platform as a Service” ou Plataforma como Serviço (em
português): dá aos desenvolvedores as ferramentas necessárias para criar e
hospedar aplicativos Web. A PaaS foi desenvolvida para proporcionar aos
utilizadores o acesso aos componentes necessários para desenvolver e
operar rapidamente aplicativos Web ou móveis na Internet, sem se
preocupar com a configuração ou gerenciamento da infraestrutura
subjacente dos servidores, armazenamento, redes e bancos de dados (ex.:
IBM Bluemix, Windows Azure e Jelastic).
A definição do NIST de computação em nuvem define Plataforma

como um serviço, como: a capacidade oferecida ao consumidor é
implementar na infraestrutura em nuvem os aplicativos criados, adquiridos
ou controlados pelo consumidor, criados usando linguagens de
programação, bibliotecas, serviços e ferramentas suportados pelo provedor.
O consumidor não controla a infraestrutura de nuvem subjacente, incluindo
rede, servidores, sistemas operacionais ou armazenamento, mas tem
controle sobre os aplicativos implantados e possivelmente configurações
para o ambiente de hospedagem de aplicativos.
Figura 29 – PaaS - Platform as a Service.
Fonte: Movidesk.
66
IaaS – “Infrastructure as a Service” ou Infraestrutura como Serviço
(em português). Este modelo algumas vezes é conhecido como Hardware
como um serviço ( HaaS ). É uma forma de entregar infraestrutura de
computação (servidores, storage, tecnologia de redes, balanceadores de
carga etc.) como um serviço sob demanda.
Em vez de comprar estes recursos, os clientes podem pagar pelo seu

uso.
Exemplos de provedores de IaaS:
 Amazon - Elastic Compute Cloud (EC2).
 RackSpace Cloud.
 GoGrid.
 Windows Azure.
 IBM Cloud.
 Google Compute Engine.
Características de Infraestrutura como um serviço (IaaS):
 Recursos de infra são distribuídos como serviço.
 Permite elasticidade dinâmica.
 O cliente não gerencia e controla a infraestrutura de cloud de

sustentação, mas tem controle sobre sistemas operacionais,
armazenamento, aplicativos instalados e algum controle limitado
sobre componentes de rede específicos.
 A vantagem é que o cliente pode instalar qualquer plataforma

requerida no servidor virtual contratado.
67
 Requer mais envolvimento do pessoal de TI interno para contratação
e configuração.
 É o modelo que permite menor dependência sob o fornecedor.
 Permite a virtualização de desktops (é um tipo de serviço oferecido).
Figura 30 – PaaS - Platform as a Service.
Fonte: Senasnerd.
Modelos de Implantação de Cloud

O modelo de implantação em nuvem se refere a forma em que a
computação em nuvem pode ser organizada, com base no controle e no
compartilhamento de recursos físicos ou virtuais.
Há quatro tipos de modelos de implantação que são geralmente

aceitos, com base no NIST: Cloud Pública, Cloud Privada, Cloud Híbrida e
Cloud Comunitária:
68
Figura 31 – Modelos de Implantação de Cloud.
Fonte: researchgate.
Cloud Privada – É o modelo de implantação de nuvem no qual os

serviços de nuvem são aquelas com uma infraestrutura construídas
exclusivamente para um cliente do serviço de nuvem e os recursos são
controlados por tal cliente do serviço de nuvem.
Diferentemente de um data center privado virtual, a infraestrutura

utilizada pertence ao utilizador e, portanto, ele possui total controle sobre
69
como as aplicações são implementadas na nuvem. Uma nuvem privada é, em
geral, construída sobre um data center privado.
Figura 32 – Cloud Privada.
Fonte: tiexames.
Principais características da Cloud Comunitária:
 Atende as 5 características essenciais de cloud computing.
 Oferece maior privacidade e segurança dos dados.
 O acesso aos serviços pode ser limitado à rede interna (intranet).
 Possibilita aproveitar investimentos já realizados em hardware,

software e espaço no data center.
 Otimiza o custo de recursos computacionais existentes, tais como

servidores.
 Facilita o cumprimento de regulamentos ou leis referentes à

privacidade de dados, que exigem que eles sejam armazenados
internamente, não podendo ser armazenados por um terceiro ou fora
do país.
 Oferece maior controle sobre o gerenciamento de serviços.
70
 O custo total de propriedade (TCO) é alto e geralmente proibitivo
para empresas de pequeno porte.
Cloud Pública – É o modelo de implantação de nuvem no qual os

serviços de nuvem estão disponíveis, potencialmente, a qualquer cliente do
serviço de nuvem e os recursos são controlados pelo provedor do serviço de
nuvem.
Geralmente, os provedores de serviços de nuvem pública, como o

Amazon Web Services (AWS), a Oracle, a Microsoft e o Google, possuem e
operam a infraestrutura em seus data centers e o acesso é geralmente feito
pela Internet. A AWS, Oracle, Microsoft e o Google, também oferecem
serviços de conexão direta chamados “AWS Direct Connect”, “Oracle
FastConnect”, “Azure ExpressRoute” e “Cloud Interconnect”,
respectivamente. Essas conexões exigem que os clientes comprem ou
concedam uma conexão privada a um ponto de “peering” oferecido pelo
provedor de nuvem.
Figura 33 – Cloud Pública.
Fonte: CentralServer.
Principais características da Cloud Pública:
 Compartilhamento de recursos (multi-inquilinos).
 Redução do TCO.
71
 Implantação mais rápida.
 Alta flexibilidade e escalabilidade (elasticidade).
Cloud Híbrida – A infraestrutura cloud é uma composição de duas

ou mais clouds (privada, comunitária ou pública). Também conhecida como
estratégia multicloud.
Requer a escolha de serviços específicos para a cloud privada ou

pública, balanceando:
 Segurança:
– Dados sigilosos podem não ir para a nuvem pública.
 Privacidade:
– Há regulamentos que impedem de armazenar dados de

clientes/usuários fora da empresa.
 Conformidade versus Preço:
– Certos serviços na nuvem pública podem ser mais

econômicos.
– Certos dados não podem ir para nuvem pública.
72
Figura 34 – Cloud Híbrida.
Fonte: CentralServer.
Cloud Comunitária – É o modelo de implantação de nuvem onde os

serviços de nuvem suportam de forma exclusiva e são compartilhados por
uma coleção específica de clientes do serviço de nuvem, que
compartilharam requisitos e relações entre si e onde os recursos são
controlados por pelo menos um dos membros desta coleção.
Exemplos: Instituições educacionais regionais ou nacionais ou

institutos de pesquisa, centros comunitários ou mesmo organizações
comerciais querendo compartilhar recursos de alta segurança para o
processamento de transações como empresas corretoras de valores
mobiliários.
73
Figura 35 – Cloud Comunitária.
Fonte: tiexames.
Principais características da Cloud Pública:
 Facilidade de compartilhar dados, plataformas e aplicativos.
 Menor TCO (os custos são compartilhados entre as empresas da

comunidade).
 Melhora desempenho, privacidade e segurança.
 Acesso e suporte 24/7.
 Contratos de serviço e suporte compartilhados.
 Possibilita economia de escala.
Principais Benefícios e Limitações da Cloud

A Cloud Computing possui diversos benefícios, como redução de
custos, maior agilidade, escalabilidade e alta disponibilidade, mas também
74
pode ter algumas limitações, como falhas de conexão com a Internet e
podem indisponibilizar os serviços.
 Benefícios da Cloud Computing:
 Limitações no uso da Cloud Computing:
75
7
Capítulo 7. Introdução a Comandos básicos de Linux
Introdução ao Linux
Sistema Operacional
O Sistema Operacional é a interface entre o usuário e seus
programas e o computador. Ele é responsável pelo gerenciamento de
recursos e periféricos (como memória, discos, arquivos, impressoras, CPU
etc.) e a execução de programas.
Ex.: Windows, Mac OS, Unix e Linux.
No Linux, o Kernel é o Sistema Operacional. Você poderá construí-lo

de acordo com a configuração de seu computador e os periféricos que
possui.
O que é o Linux?
O Linux é um sistema operacional criado em 1991 por Linus Torvalds
na universidade de Helsinky, na Finlândia. É um sistema Operacional de
código aberto distribuído gratuitamente pela Internet. Seu código-fonte é
liberado como Free Software (software gratuito), o aviso de copyright do
kernel, feito por Linus, descreve detalhadamente isso, sendo proibido fazer
a comercialização do sistema. Isso quer dizer que você não precisa pagar
nada para usar o Linux e não é crime fazer cópias para instalar em outros
computadores, nós inclusive incentivamos isso.
Ser um sistema de código aberto pode explicar a performance,

estabilidade e velocidade em que novos recursos são adicionados ao
sistema.
77
Figura 36 – Linux.
Fonte: YouTube.
Algumas características do sistema Linux:
 É de graça e desenvolvido voluntariamente por programadores

experientes, hackers, e contribuidores espalhados ao redor do
mundo, que tem como objetivo a contribuição para a melhoria e
crescimento deste sistema operacional.
 Convivem sem nenhum tipo de conflito com outros sistemas

operacionais (como DOS, Windows, OS/2) no mesmo computador.
 Multitarefa real.
 Multiusuário.
 Suporte a nomes extensos de arquivos e diretórios (255 caracteres).
 Conectividade com outros tipos de plataformas como Apple, Sun,

Macintosh, Sparc, Alpha, PowerPc, ARM, Unix, Windows, DOS etc.
 Utiliza permissões de acesso a arquivos, diretórios e programas em

execução na memória RAM.
 NÃO EXISTEM VÍRUS NO LINUX! Em 9 anos de existência, nunca foi

registrado NENHUM tipo de vírus para este sistema. Isso tudo
78
devido à grande segurança oferecida pelas permissões de acesso do
sistema que funcionam, inclusive, durante a execução de programas.
 O sistema de arquivos usados pelo Linux (Ext3) organiza os arquivos

de forma inteligente, evitando a fragmentação e fazendo-o um
poderoso sistema para aplicações multiusuários exigentes e
gravações intensivas.
 Suporte a diversos dispositivos e periféricos disponíveis no mercado,

tanto os novos como obsoletos.
 Entre muitas outras características que você descobrirá durante o

uso do sistema.
Hoje, o Linux é desenvolvido por milhares de pessoas espalhadas

pelo mundo, cada uma fazendo sua contribuição ou mantendo alguma parte
do kernel gratuitamente. Linus Torvalds ainda trabalha em seu
desenvolvimento, e também ajuda na coordenação entre os
desenvolvedores.
Primeiros Passos no Linux

