Ameaças à Segurança da Informação

Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 2/13

Ameaças à Segurança da Informação

Conteúdo organizado por Dallas Morais de Almeida em 2022 do livro Fundamentos
de Segurança da Informação: com base na ISO 27001 e na ISO 27002, publicado
em 2018 por Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H.

Objetivos de Aprendizagem
• Conhecer os tipos de ameaça à segurança da informação
• Introduzir nas estratégias de riscos
 Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 3/13

Introdução
Entender os tipos de ameaças que existem e identificar quais delas têm um potencial
danoso relevante é uma atividade fundamental para que as organizações possam
desenvolver métodos e sistemas eficazes no que diz respeito à segurança da
informação.
Conhecer e definir ameaças potenciais aos dados organizacionais não é uma tarefa fácil,
pois constantemente surgem novas ameaças e os agentes ameaçadores também estão
em constante mutação. Uma das ferramentas utilizadas para se identificar as potenciais
ameaças são as listas de padrões de ameaças que se baseiam em boas práticas de outras
organizações e experiências passadas. Nestas listas os profissionais de segurança da
informação podem encontrar uma série de parâmetros que dimensionam os valores
dos ativos e estimam a proporção dos danos, diante de um incidente.
Em uma análise de ameaças é necessário, porém estar atento a quais são realmente
relevantes e merecem a atenção organizacional. Isso porque a segurança da informação
requer investimento financeiro e não é sensato aplicar muitos recursos em ameaças
de baixíssimo ou nenhum potencial de concretização em prejuízo.
As ameaças podem ser divididas em dois macros grupos,
• Ameaças humanas.
• Ameaças não humanas.
Entender as especificidades de cada um desses grupos é de fundamental importância
para a identificação das potenciais ameaças e desenvolvimento de ações eficientes
de segurança da informação.

Ameaças Humanas Intencionais

As ameaças humanas intencionais são aquelas onde o agente ameaçador humano

tem deliberadamente a intenção de causar algum dano às informações da empresa.
Quando olhamos para essa realidade é comum termos em mente invasões hackers ou
atos de espionagem. Apesar de essas serem sim ameaças humanas intencionais, que
podem causar sérios prejuízos, existem muitas outras presentes na realidade interna
das empresas. Essas realidades podem apresentar uma probabilidade muito maior
de ocorrência do que uma ação externa.
 Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 4/13

Não é incomum encontrar exemplos de colaboradores que ao serem demitidos

excluem todos os dados a que tinham acesso, funcionários que para se vingarem
de gestores, compartilham informações sigilosas com a concorrência ou destroem
dados importantes. Funcionários frustrados com o desempenho de um computador
ou programa podem agir com raiva e quebrar equipamentos. Esses são alguns
dos exemplos de ações humanas intencionais que muitas vezes podem passar
despercebidos em um programa de análise de ameaças potenciais.
Engenheiros sociais são outro tipo de agentes humanos ameaçadores intencionais.
Esses, normalmente se utilizam da engenharia social para conseguirem acesso aos dados
não autorizados. Explorando o desconhecimento que muitos colaboradores tem a
respeito dos protocolos de segurança da informação, esses agentes forjam situações
e fazem suas vítimas exporem dados sigilosos. Um engenheiro social é especialista em
explorar os pontos fracos das pessoas para ter acesso a informações confidenciais.

Saiba Mais
Engenharia social nas redes sociais online: um estudo de caso sobre a
exposição de informações pessoais e a necessidade de estratégias de
segurança da informação.
Link: http://eprints.rclis.org/23215/1/Engenharia%20social%20nas%20
redes%20sociais%20online.pdf. Acesso em: 17 nov. 2021
Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 5/13
 Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 6/13

Ameaças Humanas não Intencionais

As pessoas também podem trazer prejuízos à empresa sem necessariamente terem a

intenção de causá-los. Isso normalmente ocorre quando não existe uma familiaridade
com os procedimentos de segurança ou quando há uma negligência dos protocolos
para atender uma demanda urgente.
Deixar o computador ligado e desbloqueado enquanto atende um problema na
fábrica, deixar a senha de segurança anotada embaixo do teclado, inserir um pen drive
pessoal infectado na rede da empresa, fechar um arquivo e não salvar as alterações,
abrir e baixar arquivos do e-mail pessoal no horário do almoço na rede da empresa,
desligar o computador direto da tomada para agilizar o processo. Esses são alguns dos
exemplos de ações humanas que são ameaçadoras, porém não intencionais. Apesar
disso, tem um grande potencial de danos às organizações.