Neste capítulo veremos os seguintes conceitos do Linux:
 Usuário.
 Grupo.
 Superusuário.
 Login (entrando no sistema).
 Logout (saindo do sistema).
 Shutdown/halt (desligando corretamente o sistema).
79
Usuário
Como o Linux foi concebido para que várias pessoas pudessem
utilizar os mesmos recursos presentes em uma única máquina, surgiu o
conceito de usuário para diferenciar o que cada pessoa está fazendo e quais
recursos ela está ocupando. O usuário é a identificação da pessoa que irá
utilizar o sistema.
A identificação do usuário é feita por um “número de identificação”

ou id, que é atribuído ao usuário durante a criação de sua conta no sistema.
Com a finalidade de garantir a integridade do trabalho de cada

usuário, impedindo que um usuário altere o trabalho de outro, no momento
de entrada no sistema você deve informar a senha do seu usuário. O nome
de usuário associado à senha é a sua “chave de entrada” no sistema,
portanto, deve ser guardada com cuidado.
Grupos
O Linux também possui o conceito de “grupo”. Um grupo é, como o
próprio nome diz, um agrupamento de vários usuários que devem
compartilhar algumas características em comum como, por exemplo,
permissões de acessos a arquivos e dispositivos.
Superusuário
O superusuário é aquele que tem plenos poderes dentro do Linux. É
o superusuário quem pode criar novos usuários, alterar direitos, configurar
e fazer a atualização do sistema. Somente ele tem direito de executar essas
atividades.
É recomendado utilizar a conta de superusuário somente quando for

necessário configurar algo no sistema. Ainda assim é recomendado utilizá-
la o mínimo possível para evitar que algum erro danifique o sistema.
80
Entrando e Saindo do Sistema
Ao iniciar o Linux, um prompt semelhante ao ilustrado a seguir será
mostrado:
 Linux (tty1)
 XPE login:
Informe o seu login/nome de usuário. A seguir será solicitada a

senha (Password) do usuário. Digite a senha do seu usuário.
Após informar o nome de usuário e a senha corretamente, você será

levado ao prompt do sistema:
 [aluno@XPE aluno]$
Obs.: o Linux tem terminais virtuais. Você pode alterar entre eles
utilizando as teclas Alt-Fn, onde n pode variar de 1 até 6 na configuração
padrão.
Pode-se utilizar o comando logout na linha de comando para se

desconectar do sistema:
 [aluno@XPE aluno]$ logout
Desligando o Sistema
A fim de evitar danos ao sistema de arquivos, é necessário que o
superusuário pare o sistema antes de desligar o computador. Um dos
comandos que podem ser utilizados é o comando shutdown. Este comando
permite tanto desligar quanto reiniciar o computador.
O comando shutdown -h now permite desligar o computador

imediatamente, enviando uma mensagem a todos os usuários que estão
utilizando o sistema:
 [aluno@XPE aluno]$ shutdown -h now
81
O comando shutdown -h -t 30 finaliza todos os processos e desliga
o computador dentro de 30 segundos, enviando a mensagem de aviso a
todos os usuários logados no sistema:
 [aluno@XPE aluno]$ shutdown -h -t 30 “Atenção: O sistema será

desligado dentro de 30 segundos”
O comando halt diz ao sistema que ele deverá desligar

imediatamente.
 [aluno@XPE aluno]$ halt
Para reinicializar o sistema, pode-se utilizar, além do comando

shutdown, o comando reboot:
 [aluno@XPE aluno]$ shutdown -r -t 30 “Atenção: O sistema será

reiniciado dentro de 30 segundos”
Esta opção finaliza todos os processos e reinicia o computador após

30 segundos.
 [aluno@XPE aluno]$ reboot
O comando reboot chama o comando shutdown e, ao final deste,

reinicia o sistema. Após executar os comandos, deve-se aguardar até que o
sistema esteja parado (com a mensagem: o sistema está parado ou Power
Down) para então poder desligar seu computador ou esperar que ele reinicie.
82
Figura 36 – Linux.
Fonte: Oráculo TI.
Gerenciamento de Arquivos e Diretórios

Será visto neste capítulo como criar, renomear, excluir e mover
arquivos e diretórios, bem como criar links.
Listando Arquivos
O comando ls mostra o conteúdo de um diretório. O formato do
comando é o seguinte:
 ls [ - l ] [ - a ] [ - F ] [dir]
Onde [-l] é o formato longo, e [-a] serve para mostrar todos os

arquivos, incluindo arquivos ocultos (os quais têm seu nome indicado por
um ponto). Existem várias outras opções, embora estas sejam mais usadas.
Finalmente, [-F] coloca no final dos nomes de arquivo um símbolo indicando
o seu tipo. Segue um exemplo do uso do ls a seguir:
83
 [aluno@XPE X11]$ ls
 LessTif bin doc etc fonts include lib man share
 [aluno@XPE X11]$
Um exemplo do uso do ls usando parâmetros:
 [aluno@XPE X11]$ ls -laF
drwxr-xr-x 11 root root 4096 Ago 27 2002 ./

drwxr-xr-x 22 root root 4096 Mar 22 2003 ../
drwxr-xr-x 3 root root 4096 Mar 22 2003 LessTif/
drwxr-xr-x 2 root root 8192 Jul 24 08:45 bin/
drwxr-xr-x 2 root root 4096 Jul 24 2003 doc/
drwxr-xr-x 4 root root 4096 Ago 27 2002 etc/
drwxr-xr-x 2 root root 4096 Mar 22 2003 fonts/
drwxr-xr-x 4 root root 4096 Mar 22 2003 include/
drwxr-xr-x 9 root root 4096 Jul 24 2003 lib/
drwxr-xr-x 7 root root 4096 Jul 24 2003 man/
drwxr-xr-x 15 root root 4096 Jul 24 08:45 share/
[aluno@XPE X11]$
No exemplo acima, como são nomes de diretórios, o parâmetro [-F]

adiciona uma barra indicando nome de diretório. O parâmetro [-l] coloca
várias informações sobre o arquivo (permissões, links, dono, grupo, tamanho,
data, hora e nome do arquivo).
Metacaracteres
Existem sinais, chamados metacaracteres, usados para facilitar a
utilização de comandos no Linux.
Quando se trabalha com os comandos de manipulação de arquivos,

frequentemente é útil empregarmos metacaracteres. Estes símbolos – como
84
*, ?, [], {} – são úteis para se referenciar arquivos que possuam
características em comum.
Para os exemplos dados nesta seção, será usada a seguinte lista de

arquivos:
 [aluno@XPE aluno]$ ls
12arquivo 1arquivo 2arquivo arquivo arquivo3 arquivo34

arquivo5arquivo
O asterisco “*”:
O asterisco é usado para representar “qualquer quantidade de
qualquer caractere”. Por exemplo, arquivo* retornaria todos os arquivos em
que o nome iniciasse com “arquivo”.
Veja o efeito da utilização prática deste metacaractere.
 [aluno@XPE aluno]$ ls arquivo*
arquivo arquivo3 arquivo34 arquivo5arquivo
O Ponto de Interrogação “?”:

O ponto de interrogação é utilizado para representar “um único e
qualquer caractere”. Ao digitar ls arquivo?, o usuário estará pedindo a lista
de arquivos cujos nomes são indicados por “arquivo” e terminal com um
único caractere qualquer. Como no exemplo que segue:
 [aluno@XPE aluno]$ ls arquivo?
arquivo3
Agora digitando ls ??arquivo o resultado seria:
12arquivo
85
Os colchetes “[]”:
Os colchetes são utilizados para indicar uma lista de caracteres. Para
entender melhor, verifique os exemplos.
 [aluno@XPE aluno]$ ls arquivo[123]
arquivo3
 [aluno@XPE aluno]$ ls [123]arquivo
1arquivo 2arquivo
As chaves “{}”:
As chaves têm sua utilização muito assemelhada a dos colchetes. A
diferença está na possibilidade de referenciar sequências de caracteres
separadas por vírgulas, conforme o exemplo a seguir:
 [aluno@XPE aluno]$ ls arquivo{1,34}
arquivo34
 [aluno@XPE aluno]$ ls arquivo{1,2,3,34}
arquivo3 arquivo34
Estrutura de Diretórios
O sistema Linux possui a seguinte estrutura básica de diretórios:
 /bin
Contém arquivos/programas do sistema que são usados com

frequência pelos usuários.
 /boot
Contém arquivos necessários para a inicialização do sistema.
 /dev
86
Contém arquivos usados para acessar dispositivos (periféricos)
existentes no computador.
 /etc
Arquivos de configuração de seu computador local.
 /home
Diretórios contendo os arquivos dos usuários.
 /lib
Bibliotecas compartilhadas pelos programas do sistema e módulos

do kernel.
 /mnt
Ponto de montagem temporário.
 /usr
Contém maior parte de seus programas. Normalmente acessível

somente como leitura.
 /var
Contém maior parte dos arquivos que são gravados com frequência
pelos programas do sistema, e-mails, spool de impressora, cache etc.
 /sbin
Diretório de programas usados pelo superusuário (root) para

administração e controle do funcionamento do sistema.
87
Criando Diretórios
O comando mkdir é usado para criar diretórios. A sintaxe do
comando é a mostrada a seguir:
 mkdir [parâmetros] nome_dir
A linha de comando a seguir cria um diretório:
 [aluno@XPE aluno]$ mkdir meu_diretorio
O comando também pode ser usado para criar uma árvore de

diretórios, como mostrado a seguir:
 [aluno@XPE aluno]$ mkdir -p meu_dir/meu_sub_dir/sub_sub_dir
O comando anterior cria um diretório chamado meu_dir, e dentro

dele cria um subdiretório chamado meu_sub_dir e, dentro deste, um
subdiretório chamado sub_sub_dir.
Também é possível criar vários diretórios em simultâneo;

simplesmente colocando vários nomes de diretórios junto com o comando,
como apresentado a seguir:
 [aluno@XPE aluno]$ mkdir dir_1 dir_2 dir_3
O comando anterior criará os diretórios dir_1, dir_2 e dir_3 dentro do

diretório atual.
Removendo Diretórios
O comando rmdir é usado para remover diretórios. Por exemplo: para
remover o diretório meu_dir, basta digitar o seguinte comando:
 [aluno@XPE aluno]$ rmdir meu_dir
O comando também pode remover árvores de diretórios. Para tal,

utiliza-se o parâmetro [-p ], como mostrado a seguir:
88
 [aluno@XPE aluno]$ rmdir -p temp/sub_dir/sub_dir_2
O comando anterior apagou o subdiretório sub_dir_2, depois apagou

o subdiretório sub_dir e finalmente apagou o temp.
Porém, o comando remove diretórios e não arquivos; se existir algum

arquivo dentro do diretório este não será removido. Para conseguir remover
diretórios com arquivos, deve-se utilizar em conjunto o comando rm, que
será visto mais adiante.
Copiando Arquivos
O comando cp é utilizado para efetuar a cópia de arquivos no Linux,
sua sintaxe é mostrada a seguir:
 cp [parametros] arquivo_original [destino]
Observações importantes relativas à cópia de arquivos:
 Copiar um arquivo para outro diretório onde já existe outro arquivo

com mesmo nome: o arquivo será sobrescrito.
 Copiar um arquivo para outro diretório que, por sua vez, possui um
diretório com mesmo nome do arquivo a ser copiado: não é
permitido, pois no Linux um diretório também é um arquivo.
 Copiar um arquivo especificando como arquivo destino outro nome:

o arquivo será renomeado durante a cópia.
Iniciando pela forma mais simples do comando, ou seja, copiar um

arquivo para um novo arquivo. O comando pode ser visto a seguir:
89
 [aluno@XPE aluno]$ cp doc.txt documento.txt
Neste caso ocorre a criação do arquivo documento.txt a partir do

arquivo doc.txt. Também é possível copiar para outro local como será
mostrado a seguir:
 [aluno@XPE aluno]$ cp doc.txt /tmp
Como não foi mencionado o nome do arquivo de destino, será criado

um arquivo com o mesmo nome do atual, é sempre bom ter um pouco de
cuidado no uso do comando cp, para tal será usado o parâmetro -i. A menos
que se utilize essa opção, o comando cp irá sobrescrever os arquivos
existentes, como pode ser visto a seguir:
 [aluno@XPE aluno]$ cp -i doc.txt /tmp
cp: sobrescrever `/tmp/doc/txt`? y
Um método mais seguro seria usar o parâmetro -b (backup); então,

quando o cp encontra um arquivo com o mesmo nome, cria uma cópia
acrescentando um “~” ao nome do arquivo. Como pode-se observar a seguir:
 [aluno@XPE aluno]$ cp -b doc.txt /tmp
 [aluno@XPE aluno]$ ls /tmp/doc.txt*
doc.txt doc.txt~
Também é possível copiar vários arquivos simultaneamente; para tal,

basta colocar os nomes dos arquivos a copiar logo depois do comando, como
mostrado a seguir:
 [aluno@XPE aluno]$ cp arq_1 arq_2 arq_3 arq_4 dir_1
Vale lembrar que o último nome na cadeia é o destino, ou seja, os

arquivos arq_1, arq_2, arq_3 e arq_4 são copiados para o diretório dir_1.
90
Mover ou Renomear
As habilidades para mover e renomear arquivos no Linux são básicas
para organizar informações no sistema. A seguir será apresentado como
fazê-lo utilizando o comando mv. O formato básico do comando é mostrado
a seguir:
 mv arquivo destino.
O comando mv é basicamente usado para mover um arquivo dentro

do sistema de arquivos do Linux.
 [aluno@XPE aluno]$ mv documento.txt /tmp
O comando anterior move o arquivo documento.txt para o diretório

/tmp. É possível também usar o comando para renomear arquivos, como
mostrado no exemplo a seguir:
 [aluno@XPE aluno]$ mv doc.txt documento.txt
Para não sobrescrever arquivos, deve-se utilizar o parâmetro -i, como

mostrado a seguir:
 [aluno@XPE aluno]$ mv -i doc.txt documento.txt
mv: sobrescrever `documento.txt`? y
 [aluno@XPE aluno]$ ls documento*
documento.txt documento.txt~
Também é possível renomear um arquivo durante a movimentação

dele:
 [aluno@XPE aluno]$ mv documento.txt /tmp/documento-2.txt
No exemplo a seguir será movido um diretório:
91
 [aluno@XPE aluno]$ mv dir_1 dir_2
O comando acima move toda a árvore do dir_1 para dentro do dir_2.

Caso o dir_2 não exista, o dir_1 será renomeado para dir_2.
Removendo Arquivos
O comando rm (remove) é usado para remover arquivos e diretórios.
É possível remover vários arquivos simultaneamente, bastando para tal
colocar o nome dos arquivos a remover logo depois do comando. O formato
básico do comando é mostrado a seguir:
 rm [parametros] arquivo
Como primeiro exemplo será emitido um comando para apagar o

arquivo documento.txt.
 [aluno@XPE aluno]$ rm documento.txt
É também possível remover vários arquivos listados logo após o

comando. Por exemplo:
 [aluno@XPE aluno]$ rm documento.txt doc.txt documento-2.txt
A maneira mais segura de se usar o comando rm é com o parâmetro

-i, ou seja, é solicitada uma confirmação para cada arquivo a apagar.
 [aluno@XPE aluno]$ rm -ri /tmp
No comando anterior, além de se usar o parâmetro -i foi também

usado o parâmetro -r (recursivo), isto remove todos os arquivos do diretório
/tmp de forma recursiva. Já o parâmetro -i irá pedir uma confirmação para
cada arquivo a ser apagado.
Caso não seja necessária uma confirmação, pode-se forçar a

remoção de toda a árvore de diretórios; para tal utiliza-se o parâmetro -f.
92
 [aluno@XPE aluno]$ rm -rf /tmp
O que ocorre é a remoção total do diretório e de todos os seus subdiretórios.
Lembre-se de evitar o uso do comando rm desnecessariamente

quando estiver trabalhando como root, ou seja, superusuário, para prevenir
que arquivos necessários ao sistema sejam apagados acidentalmente.
É possível utilizar o comando com metacaracteres, conforme

mostrado a seguir:
 [aluno@XPE aluno]$ rm *.txt *.doc
Permissões de Arquivos
Conceitos
Este capítulo trata do sistema de direitos de acesso aos arquivos do
Linux, incluindo também informações de como alterar estes direitos.
O sistema de arquivos do Linux possibilita que sejam atribuídos

direitos de acesso diferenciados para os usuários do sistema. A cada arquivo
ou diretório do sistema é associado um proprietário, um grupo e seus
respectivos direitos de acesso ou permissões. O método mais simples e
comum de verificar esses atributos de um arquivo é através do comando ls,
como exemplificado a seguir:
 [aluno@XPE aluno]$ ls -l documento.txt
-rw-r--r-- 4 aluno grupo01 36720 Jun 2 14:25 documento.txt
O dono do arquivo no exemplo citado é o usuário aluno e o grupo a

que está relacionado o arquivo é o grupo01. A primeira informação retornada
por esta listagem é um conjunto de caracteres, o qual indica o tipo do
arquivo e as permissões de acesso ao mesmo. O caractere inicial indica o
tipo de arquivo, a tabela abaixo mostra os tipos de arquivos existentes:
93
Os demais nove caracteres, divididos em três grupos de três
caracteres cada, definem as permissões do dono do arquivo, dos membros
do grupo a que está relacionado o arquivo e de outros usuários,
respectivamente. As permissões de acesso aos arquivos são representadas
pelas letras r, w e x, conforme detalhado na tabela abaixo:
Observe novamente os atributos do arquivo anteriormente citado:
-rw-r--r-- 4 aluno grupo01 36720 Jun 2 14:25 documento.txt
Para esse arquivo, o usuário aluno possui permissões de leitura e

escrita, os membros do grupo grupo01, assim como os demais usuários,
possuem apenas permissões de leitura.
Utilizando o chmod
O comando chmod permite que se altere as permissões de um ou
mais arquivos. Existem duas notações para se aplicar o comando: o modo
simbólico e o octal. Somente o superusuário ou o dono do arquivo podem
executar esta operação. Veja a sintaxe do comando abaixo:
 chmod [opções] arquivos
94
Uma das opções mais usadas no chmod é a opção -R que permite
que se altere recursivamente as permissões de arquivos e diretórios.
No modo simbólico, deve ser indicado quem será afetado (u, g, o, a)

e qual ou quais permissões serão concedidas ou suprimidas, conforme as
tabelas abaixo.
A segunda forma de alterar permissões consiste em definir uma

sequência de três algarismos octais. Ela é mais utilizada quando se deseja
alterar permissões. Cada algarismo se refere a um grupo de permissões (u,
g, o).
Para facilitar o seu entendimento, associamos um valor decimal com

cada permissão, conforme tabela abaixo:
Para se obter o octal referente às permissões selecionadas, se deve

executar uma operação de soma entre elas. Veja abaixo um exemplo de
definição simbólica de permissões:
 [aluno@XPE aluno]$ chmod u+rw, g+x documento.txt
95
Nesse caso, são concedidas permissões de leitura e gravação ao
dono, e execução ao grupo para o arquivo documento.txt. Exemplo de
definição octal de permissões:
 [aluno@XPE aluno]$ chmod 651 documento.txt
Neste exemplo será concedida permissão de leitura e gravação ao

dono (rw- =4+2 conforme tabela de octais), leitura e execução para o grupo
(r-x = 4+1), e execução para qualquer outro (--x = 1).
Permissões Padrão (umask)

umask é o comando que define as permissões padrão dos arquivos
quando são criados pelo usuário. Veja a sintaxe abaixo:
 umask [opções] modo
O parâmetro modo informa as permissões que serão dadas ao

usuário/grupo/outros. Ele pode ser informado de duas maneiras:
 Como um número octal (022)
 Como uma máscara semelhante à utilizada pelo comando chmod

(u=rwx, g=rx, o=rx)
Desta maneira é possível controlar automaticamente as permissões

dos arquivos que são criados pelo usuário.
Utilizando chown
Veja a sintaxe do comando abaixo:
 chown [novo_proprietário][:novo_grupo] arquivos
O comando chown permite ao root a alteração do dono e do grupo

relacionado ao arquivo, ou arquivos, selecionados. Em casos especiais, o
usuário pode alterar o grupo caso ele pertença tanto ao grupo de origem
como ao grupo de destino. Exemplos:
96
 [aluno@XPE aluno]$ chown :grupo02 documento.txt
Altera o grupo do arquivo documento.txt para grupo02.
 [aluno@XPE aluno]$ chown aluno:grupo02 documento.txt
Altera o dono do arquivo documento.txt para aluno e o grupo do

mesmo para grupo02.
Gerenciamento de Contas de Usuários

Um bom gerenciamento do sistema, com o uso das ferramentas
administrativas adequadas, torna-o estável e seguro, mantendo-o dentro
dos padrões esperados em qualquer área de atuação.
Contas de Usuário
O Linux é um sistema operacional multiusuário, portanto é
necessário que todos os usuários sejam cadastrados e tenham permissões
de acesso diferenciados, é possível também cadastrá-los em grupos para
facilitar o gerenciamento. Neste tópico serão abordados justamente estes
aspectos do Linux e os comandos necessários para a administração do
sistema.
Primeiramente será visto como é possível criar os usuários.
O comando useradd ou adduser

O comando useradd ou adduser permite que se crie usuários
especificados em opções. Somente o superusuário poderá utilizar este
comando. Veja abaixo a sua sintaxe:
 useradd [opções] [usuário]
Este comando altera os seguintes arquivos:
 /etc/passwd – informações de contas de usuários
97
 /etc/shadow – informações de contas de usuários e senhas
criptografadas
 /etc/group – informações de grupos
Exemplo:
 [aluno@XPE aluno]$ useradd -d /home/aluno01 aluno1
Cria o usuário aluno1 e designa o diretório /home/aluno01 como

diretório pessoal deste.
 [aluno@XPE aluno]$ useradd -g turma -d /home/aluno02 aluno2
Cria o usuário aluno 2, pertencendo ao grupo turma, e designa

/home/aluno 02 como diretório pessoal.
O Comando passwd
O comando passwd permite que se troque a senha de determinado
usuário. O superusuário pode trocar a senha de qualquer outro. O usuário
comum, porém, pode trocar somente a sua senha. As senhas são
armazenadas no arquivo /etc/shadow, e as demais informações dos usuários
são armazenadas no arquivo /etc/passwd.
Após a criação do usuário será necessário criar uma senha para este,
caso contrário não será permitido que este usuário faça login no sistema.
Para tal, deve-se utilizar o comando passwd.
Sintaxe: passwd [usuário]
98
Exemplos:
 O superusuário irá alterar a senha do usuário aluno1: [root@XPE

root]$ passwd aluno1
 O usuário aluno1 irá alterar sua senha: [aluno@XPE aluno]$ passwd
O Comando userdel
O comando userdel permite que se elimine usuários do sistema.
Somente o superusuário poderá utilizar este comando. Veja abaixo sua
sintaxe:
 userdel [opções] [usuário]
Exemplo – elimina a conta do usuário aluno1:
 [aluno@XPE aluno]$ userdel aluno1
O Comando groupadd ou addgroup