Saiba Mais
Gestão de Segurança da Informação: O Fator Humano. Link:
http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Paula%20
Fernanda%20Fonseca%20-%20Artigo.pdf. Acesso em: 16 fev 2022
 Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 7/13

Ameaças não Humanas

As ameaças não humanas, como o próprio nome já diz, são aquelas que acontecem
independente da ação humana. Essas ameaças têm a ver com potencialidade e
probabilidade de um fator não humano explorar as vulnerabilidades da segurança
da informação.
As ameaças não humanas normalmente estão ligadas a eventos da natureza como,
raios, tempestades, vendavais, terremotos, incêndios, etc. Os danos que essas ameaças
podem causar aos sistemas de segurança da informação vão depender da localização
deles no momento da ocorrência de um incidente.
Se um servidor está localizado próximo a rede de esgoto da empresa e houver uma
inundação o potencial de dano será significativamente maior do que se ele estivesse
localizado em uma posição elevada. Por outro lado, se um servidor estiver numa
posição elevada o mesmo tem maior potencial de danos numa tempestade de raios.
Avaliar corretamente esses tipos de ameaças e a probabilidade de ocorrência é
muito importante para se definir a disposição dos equipamentos na estrutura física
da organização.

Tipos de Dano

Quando uma ameaça potencial se concretiza em incidente, consequentemente

a organização sofre um impacto. A esse impacto dá-se o nome de dano. Dano é a
consequência que uma empresa sofre diante da exploração das vulnerabilidades por
um agente ameaçador. Os danos podem ser divididos em:
• Danos diretos: quando o incidente causa um prejuízo imediato e impacta
instantaneamente as operações da empresa. Um exemplo de dano direto
é a queima de um equipamento que foi atingido por um raio. Nesse caso o
equipamento ao queimar ficou imediatamente indisponível, causando prejuízos
aos processos que dependiam de seu funcionamento.
 Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 8/13

• Danos indiretos: são aqueles que acontecem no pós evento, ou seja, as perdas
que a organização terá ou poderá ter por consequência dos danos diretos.
Imagine a seguinte situação: O computador queimado citado no exemplo
anterior é o único com acesso ao programa de emissão de notas fiscais, a empresa
deixa de atender um cliente na data correta por não conseguir enviar a nota e é
penalizada com uma multa. Esse prejuízo financeiro é um dano indireto.

Estratégias de Riscos

Existem diferentes formas de encarar os riscos à segurança da informação, apesar disso

existem três principais maneiras de lidar com eles:
• Tolerar: diz respeito a riscos que podem ser aceitos por não apresentarem um
potencial de prejuízo significativo e ou os custos das medidas de segurança são
maiores que o provável dano.
• Reduzir: nesse caso as medidas de segurança adotadas têm o objetivo de impedir
ou mitigar as probabilidades de manifestação das ameaças e também minimizar
os efeitos danosos caso a ameaça consiga explorar alguma vulnerabilidade do
sistema
• Prevenir: o objetivo dessa ação é a de anular as ameaças de tal forma que o
incidente não tenha a possibilidade de ocorrência.

Em Resumo

É muito importante para as empresas conhecerem e identificarem as potenciais

ameaças à segurança da informação. Entender os tipos de ameaças e como cada uma
delas pode causar danos aos processos organizacionais, são atitudes fundamentais no
que diz respeito a análises dos riscos.
Outra ação fundamental nesse processo é o de se conscientizar quanto aos tipos de
danos que uma empresa pode sofrer a partir da exploração das vulnerabilidades pelos
agentes ameaçadores. Essa identificação torna as ações de estratégicas de combate e
prevenção de riscos mais claras e eficazes.
 Princípios do projeto da economia blockchain: Valor como incentivo e segurança • 9/13

Na ponta da língua

Referências Bibliográficas
Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H. (2018). Fundamentos de
Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport.
LIVRO DE REFERÊNCIA:

Fundamentos de Segurança da Informação: com

base na ISO 27001 e na ISO 27002
Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars,
H.
Brasport, 2018.

Imagens: Shutterstock