Para facilitar a administração do sistema, pode-se usar o conceito de
grupos de usuários com perfis semelhantes. Por exemplo, definir grupos
conforme os departamentos de uma empresa. Para isto, precisa-se criar
estes grupos através do comando groupadd ou addgroup.
Sintaxe: groupadd [opções] grupo
Exemplo - Criar o grupo alunos: [root@XPE root]$ groupadd alunos
O Comando gpasswd
O comando gpasswd é utilizado para administrar o arquivo
/etc/group (e o arquivo /etc/gshadow, caso seja compilado com
SHADOWGRP). Todos os grupos podem ter administradores, membros e
uma senha. O administrador do sistema pode usar a opção -A para definir o
administrador do grupo e -M para definir os membros e todos os seus
direitos, assim como os do administrador. Veja a sintaxe abaixo:
99
 gpasswd grupo
 gpasswd -a usuário grupo
 gpasswd -d usuário grupo
 gpasswd -R grupo
 gpasswd -r grupo
 gpasswd [-A usuário,...] [-M usuário,...] grupo
Administradores de grupos podem adicionar e excluir usuários

utilizando as opções -a e –d, respectivamente. Administradores podem usar
a opção -r para remover a senha de um grupo. Quando não há senhas
definidas para um grupo, somente os membros do grupo podem usar o
comando newgrp para adicionar novos usuários ao grupo. A opção -R
desabilita o acesso ao grupo através do comando newgrp.
O gpasswd executado pelo administrador do grupo, seguido pelo

nome, solicitará a senha do grupo. Caso o comando newgrp esteja habilitado
para outros usuários do grupo sem o uso de senha, não-membros do grupo
podem também executar o comando, informando, entretanto, a senha do
grupo.
Verificando informações do usuário

Uma vez criados os usuários e grupos no sistema, utilizamos o
comando id para verificar informações sobre os usuários do sistema. Ele nos
fornece dados como a identificação do usuário no sistema (UID) e os grupos
aos quais o usuário está associado (GID). Veja a sintaxe abaixo:
 id [opções] [nome]
Utilizado sem nenhuma opção, o comando id retorna os dados do

usuário corrente.
100
 [aluno@XPE aluno]$ id
uid = 790(aluno) gid = 790(aluno) grupos = 790(aluno)
Quando informamos o nome de um usuário como opção, ele nos

retorna as informações do usuário indicado.
 [aluno@XPE aluno]$ id root
uid = 0(root) gid = 0(root) grupos = 0(root), 1(bin), 2(daemon), 3(sys), 4
(adm), 6(disk), 10(wheel)
Lista de Comandos Importantes do Linux

Numa manutenção de rotina usa-se os comandos em momentos de
monitoração e (ou) urgência:
 ls: lista todos os arquivos do diretório.
 df: mostra a quantidade de espaço usada no disco rígido.
 top: mostra o uso da memória.
 cd: acessa uma determinada pasta (diretório).
 mkdir: cria um diretório.
 rm: remove um arquivo/diretório.
 cat: abre um arquivo.
 vi: abre o editor vi (lê-se viai) para editar/criar arquivos.
101
Comandos de Controle e Acesso
 exit: terminar a sessão, ou seja, a shell (mais ajuda digitando man sh

ou man csh).
 logout: deslogar ou terminar a sessão atual, mas apenas na C shell

e na bash shell.
 passwd: mudar a password do nosso utilizador (usuário logado).
 rlogin: logar de forma segura em outro sistema Unix/Linux.
 ssh: sessão segura, vem de secure shell e permite-nos logar num

servidor remoto através do protocolo ssh.
 slogin: versão segura do rlogin.
 yppasswd: mudar a password do nosso utilizador nas páginas

amarelas (yellow pages).
Comandos de Comunicações
 mail: enviar e receber e-mails.
 mesg: permitir ou negar mensagens de terminal e pedidos de

conversação (talk requests).
 pine: outra forma de enviar e receber e-mails, uma ferramenta rápida

e prática.
 talk: falar com outros utilizadores que estejam logados no momento.
 write: escrever para outros utilizadores que estejam logados no

momento.
Comandos de Ajuda e Documentação
 apropos: localiza comandos por pesquisa de palavra-chave.
102
 find: localizar arquivos, como por exemplo: find . -name *.txt -print,
para pesquisa de arquivos de texto do diretório atual.
 info: abre o explorador de informações.
 man: manual muito completo, pesquisa informação acerca de todos

os comandos que necessitemos de saber, como por exemplo man
find.
 whatis: descreve o que um determinado comando é/faz.
 whereis: localiza a página de ajuda (man page), código-fonte ou

arquivos binários, de um determinado programa.
Comandos de Edição de Texto
 emacs: editor de texto screen-oriented.
 pico: editor de texto screen-oriented, também chamado de nano.
 sed: editor de texto stream-oriented.
 vi: editor de texto full-screen.
 vim: editor de texto full-screen melhorado (vi improved).
Comandos de Transferência de Arquivos
 ftp: vem de file transfer protocol e permite-nos, usando o protocolo

de transferência de arquivos ftp, transferir arquivos entre vários
hosts de uma rede, como a um servidor de ftp para enviar ou puxar
arquivos.
 rsync: sincroniza de forma rápida e flexível dados entre dois

computadores.
 scp: versão segura do rcp.
103
Web
 html2ps: conversor de html para os.
 latex2html: conversor de LaTeX para html.
 lynx: navegador web baseado em modo de texto, ou seja, é um web

browser que nos permite abrir todo o tipo de páginas visualizando
apenas os textos e links, não vendo assim as imagens, sendo por isso
bastante rápido, mas requere prática para ser manuseado.
 sitecopy: aplicação que nos permite manter fácil e remotamente

web sites.
 weblint: verificador de sintaxes e de estilos html.
Comandos de Gestão de Arquivos e Diretórios
 cd: mudar de diretório atual, como por exemplo cd diretório, cd .., cd

/.
 chmod: mudar a proteção de um arquivo ou diretório, como por

exemplo chmod 777, parecido com o attrib do MS-DOS.
 chown: mudar o dono ou grupo de um arquivo ou diretório, vem de

change owner.
 chgrp: mudar o grupo de um arquivo ou diretório.
 cmp: compara dois arquivos.
 comm: seleciona ou rejeita linhas comuns a dois arquivos

selecionados.
 cp: copia arquivos, como o copy do MS-DOS.
 crypt: encripta ou descripta arquivos (apenas CCWF).
104
 diff: compara o conteúdo de dois arquivos ASCII.
 file: determina o tipo de arquivo.
 grep: procura um arquivo por um padrão, sendo um filtro muito útil

e usado, por exemplo um cat a.txt | grep ola irá mostrar-nos apenas
as linhas do arquivo a.txt que contenham a palavra “ola”.
 gzip: comprime ou expande arquivo.
 ln: cria um link a um arquivo.
 ls: lista o conteúdo de uma diretório, semelhante ao comando dir no

MS-DOS.
 lsof: lista os arquivos abertos, vem de “list open files”.
 mkdir: cria uma diretório, vem de “make directory”.
 mv: move ou renomeia arquivos ou diretórios.
 pwd: mostra-nos o caminho por inteiro do diretório em que nos

encontramos em dado momento, ou seja, um pathname.
 quota: nos mostra o uso do disco e os limites.
 rm: apaga arquivos, vem de remove, e é semelhante ao comando del

no MS-DOS, é preciso ter cuidado com o comando rm *, pois apaga
tudo sem confirmação por defeito.
 rmdir: apaga diretório, vem de remove directory.
 stat: mostra o estado de um arquivo, útil para saber por exemplo a

hora e data do último acesso ao mesmo.
105
 sync: faz um flush aos buffers do sistema de arquivos, sincroniza os
dados no disco com a memória, ou seja, escreve todos os dados
presentes nos buffers da memória para o disco.
 sort: ordena, une ou compara texto, podendo ser usado para extrair
informações dos arquivos de texto ou mesmo para ordenar dados de
outros comandos como, por exemplo, listar arquivos ordenados pelo
nome.
 tar: cria ou extrai arquivos, muito usado como programa de backup

ou compressão de arquivos.
 tee: copia o input para um standard output e outros arquivos.
 tr: traduz caracteres.
 umask: muda as proteções de arquivos.
 uncompress: restaura um arquivo comprimido.
 uniq: reporta ou apaga linhas repetidas num arquivo.
 wc: conta linhas, palavras e até mesmo caracteres num arquivo.
Exibição ou Impressão de Arquivos
 cat: mostra o conteúdo de um arquivo, como o comando type do MD-

DOS, e é muito usado também para concatenar arquivos, como por
exemplo fazendo cat a.txt b.txt > c.txt” para juntar o arquivo
a.txtb.txt num único de nome c.txt.
 fold: encurta, ou seja, faz um fold das linhas longas para caberem no
dispositivo de output.
106
 head: mostra as primeiras linhas de um arquivo, como por exemplo
com head -10 a.txt, ou usado como filtro para mostrar apenas os
primeiros x resultados de outro comando.
 lpq: examina a spooling queue da impressora.
 lpr: imprime um arquivo.
 lprm: remove jobs da spooling queue da impressora.
 more: mostra o conteúdo de um arquivo, mas apenas um ecrã de

cada vez, ou mesmo output de outros comandos, como por exemplo
ls | more.
 less: funciona como o more, mas com menos features, menos

características e potenciais usos.
 page: funciona de forma parecida com o comando more, mas exibe

os ecrãs de forma invertida ao comando more.
 pr: página de um arquivo para posterior impressão.
 tail: funciona de forma inversa ao comando head, mostra-nos as

últimas linhas de um arquivo ou mesmo do output de outro
comando, quando usado como filtro.
 zcat: mostra-nos um arquivo comprimido.
 xv: serve para exibir, imprimir ou mesmo manipular imagens.
 gv: exibe arquivos ps e pdf.
 xpdf: exibe arquivos pdf, usa o gv.
Comandos de Notícias ou Rede
 netstat: mostra o estado da rede.
107
 rsh: um shell em outros sistemas UNIX.
 ssh: versão segura do rsh.
 nmap: poderoso port-scan, para visualizarmos portas abertas num

dado host.
 ifconfig: visualizar os ips da nossa máquina, entre outras funções

relacionadas com ips.
 ping: pingar um determinado host, ou seja, enviar pacotes icmp para

um determinado host e medir tempos de resposta, entre outras
coisas.
Comandos de Controle de Processos
 kill: mata um processo, como por exemplo kill -kill 100 ou kill -9 100
ou kill -9 %1.
 bg: coloca um processo suspenso em background.
 fg: ao contrário do comando bg, o fg traz de volta um processo ao

foreground.
 jobs: permite-nos visualizar jobs em execução, quando corremos

uma aplicação em background poderemos ver esse job com este
comando e terminá-lo com um comando kill - %1, se for o job número
1, por exemplo.
 top: lista os processos que mais cpu usam, útil para verificar que
processos estão a provocar um uso excessivo de memória e quanta
percentagem de cpu cada um usa em dado momento.
 ^y: suspende o processo no próximo pedido de input.
 ^z: suspende o processo atual.
108
Comandos de Informação de Estado
 clock: define a hora do processador.
 date: exibe a data e hora.
 df: exibe um resumo do espaço livre em disco.
 du: exibe um resumo do uso do espaço em disco.
 env: exibe as variáveis de ambiente.
 finger: pesquisa informações de utilizadores.
 history: lista os últimos comandos usados, muito útil para lembrar

também de que comandos foram usados para fazer determinada
ação no passado ou o que foi feito em dada altura.
 last: indica o último login de utilizadores.
 lpq: examina a spool queue.
 manpath: mostra a path de procura para as páginas do comando

man.
 printenv: imprime as variáveis de ambiente.
 ps: lista a lista de processos em execução, útil para saber o pid de

um processo para o mandar abaixo com o comando kill, entre outras
coisas.
 pwd: mostra-nos o caminho por inteiro do diretório em que nos

encontramos em dado momento, ou seja, um pathname.
 set: define variáveis da sessão, ou seja, da shell, na C shell, na bash

ou na ksh.
109
 spend: lista os custos ACITS UNIX até a data time mede o tempo de
execução de programas.
 uptime: nos diz há quanto tempo o sistema está funcional, quando

foi ligado e o seu uptime.
 w: nos mostra quem está no sistema ou que comando cada job está
a executar.
 who: nos mostra quem está logado no sistema.
 whois: serviço de diretório de domínios da Internet, permite-nos

saber informações sobre determinados domínios na Internet,
quando um domínio foi registado, quando expira etc.
 whoami: nos diz quem é o dono da shell.
Comandos de Processamento de Texto
 abiword: processador de Texto Open Source.
 addbib: cria ou modifica bases de dados bibliográficas.
 col: reverte o filtro a line feeds.
 diction: identifica sentenças com palavras.
 diffmk: marca diferenças entre arquivos.
 dvips: converte arquivos TeX DVI em arquivos PostScript.
 explain: explica frases encontradas pelo programa diction.
 grap: pré-processador pic para desenhar gráficos, usado em tarefas

elementares de análises de dados.
 hyphen: encontra palavras com hifens.
 ispell: verifica a ortografia de forma interativa.
110
 latex: formata texto em LaTeX, que é baseado no TeX.
 pdfelatex: para documentos LaTeX em formato pdf.
 latex2html: converter LaTeX para html.
 lookbib: encontra referências bibliográficas.
 macref: cria uma referência cruzada listando arquivos de macros

nroff/troff.
 ndx: cria uma página de indexação para um documento.
 neqn: formata matemáticas com nroff.
 nroff: formata texto para exibição simples.
 pic: produz simples imagens para troff input.
 psdit: filtra um output troff para a Apple LaserWriter.
 ptx: cria uma indexação permutada, mas não em CCWF.
 refer: insere referências de bases de dados bibliográficas.
 roffbib:f o run off de uma base de dados bibliográfica.
 sortbib: ordena uma base de dados bibliográfica.
 spell: encontra erros de ortografia.
 style: analisa as características superficiais de um documento.
 tbl: formata tabelas para nroff/troff.
 tex: formata texto.
 tpic: converte arquivos pic source em comandos TeX.
111
8
Capítulo 8. Servidores WEB, Banco de Dados e Firewall
Servidores WEB
Servidor web é um software responsável por aceitar pedidos em
HTTP de clientes, geralmente os navegadores, e servi-los com respostas em
HTTP, incluindo opcionalmente dados, que geralmente são páginas web, tais
como documentos em HTML com objetos embutidos (imagens etc.) ou um
computador que executa um programa que provê a funcionalidade descrita
anteriormente. O mais popular, e mais utilizado no mundo, é o servidor
Apache (software livre). A Microsoft possui a sua própria solução
denominada IIS (Internet Information Services).
Características
Os pedidos http, que se referem habitualmente a páginas em HTML,
são normalmente feitos através de navegadores.
O processo se inicia com a conexão entre o computador onde está

instalado o servidor web e o computador do cliente; como na web não é
possível prever a que hora se dará essa conexão, os servidores web precisam
estar disponíveis dia e noite.
A partir daí é processado o pedido do cliente e, conforme as

restrições de segurança e a existência da informação solicitada, o servidor
devolve os dados.
Genericamente tudo o que se enquadre no conceito de ficheiro pode

ser enviado como resultado de um pedido em HTTP.
Finalmente, os servidores web também podem executar programas

e scripts, interagindo mais com o usuário.
113
Páginas dinâmicas e estáticas
A origem do conteúdo enviado pelo servidor web numa resposta a
um pedido em HTTP pode ser:
 Estática: se vier diretamente de um ficheiro já existente no servidor.
 Dinâmica: se for criada dinamicamente por outro programa, script

ou API chamado pelo servidor.
No caso de uma página dinâmica, o pedido, depois de recebido, é

processado pelo servidor web que vai criar dinamicamente o conteúdo que
depois será enviado para o cliente.
As páginas dinâmicas têm a vantagem de poderem ser programadas,

ou seja, usando alguma linguagem de programação (que dependendo do
servidor web pode ser php, Java, Perl, Visual Basic .NET, C#, ...) podemos criar
programas que correm no servidor web, eventualmente acessando bases de
dados, cujo resultado é enviado para o browser.
Banco de Dados
O que é um Banco de Dados?
Um banco de dados é uma coleção organizada de informações – ou
dados – estruturadas, normalmente armazenadas eletronicamente em um
sistema de computador. Um banco de dados é geralmente controlado por
um sistema de gerenciamento de banco de dados (DBMS). Os dados e o
DBMS, juntamente com os aplicativos associados a eles, são chamados de
sistema de banco de dados, geralmente abreviados para apenas banco de
dados.
Os dados nos tipos mais comuns de bancos de dados em operação

atualmente. São modelados em linhas e colunas em uma série de tabelas
para tornar o processamento e a consulta de dados eficientes. Eles podem
ser facilmente acessados, gerenciados, modificados, atualizados,
114
controlados e organizados. A maioria dos bancos de dados usa a linguagem
de consulta estruturada (SQL) para escrever e consultar dados.
Evolução do Banco de Dados

Os bancos de dados evoluíram muito desde a sua criação no início
dos anos 1960. Bancos de dados de navegação, como o banco de dados
hierárquico (que se baseava em um modelo de árvore e permitia apenas um
relacionamento um-para-muitos), e o banco de dados de rede (um modelo
mais flexível que permitia múltiplos relacionamentos) eram os sistemas
originais usados para armazenar e manipular dados. Embora simples, esses
primeiros sistemas eram inflexíveis. Nos anos 1980, bancos de dados
relacionais tornaram-se populares, seguidos por bancos de dados
orientados a objetos na década de 1990.
Mais recentemente, bancos de dados NoSQL surgiram como uma

resposta ao crescimento da internet e à necessidade de maior velocidade e
processamento de dados não estruturados. Hoje, bancos de dados na nuvem
e bancos de dados autônomos estão abrindo novos caminhos quando se
trata de como os dados são coletados, armazenados, gerenciados e
utilizados.
O que é um sistema de gerenciamento de banco de dados (DBMS)?

Um banco de dados normalmente requer um programa abrangente
de banco de dados, conhecido como Sistema de Gerenciamento de Banco de
Dados (DBMS). Um DBMS serve como uma interface entre o banco de dados
e seus usuários finais ou programas, permitindo que os usuários recuperem,
atualizem e gerenciem como as informações são organizadas e otimizadas.
Um DBMS também facilita a supervisão e o controle de bancos de dados,
permitindo uma variedade de operações administrativas, como
monitoramento de desempenho, ajuste e backup e recuperação.
115
Alguns exemplos de softwares de bancos de dados populares ou
DBMSs incluem MySQL, Microsoft Access, Microsoft SQL Server, FileMaker
Pro, Oracle Database e dBASE.
Tipos de bancos de dados

Existem muitos tipos diferentes de bancos de dados. O melhor banco
de dados para uma organização específica depende de como a organização
pretende usar os dados.
Bancos de dados relacionais

Os bancos de dados relacionais se tornaram dominantes na década
de 1980. Os itens em um banco de dados relacional são organizados como
um conjunto de tabelas com colunas e linhas. A tecnologia de banco de
dados relacional fornece a maneira mais eficiente e flexível de acessar
informações estruturadas.
Bancos de dados orientados a objetos

As informações em um banco de dados orientado a objetos são
representadas na forma de objetos, como na programação orientada a
objetos.
Bancos de dados distribuídos

Um banco de dados distribuído consiste em dois ou mais arquivos
localizados em sites diferentes. O banco de dados pode ser armazenado em
vários computadores, localizados no mesmo local físico ou espalhados por
diferentes redes.
Data Warehouses
Um repositório central de dados, um Data Warehouse, é um tipo de
banco de dados projetado especificamente para consultas e análises
rápidas.
116
Bancos de dados NoSQL
Um NoSQL, ou banco de dados não relacional, permite que dados
não estruturados e semiestruturados sejam armazenados e manipulados
(em contraste com um banco de dados relacional, que define como todos os
dados inseridos no banco de dados devem ser compostos). Os bancos de
dados NoSQL se tornaram populares à medida que os aplicativos web se
tornaram mais comuns e mais complexos.
Bancos de dados em nuvem

Um banco de dados em nuvem é uma coleção de dados, estruturados
ou não estruturados, que residem em uma plataforma de computação em
nuvem privada, pública ou híbrida. Existem dois tipos de modelos de banco
de dados em nuvem: tradicional e banco de dados como um serviço (DBaaS).
Com o DBaaS, as tarefas administrativas e a manutenção são executadas
por um provedor de serviços.
Bancos de dados de grafos

Um banco de dados de grafos armazena dados em termos de
entidades e os relacionamentos entre entidades.
Bancos de dados OLTP

Um banco de dados OLTP é um banco de dados rápido e analítico,
projetado para um grande número de transações realizadas por vários
usuários.
Esses são apenas alguns dos vários tipos de bancos de dados em uso
atualmente. Outros bancos de dados menos comuns são adaptados para
funções científicas, financeiras ou outras muito específicas. Além dos
diferentes tipos de banco de dados, as mudanças nas abordagens de
desenvolvimento de tecnologia e os avanços dramáticos, como a nuvem e a
automação, estão impulsionando os bancos de dados em direções
totalmente novas.
117
Alguns dos mais recentes bancos de dados incluem:
Bancos de dados de código aberto

Um sistema de banco de dados de código aberto é aquele cujo
código-fonte é código aberto; esses bancos de dados podem ser bancos de
dados SQL ou NoSQL.
Banco de dados multimodelo

Bancos de dados multimodelo combinam diferentes tipos de
modelos de banco de dados em um back-end único e integrado. Isso
significa que eles podem acomodar vários tipos de dados.
Banco de dados de documentos/JSON

Projetado para armazenar, recuperar e gerenciar informações
orientadas a documentos, os bancos de dados de documentos são uma
maneira moderna de armazenar dados no formato JSON, em vez de linhas e
colunas.
Bancos de dados autônomos

Os bancos de dados independentes mais novos e inovadores
(também conhecidos como bancos de dados autônomos) são baseados em
nuvem e usam machine learning para automatizar o ajuste de banco de
dados, segurança, backups, atualizações e outras tarefas de gerenciamento
de rotina tradicionalmente executadas por administradores de banco de
dados.
Qual é a diferença entre um banco de dados e uma planilha?

Bancos de dados e planilhas (como o Microsoft Excel) são modos
convenientes de armazenar informações.
As principais diferenças entre os dois são:
 Como os dados são armazenados e manipulados.
118
 Quem pode acessar os dados.
 Quantos dados podem ser armazenados.
As planilhas foram originalmente projetadas para um usuário e suas

características refletem isso. São ótimos para um único usuário ou um
pequeno número de usuários que não precisam fazer manipulações de
dados extremamente complicadas. Bancos de dados, por outro lado, são
projetados para conter coleções muito maiores de informações organizadas,
às vezes, quantidades enormes. Os bancos de dados permitem que vários
usuários, ao mesmo tempo, acessem e consultem com rapidez e segurança
os dados usando lógica e linguagem altamente complexas.
O que é um software de banco de dados?

O software de banco de dados é usado para criar, editar e manter
arquivos e registros de banco de dados, facilitando a criação de arquivos e
registros, entrada de dados, edição, atualização e relatórios de dados. O
software também processa armazenamento de dados, backup e relatórios,
controle multiacesso e segurança. A segurança forte do banco de dados é
especialmente importante hoje, porque o roubo de dados se torna mais
frequente. O software de banco de dados também é conhecido como
“Sistema de Gerenciamento de Banco de Dados” (DBMS).
O software de banco de dados simplifica o gerenciamento de dados,

permitindo que os usuários armazenem dados em um formulário
estruturado e depois os acessem. Ele normalmente tem uma interface
gráfica para ajudar a criar e gerenciar os dados e, em alguns casos, os
usuários podem construir os próprios bancos de dados usando o software
do banco de dados.
O que é um sistema de gerenciamento de banco de dados (DBMS)?

Um banco de dados normalmente requer um programa abrangente
de banco de dados, conhecido como Sistema de Gerenciamento de Banco de
119
Dados (DBMS). Um DBMS serve como uma interface entre o banco de dados
e seus usuários finais ou programas, permitindo que os usuários recuperem,
atualizem e gerenciem como as informações são organizadas e otimizadas.
Um DBMS também facilita a supervisão e o controle de banco de dados,
permitindo uma variedade de operações administrativas, como
monitoramento de desempenho, ajuste e backup de recuperação.
Alguns exemplos de software de bancos de dados populares ou

DBMSs incluem MySQL, Microsoft Access, Microsoft SQL Server, FileMaker
Pro, Oracle Database e Dbase.
O que é um MySQL Database?

MySQL é um sistema de gerenciamento de banco de dados
relacional de código aberto baseado em SQL. Ele foi projetado e otimizado
para aplicativos da web e pode ser executado em qualquer plataforma. Como
surgiram requisitos novos e diferentes com a internet, o MySQL tornou-se a
plataforma preferida para desenvolvedores da web e aplicativos baseados
na web. Por ter sido projetado para processar milhões de consultas e
milhares de transações, o MySQL é uma escolha popular para empresas de
comércio eletrônico que precisam gerenciar várias transferências de
dinheiro. A flexibilidade sob demanda é o principal recurso do MySQL.
O MySQL é o DBMS por trás de alguns dos principais sites e

aplicativos baseados na web do mundo, incluindo Airbnb, Uber, LinkedIn,
Facebook, Twitter e YouTube.
120
Figura 37 – Banco de Dados.
Fonte: Volvimm.
Firewall
O que é um Firewall?
Um firewall é um dispositivo de segurança da rede que monitora o
tráfego de rede de entrada e saída e decide permitir ou bloquear tráfegos
específicos de acordo com um conjunto definido de regras de segurança.
Os firewalls têm sido a linha de frente da defesa na segurança de

rede há mais de 25 anos. Eles colocam uma barreira entre redes internas
protegidas e controladas que podem ser redes externas confiáveis ou não,
como a Internet.
 Um firewall pode ser um hardware, software ou ambos.
Como funciona um Firewall?

Você já sabe que um firewall atua como uma espécie de barreira que
verifica quais dados podem passar ou não. Esta tarefa só pode ser feita
mediante o estabelecimento de políticas, isto é, de regras, como você
também já sabe.
121
Em um modo mais restritivo, um firewall pode ser configurado para
bloquear todo e qualquer tráfego no computador ou na rede. O problema é
que esta condição isola este computador ou esta rede, então pode-se criar
uma regra para que, por exemplo, todo aplicativo aguarde autorização do
usuário ou administrador para ter seu acesso liberado. Esta autorização
poderá inclusive ser permanente: uma vez dada, os acessos seguintes serão
automaticamente permitidos.
Em um modo mais versátil, um firewall pode ser configurado para

permitir automaticamente o tráfego de determinados tipos de dados, como
requisições HTTP (sigla para Hypertext Transfer Protocol – protocolo usado
para acesso a páginas Web), e bloquear outras, como conexões a serviços de
e-mail.
Perceba, com esses exemplos, que as políticas de um firewall são

baseadas, inicialmente, em dois princípios: todo tráfego é bloqueado, exceto
o que está explicitamente autorizado; todo tráfego é permitido, exceto o que
está explicitamente bloqueado.
Firewalls mais avançados podem ir além, direcionando determinado

tipo de tráfego para sistemas de segurança internos mais específicos ou
oferecendo um reforço extra, por exemplo em procedimentos de
autenticação de usuários.
Tipos de Firewalls
 Firewall de proxy:
Um firewall de proxy é um dos primeiros tipos de firewall e funciona

com a passagem de uma rede para outra de uma aplicação específica.
Servidores proxy podem oferecer recursos adicionais, como armazenamento
em cache e segurança de conteúdo ao evitar conexões diretas de fora da
rede. No entanto, isso também pode afetar a capacidade de taxa de
transferência e as aplicações que eles podem comportar.
122
 Firewall com inspeção de estado:
Atualmente conhecido como o firewall tradicional, um firewall com

inspeção de estado permite ou bloqueia tráfego de acordo com o estado, a
porta e o protocolo. Ele monitora toda atividade desde o momento em que
uma conexão é aberta até que ela seja fechada. As decisões de filtragem são
tomadas de acordo com as regras definidas pelo administrador e com o
contexto, o que significa o uso de informações de conexões e pacotes
anteriores que pertencem à mesma conexão.
 Firewall de próxima geração (NGFW):
Os firewalls evoluíram para além da simples filtragem de pacotes e

inspeção stateful. A maioria das empresas está implantando firewall de
próxima geração para bloquear ameaças modernas, como malware avançado
e ataques na camada da aplicação.
De acordo com a definição do Gartner, Inc., um firewall de próxima

geração deve incluir:
– Recursos padrão de firewall, como inspeção stateful.
– Prevenção de invasão integrada.
– Reconhecimento e controle da aplicação para detectar e

bloquear aplicativos nocivos.
– Atualização de caminhos para incluir feeds futuros de

informação.
– Técnicas para lidar com as ameaças à segurança em

evolução.
Embora esses recursos estejam se tornando cada vez mais a norma

para a maioria das empresas, os NGFWs podem fazer mais.
123
Firewall de Gerenciamento unificado de ameaças (UTM)
Normalmente, um dispositivo UTM combina, de maneira flexível, as
funções de um firewall com inspeção de estado e prevenção contra intrusões
e antivírus. Ele também pode incluir serviços adicionais e, às vezes,
gerenciamento em nuvem. O UTM concentra-se em simplicidade e facilidade
de uso.
NGFW focado em ameaças

Esses firewalls incluem todos os recursos de um NGFW tradicional e
também oferecem detecção e remediação avançadas de ameaças. Com um
NGFW focado em ameaças, você pode:
 Saber quais recursos sofrem um risco maior com reconhecimento

completo de contexto.
 Reagir rapidamente aos ataques com automação de segurança

inteligente que define políticas e fortalece suas defesas de forma
dinâmica.
 Detectar melhor as atividades evasivas e suspeitas com a correlação

de eventos de rede e endpoint.
 Reduzir expressivamente o tempo entre a detecção e a limpeza com

segurança retrospectiva, que monitora continuamente atividades e
comportamentos suspeitos mesmo após a inspeção inicial.
 Facilitar a administração e reduzir a complexidade com políticas

unificadas que oferecem proteção durante todo o ciclo de ataque.
124
Figura 38 – Firewall.
Fonte: Wikipédia.
125
9
Capítulo 9. Introdução aos Comandos Básicos de Linux
Metodologia Ágil para TI
O que são Metodologias Ágeis?
As metodologias ágeis são uma forma de acelerar entregas de um
determinado projeto. Ela consiste no fracionamento de entregas para o
cliente final em ciclos menores. Com isso, eventuais problemas podem ser
corrigidos mais rapidamente e os planejamentos serem revistos. Apesar de
sua aplicação ter iniciado e ser muito comum em equipes de
desenvolvimento, a estratégia pode ser utilizada em qualquer tipo de
projeto.
Com o foco no cliente final e na entrega de valor, os métodos ágeis

visam estimular uma gestão de processos que garanta, frequentemente, o
controle e possíveis ajustes. É uma filosofia que promove o trabalho em
equipe, a colaboração entre os funcionários e a inteligência coletiva.
Basicamente, os métodos ágeis são um conjunto de práticas eficazes que se
destinam a tornar a entrega mais rápida de produtos de alta qualidade,
tendo uma abordagem de negócios que alinha o desenvolvimento do projeto
com as necessidades do cliente e os objetivos da empresa. Esse processo dá
ao cliente a oportunidade de conhecer os resultados do trabalho
antecipadamente, aumentando assim a sinergia entre a empresa, o cliente
e o projeto.
A transformação digital já é uma realidade nas grandes empresas.

Neste sentido, contar com métodos ágeis é fundamental. Segundo estudo,
realizado pela CA Technologies, 81% dos executivos acreditam que as
metodologias ágeis são necessárias para uma transformação digital bem-
sucedida e melhor desempenho do negócio. É exatamente por isso que a
127
cultura ágil vem se tornando cada vez mais comum, principalmente nas
empresas de TI.
Tendo como inspiração o manifesto ágil, que consiste em 4

sentenças (agilidade, múltiplas entregas, intensa participação do cliente e
customização do produto) e 12 princípios (valor, frequência, flexibilidade,
união, motivação, comunicação, funcionalidade, sustentabilidade, revisão,
simplicidade, organização e autoavaliação). A grande diferença das
metodologias ágeis está em fazer entregas com foco no benefício para o
cliente e de forma incremental. Neste sentido, o cliente terá uma
aproximação maior no desenvolvimento do projeto e, além disso, se
beneficiará com as entregas que forem sendo executadas. Enquanto nos
modelos tradicionais, o conceito é que o cliente receba o produto somente
com ele totalmente finalizado, portanto, utilizando ou coletando benefícios
somente ao final de todo o projeto.
Principais Metodologias Ágeis

Alguns métodos ágeis mais populares são: Scrum, Kanban e Lean. A
técnica utilizada na metodologia do Scrum é perfeita para o gerenciamento
de projetos mais complexos, que necessitam de maior atenção e dedicação,
garantindo a excelência em suas entregas. Dividindo o projeto em pequenos
sprints, que podem durar entre duas a quatro semanas, no máximo, e ainda
realizando reuniões de 15 minutos diariamente para a atualização do status
do projeto.
No método Kanban, a proposta é bastante simples e funcional, tudo

porque ela permite que o desenvolvimento do projeto esteja visualmente
acessível e torne a execução mais facilitada. Separando cada etapa do
projeto em três fases: a fazer, fazendo e feito. Dessa forma pode-se
acompanhar o andamento do projeto e tornar as ações mais automatizadas.
Com o Lean, em que um dos seus princípios é eliminar o desperdício,

a agilidade nos processos surge da prática de “enxugar” cada etapa e torná-
128
la mais assertiva, prática e eficiente. Ou seja, otimizando o tempo e
diminuindo possíveis obstáculos.
Scrum
O Scrum é o framework ágil mais usado pelas organizações. Para
muitas é também a porta de entrada na agilidade.
Criado em 1993, por Ken Schwaber e Jeff Sutherland, como um

contraponto ao desenvolvimento em cascata de softwares, o Scrum é uma
metodologia de mecânica simples, baseada em um modelo incremental e
iterativo, aliada à prática de valores ágeis.
Equipes Scrum têm três papéis básicos: product owner, scrum

master e membros da operação. Vejamos as responsabilidades de cada um
deles:
 Product Owner (PO): compreende as necessidades dos stakeholders

e conecta esse conhecimento com a equipe. Comanda as sprints
planning, determina as prioridades e cria o backlog de produto, atua
junto ao time para se certificar que o andamento dos trabalhos
corresponde ao esperado, faz ajustes de rota na sprint, aprova
funcionalidades desenvolvidas e dialoga com os stakeholders.
 Scrum master: guia o projeto em termos de agilidade, dá suporte e

apoio a sua construção em comum com o time e eleva a prática do
Scrum.
 Membros: profissionais da execução. Pode incluir desenvolvedores,

designers UI e UX, arquitetos, entre outros profissionais.
A mecânica do Scrum se centra dentro do conceito de sprint: uma

iteração limitada no tempo, normalmente entre 20 e 30 dias. Dentro de uma
sprint, acontecem as seguintes cerimônias:
129
 Sprint planning: reunião da equipe com o objetivo de construir o
backlog da sprint, sequenciar, estimar o tempo e distribuir as
demandas.
 Daily Scrum: reunião curta diária (15 minutos) para inspeção (o que
fez, o que vai fazer e obstáculos) e ajustes de última hora.
 Sprint review: reunião ao final da sprint em que as funcionalidades

são mostradas ao PO, a usuários e stakeholders, para a obtenção de
feedbacks.
 Retrospectiva: reunião do time ao final de cada sprint com o objetivo

de fazer uma análise do que passou.
Todo o andamento do backlog da sprint é gerenciado em um Scrum

board, inspiração do kanban. Ele mostra a evolução das tarefas até a
conclusão.
Mas para que o Scrum funcione, não basta ter apenas papéis,
cerimônias e um board. Na base disso, os criadores do Scrum colocaram
cinco valores cruciais para a metodologia produzir resultados:
 Comprometimento: todos são donos do projeto, o que implica uma

tomada de decisão mais horizontal, mas também responsabilidade.
O sucesso da entrega está sempre em primeiro plano.
 Abertura: alto nível de transparência é uma premissa e uma busca

constante no Scrum. Todos precisam estar na mesma página
sempre.
 Coragem: times Scrum não escondem a sujeira para debaixo do

tapete, mas miram e lidam com as adversidades com o peito aberto.
 Respeito: equipes Scrum funcionam com base na boa-fé.
130
 Foco: pelo período da sprint, o backlog é o único trabalho da equipe.
Há um cuidado em se manter fiel às demandas, fazendo os ajustes
tão logo quanto possível.
O Scrum, quando alia práticas a valores, pode alterar radicalmente

estruturas organizacionais tradicionais, baseadas em silos e hierarquia
rígida, por exemplo. O desafio é aliar ambas, saindo de uma reprodução
irrefletida dos rituais e destravando todo o potencial da metodologia ágil
mais consagrada nas empresas.
Figura 39 – Scrum.
Fonte: Wikipédia.
Kanban
Um kanban nada mais é do que um cartão. A ideia de traduzir fluxos
por meio de cartões surgiu na Toyota, na década de 1950, da mente do
engenheiro mecânico Taiichi Ohno. O objetivo era eliminar os desperdícios
e aumentar o nível de flexibilidade na indústria.
No universo de desenvolvimento de softwares, foi em 2007 que

David Anderson consagrou a prática como uma metodologia ágil.
131
O Kanban, assim como o Scrum, funciona em um quadro. A forma
mais básica dele tem três listas com os kanban (cartões): a de tarefas por
fazer, a de tarefas em andamento e a de tarefas concluídas. Cada cartão é
uma atividade a ser puxada para a lista seguinte sempre que atender aos
requisitos, como uma fila. Simples, mas poderoso. Por quê? Anderson
responde com os seguintes pontos:
 Permite a visualização de todo o fluxo de trabalho: o Kanban dá

tangibilidade a fluxos de desenvolvimento. Basta um olhar para
saber o que está acontecendo a qualquer momento, sem precisar
perguntar para ninguém.
 Torna as políticas do processo explícitas: o Kanban força a equipe

a esclarecer quando uma demanda se dá por finalizada e pode seguir
adiante no fluxo.
 Limita o trabalho em progresso (WIP): não se guarda trabalho

inacabado no Kanban, daí a ideia de criar fluxos contínuos tanto
quanto possível, estabelecendo ritmos.
 Entregas frequentes: o time consegue visualizar melhor suas

entregas e, com base na gestão visual, melhorar sua performance, o
que leva a entregas frequentes.
 Facilita a mensuração e o gerenciamento do fluxo de trabalho:

métricas como as contidas no CFD dão direção a contramedidas.
 Estabelece cadências de comunicação: a prática fortalece a

corresponsabilização, o respeito e o foco da equipe, que estará
propensa a colaborar.
Para Anderson, equipes que pretendem começar a praticar o Kanban

devem seguir os seguintes princípios:
132
 Começar pelo que a equipe já faz: montar um Kanban força a equipe
a olhar para o que faz e a compreender por que faz.
 Respeitar a estrutura organizacional: responsabilidades e papéis

podem ser mantidos com a vantagem de empoderar todos os
praticantes.
 Incentivar atos de liderança em todos os níveis organizacionais: o

Kanban explicita gargalos forçando todos a refletir sobre seus
processos.
 Buscar mudanças incrementais e contínuas: o Kanban leva a

melhorias pontuais com efeitos sobre o fluxo global, o chamado
kaizen, e a prática constante dessa busca.
Lean
Após a Segunda Guerra Mundial, a montadora de veículos Toyota,
com origem no Japão, se viu abalada pela enorme falta de recursos que
consequentemente ocasionava uma baixa produtividade.
Assim, precisou desenvolver um modelo de trabalho que fosse

adaptado às suas necessidades e que ao mesmo tempo permitisse o seu
crescimento. Foi então que o seu fundador, Toyoda Sakichi, seu filho Toyoda
Kiichiro e o engenheiro Taiichi Ohno, se reuniram para criar o Toyota
Production System (TPS), que hoje conhecemos como Lean Manufacturing
ou Manufatura Enxuta.
Nesse sistema, a produção é feita em pequenos lotes, possibilitando

maior variedade de produtos. Os trabalhadores podem ser multifuncionais,
desenvolvendo mais do que uma tarefa específica e operando mais de uma
máquina. E, ao contrário do modelo de produção em massa, a preocupação
com a qualidade do produto é extrema. Portanto, o Lean Manufacturing
133
supõe que reduzindo os desperdícios, a qualidade melhora e o tempo e custo
da produção diminuem.
A partir do sistema criado pela Toyota, originou-se o Lean Thinking

ou Pensamento Enxuto, se tornando uma filosofia que já é amplamente
utilizada nos mais diversos setores e empresas, como por exemplo, área
administrativa, tecnologia da informação, agronegócios e na saúde.
Figura 40 – Lean.
Fonte: Atech.
A Metodologia Lean utiliza alguns princípios e técnicas operacionais,

buscando sempre reduzir o desperdício de recursos, a melhoria da qualidade
e a maximização do valor entregue ao cliente.
As ações se baseiam principalmente na redução de sete

desperdícios: Falta de Qualidade, Espera, Estoques, Movimentação,
Transporte, Processos Desnecessários e Superprodução.
A Metodologia Lean nos ajuda a identificar estes desperdícios de

uma forma mais clara e também nos oferece algumas ferramentas para
reduzi-los.
134
Figura 41 – Os Sete Desperdícios do Lean.
Fonte: LinkedIn.
O Lean também transforma o gerenciamento da TI, afinal, ele tem o

poder de criar novos hábitos, que viram padrões e são capazes de extrair o
melhor do potencial humano.
Isso porque os profissionais envolvidos nos projetos são

capacitados, valorizados e, consequentemente, se interessam em buscar
novas técnicas e formas de gerar melhorias. Eles passam a compartilhar
suas experiências, ganham novas habilidades e criam uma “corrente” da
cultura da melhoria contínua no ambiente da TI.
O Pensamento Enxuto é o responsável por guiar a metodologia e ele

se baseia em cinco princípios:
Valor: este é o principal princípio e talvez o que pareça mais simples,

mas exige bastante atenção. Para começar a desenvolver algo, precisamos
135
primeiro conhecer, entender e deixar bem-definido o que o cliente vê como
valor em seu produto ou serviço. Se você entrega algo que não é aquilo que
o seu cliente está disposto a pagar, temos um desperdício, pois basicamente
aquilo que agrega valor ao cliente é aquilo que ele se dispõe a pagar. Isso
exige estudos frequentes para entender o que agrega valor ao seu cliente e
para que você transforme o seu produto ou serviço para melhor adequá-lo.
Fluxo de Valor: este princípio está bem ligado ao anterior. Agora que
você sabe o que é valor para seu cliente, você precisa olhar para seus fluxos
e suas respectivas etapas para identificar o que agrega ou não agrega valor
ao cliente, pois aquelas que não agregam são consideradas desperdícios e,
portanto, devem ser eliminadas.
Fluxo contínuo: depois que foi identificado o valor e os fluxos foram

revistos, é necessário que esse fluxo se torne contínuo, ou seja, sem
interrupções, trazendo o conceito de rapidez, menor tempo de
processamento e fluidez.
Produção Puxada: nessa etapa entende-se que deve ser produzido

apenas o que o cliente demanda e no momento certo, para reduzir o
desperdício de superprodução, ou seja, entregar ao cliente apenas aquilo
que é necessário, no tempo certo e com qualidade, sem necessidade de
sobras.
Perfeição: essa é uma etapa que deve ser eterna para que a
perfeição sempre seja buscada através da melhoria contínua dos processos,
serviços, produtos, pessoas etc., sempre visando a agregação de valor ao
cliente.
136
Figura 42 – Os 5 Princípios do Lean.
Fonte: LinkedIn.
Qual o propósito em adotar Metodologias Ágeis?

O manifesto ágil não só beneficiou as empresas do setor de TI como
revolucionou toda a estrutura das organizações. Seu propósito é bastante
promissor quando consegue acelerar de maneira eficiente a entrega de
projetos e propor uma comunicação interna e externa mais aberta e
assertiva.
A metodologia ágil é importante para conquistar diversos benefícios

em prol de mais agilidade e eficiência. Ela serve justamente para alinhar
expectativas e definir objetivos e metas entre os profissionais responsáveis
por cada tarefa, permitindo ainda uma maior economia de tempo e recursos,
proporcionando uma maior assertividade na execução das tarefas e, com
isso, garantindo a satisfação do cliente.
137
Como vimos, existem diversas metodologias (como Scrum e Lean)
que podem fazer parte da sua cultura organizacional. É importante frisar que
não há a “melhor metodologia”, mas a solução mais adequada dentro do
contexto do seu negócio ou projeto. Apesar de existirem diversas opções de
métodos em uma cultura ágil, os impactos na empresa tendem a ser os
mesmos. Contar com métodos ágeis é uma atitude que trará benefícios não
só para sua empresa, como também para seu cliente.
Listamos abaixo as principais vantagens que as metodologias ágeis

podem gerar para o seu negócio.
Aumento significativo na produtividade

De fato, o principal impacto na adoção de metodologias ágeis é na
produtividade de sua equipe. Como seu principal objetivo é reduzir o tempo
de entrega dos projetos, isso contribui para que a empresa tenha um ganho
enorme em produtividade. Além disso, em uma empresa que possui uma
cultura ágil as equipes são autogerenciáveis, isso faz com que os próprios
funcionários se cobrem a respeito de prazos e metas.
Múltiplas entregas
Outra vantagem importante na adoção de métodos ágeis é quanto
às múltiplas entregas que a organização passa a fazer para o seu cliente
final. Como na metodologia, as entregas são divididas em ciclos menores, a
empresa é capaz de gerar valor para seu cliente antes mesmo de o projeto
chegar ao fim.
Qualidade do produto
Os métodos ágeis são baseados no desenvolvimento frequente e
incremental. Isso significa que o projeto passa por diversas revisões e
correções ao longo de sua elaboração. Esse processo de melhoria constante
garante um produto final de qualidade superior.
138
Maior engajamento dos colaboradores com o projeto
Trabalhar com métodos ágeis requer uma dedicação maior dos
colaboradores. Isso porque, em seu desenvolvimento, as equipes passam a
ser autogerenciáveis, ou seja, os próprios colaboradores fazem a distribuição
de tarefas e a cobrança a respeito dos prazos de entrega. Isso acaba
resultando em um aumento de foco e engajamento dos profissionais com o
projeto.
Redução de problemas e falhas

Outro benefício importante que vale ser destacado é a redução de
riscos e problemas. Ainda usufruindo da divisão em ciclos menores no
desenvolvimento do projeto, riscos acabam não sendo tão impactantes.
Como os processos são divididos em fases, o reconhecimento de erros e
adversidades são enxergados mais rapidamente, o que facilita sua gestão e
correção.
Aumento na satisfação do cliente

Tirando o aumento na produtividade, talvez o principal impacto que
a adoção dos métodos ágeis gera para a sua organização seja o aumento da
satisfação de seu cliente. Sabemos que todas as empresas estão sempre em
busca de garantir entregas que geram valor para seu cliente e que
aumentem sua satisfação. Contar com uma cultura ágil favorece isso, pois
uma das premissas da estratégia é que o cliente tenha uma participação
mais ativa no desenvolvimento do projeto. Sendo assim, tem-se a garantia
de que o produto final realmente atenderá às necessidades de quem
solicitou.
Como vimos, a adoção de metodologias ágeis no desenvolvimento

de projetos é sem dúvida uma atitude que trará diversos ganhos para seu
negócio. A estratégia é um combustível para organizações que buscam
crescimento e elevação em seus resultados.
139
Referências
ABNT NBR ISO/IEC 27001:2013. Tecnologia da Informação – Técnicas de
Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos.
ABNT NBR ISO/IEC 27002:2013. Tecnologia da Informação – Técnicas de

Segurança – Código de prática para controles de segurança da informação.
AMAZON WEB SERVICES. Home. In: Amazon Web Services, uma plataforma
de serviços de computação em nuvem, que formam uma plataforma de
computação na nuvem oferecida pela Amazon.com. Amazon Web Services
2022. Disponível em: <https://aws.amazon.com/pt/>. Acesso em 23. nov.
2022.
COMBS, G. In: wireshark.org, analisador de protocolo de redes.

WireSharkFest, 2022. Disponível em: <https://www.wireshark.org/>. Acesso
em 23. nov. 2022.
DEBIAN. Linux. In: Debian.org, um sistema operacional composto

inteiramente de software livre e mantido oficialmente pelo Projeto Debian.
Software in the Public Interest, Inc, 2022. Disponível em:
<https://www.debian.org/>. Acesso em 23. nov. 2022.
HARRIS, S.; MAYMI, F. CISSP All-in-One Exam Guide. 8. ed. McGraw-Hill

Education, 2018.
HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: Com

base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
JOINT TASK FORCE TRANSFORMATION INICIATIVE. Managing

Information Security Risk: Organization, Mission, and Information System
View. NIST, mar. 2011. Disponível em:
<https://csrc.nist.gov/publications/detail/sp/800-39/final>. Acesso em: 23
nov. 2022.
140
KALI ORG. Home. In: kali.org, uma distribuição Linux para de testes de
penetração. OffSec Services Limited 2022. Disponível em:
<https://www.kali.org/>. Acesso em 23. nov. 2022.
MAZIOLLI, G. Guia que traz desde explicações básicas sobre

computadores e o sistema GNU/Linux até a administração e segurança do
sistema. GuiaFoca 1999. Disponível em: <https://www.guiafoca.org/>.
Acesso em 23. nov. 2022.
OWASP – OPEN WEB APPLICATION SECURITY PROJECT E GLOBAL

APPSEC. Home. AppSec California, 2022. Disponível em:
<https://owasp.org/>. Acesso em 23. nov. 2022.
OWASP TOP 10. In: Open Web Application Security Project ® (OWASP), um
relatório atualizado regularmente que descreve questões de segurança para
a segurança de aplicativos web, com foco nos 10 riscos mais críticos.
Creative Commons, 2017.
PUTTY. SSH, In: putty.org, um software de emulação de terminal grátis e de

código livre. Suporta SSH, destinado a suportar o acesso remoto a servidores
via shell seguro e a construção de "túneis" cifrados entre servidores. PuTTY.
2022. Disponível em: <https://www.putty.org>. Acesso em 23. nov. 2022.
SÊMOLA, M. Gestão da Segurança da Informação. 2. ed. São Paulo: Gen-

LTC, 2013.
TANENBAUM, A. S. Redes de Computadores. 4. ed. Rio de Janeiro: Editora

Campus (Elsevier), 2011.
TENABLE. Scan de vulnerabilidades. in: tenable.com, Nessus é uma

ferramenta de verificação de falhas/vulnerabilidades de segurança.
Tenable®, Inc. 2022. Disponível em: <https://pt-br.tenable.com>. Acesso em
23. nov. 2022.
141
VIRTUAL BOX. Virtualização. In: VirtualBox, um virtualizador completo de
uso geral para hardware x86, voltado para servidor, desktop e uso
incorporado. Oracle Tech Network, 2022. Disponível em:
<https://www.virtualbox.org/>. Acesso em 23. nov. 2022.
WIKIPÉDIA. MODELO OSI. In: Wikipédia, a enciclopédia livre. Flórida:

Wikimedia Foudation, 2019. Disponível em:
<https://pt.wikipedia.org/wiki/Modelo_OSI>. Acesso em: 23 nov. 2022.
WIKIPEDIA. MODELO TCP/IP. In: Wikipédia, a enciclopédia livre. Flórida:

Wikimedia Foudation, 2019. Disponível em:
<https://pt.wikipedia.org/wiki/TCP/IP>. Acesso em: 23 nov. 2022.
142

Apostila - Módulo 1 - CSO

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila - Módulo 1 - CSO

Enviado por

Direitos autorais:

Formatos disponíveis

Fundamentos em Segurança

Capítulo 1. Introdução a Segurança da Informação e Cibernética ........... 5

Conceitos de Segurança da Informação ........................................................................... 5

Pilares de Segurança da Informação.................................................................................. 6

Ameaças, Riscos e Vulnerabilidades ................................................................................... 7

Medidas de Segurança ........................................................................................................... 10

Conceitos de Segurança Cibernética............................................................................... 12

OWASP e o Top 10 Web Application Security Risks................................................. 14

Red Team, Blue Team e Purple Team .............................................................................. 15

Capítulo 2. Governança e Política de Segurança da Informação ............ 18

Sistema de Gestão de Segurança da Informação (SGSI) ...................................... 18

Escopo de um Sistema de Gestão de Segurança da Informação (SGSI) ....... 20

Componentes de um SGSI conforme ISO/IEC 27001 (Controles do anexo A)

Controles para um Sistema de Gestão de Segurança da Informação (SGSI)

Gerenciamento de Incidentes de Segurança da Informação .............................. 26

Política de Segurança da Informação (PSI) ................................................................. 29

Práticas para criação da PSI ................................................................................................ 31

Capítulo 3. Normas ISO 27000 ............................................................................... 33

Conceitos básicos ..................................................................................................................... 33

Normas da Família ISO/IEC 27000 .................................................................................. 34

Capítulo 4. Carreira Profissional e Certificações ............................................. 37

Tendências de Mercado e Regulamentações .............................................................. 37

Áreas de atuação de um Profissional de Cibersegurança...................................... 39

Capítulo 5. Engenharia Social .................................................................................. 50

O que é Engenharia Social?.................................................................................................. 50

Como atua o Engenheiro Social? ....................................................................................... 51

Tipos de Engenharia Social .................................................................................................. 52

Como se Proteger da Engenharia Social ........................................................................ 57

Capítulo 6. Introdução a Cloud Computing....................................................... 61

Definição de Cloud Computing ........................................................................................... 61

Características de Cloud Computing ............................................................................... 63

Modelos de Serviços de Cloud ............................................................................................ 65

Capítulo 7. Introdução a Comandos básicos de Linux ................................. 77

Introdução ao Linux ................................................................................................................ 77

Primeiros Passos no Linux.................................................................................................... 79

Gerenciamento de Arquivos e Diretórios ....................................................................... 83

Gerenciamento de Contas de Usuários .......................................................................... 97

Lista de Comandos Importantes do Linux ..................................................................101

Capítulo 8. Servidores WEB, Banco de Dados e Firewall .......................... 113

Servidores WEB........................................................................................................................ 113

Banco de Dados ....................................................................................................................... 114

Capítulo 9. Introdução aos Comandos Básicos de Linux ......................... 127

Metodologia Ágil para TI .....................................................................................................127

Principais Metodologias Ágeis .......................................................................................... 128

Qual o propósito em adotar Metodologias Ágeis?...................................................137

Referências ...................................................................................................................... 140

 Informação – É o dado ou conjunto de dados que tem significado

Fonte: Foundations of Information Security, Van Haren .

 Sistemas de Informação – No contexto de segurança da

Fonte: Foundations of Information Security, Van Haren.

 Segurança da Informação – É a proteção de informações contra

Fonte: Foundations of Information Security, Van Haren.

 Segurança da Informação – É a preservação de confidencialidade,

Fonte: ISO /IEC 27000:2018

Figura 1 – Pilares de Segurança da Informação.

A confiabilidade da informação é determinada por vários aspectos

Ameaças, Riscos e Vulnerabilidades

Fonte: ISO/IEC 27000:2018.

A ameaça pode ser um atacante ou um evento que explora uma

A entidade que retira vantagem de uma vulnerabilidade é conhecia

 Acesso não autorizado a arquivos.

 Invasão na rede por crackers (hacker do mal).

 Funcionário cometendo erro não intencional.