Seguindo a mesma linha de aproveitar minhas anotações das matérias e transformar em post, como o anterior que trata sobre a LGPD, resolvi criar este aqui. É um consolidado das quatro unidades da disciplina de Segurança e Auditoria de Sistemas; diferente do pequeno resumo que já publiquei sobre o tema, esse abrange todas as áreas da matéria.

Escrevi para além de postar, servir de consulta na hora de estudar para a prova. Espero que ajude quem se interessar.

Por onde começa isso tudo

Segurança da informação não é só firewall e antivírus. É um conjunto de práticas que envolve pessoas, ativos físicos/tecnológicos e a própria informação. O ciclo completo passa por: identificar, proteger, detectar, responder e recuperar. Isso é importante porque a prova costuma cobrar essa sequência.

O pilar central de tudo é a tríade CID:

  • Confidencialidade - a informação só é acessada por quem tem permissão.
  • Integridade - os dados são exatos e completos, sem adulterações.
  • Disponibilidade - os sistemas e dados precisam estar acessíveis quando necessário.

Além da tríade, existem mais três princípios que completam o modelo:

  • Autenticidade - garantir que o usuário é realmente quem diz ser.
  • Não-repúdio - o autor de uma ação não pode negar que a realizou (pense em assinatura digital).
  • Legalidade - tudo precisa estar em conformidade com as leis vigentes.

Decorar CID + Autenticidade + Não-repúdio + Legalidade. Esse conjunto costuma aparecer nas questões de múltipla escolha.

Vocabulário essencial - (importante)

Antes de entrar nos controles e nas ferramentas, o material estabelece um vocabulário que precisa estar claro:

Ativo - qualquer coisa que tenha valor para a organização. Pode ser um servidor, um banco de dados, um documento, uma pessoa. Se tem valor, é um ativo.

Vulnerabilidade - ponto fraco em hardware, software, processos ou pessoas que pode ser explorado. Uma porta aberta no firewall, um sistema sem patch, um funcionário sem treinamento.

Ameaça - causa potencial de um incidente. Detalhe importante: a ameaça só existe se houver uma vulnerabilidade para ser explorada. Sem vulnerabilidade, não há ameaça concreta.

Risco - a fórmula é simples e direta:

Risco = Probabilidade x Impacto

Uma vulnerabilidade com alta probabilidade de ser explorada e que causaria um impacto catastrófico gera um risco altíssimo. Isso guia as decisões de prioridade.

Depois de mapear os riscos, a organização tem quatro opções de tratamento:

  1. Mitigação - aplicar controles para reduzir a probabilidade ou o impacto.
  2. Aceitação - monitorar sem agir (geralmente para riscos de baixo impacto).
  3. Eliminação - inutilizar o ativo que gera o risco.
  4. Transferência - passar o risco para terceiros via seguro ou terceirização.

Controles de Segurança

Para tratar vulnerabilidades, aplicam-se controles. Eles são divididos por função (prevenção, detecção ou resposta a incidentes) e por categoria:

Controles Físicos

Tudo que é tangível e visível: câmeras, catracas, trancas, seguranças, cercas, barreiras e biometria física. A auditoria vai checar se esses controles existem e se estão funcionando.

Controles Tecnológicos (ou Lógicos)

Software e configurações: firewalls, antivírus, sistemas IDS/IPS, biometria digital, criptografia, autenticação de dois fatores e controle de acesso por função (RBAC).

Controles Processuais/Administrativos

Políticas de senhas, rotinas de backup, conscientização de usuários e treinamentos. É o controle mais negligenciado e o que mais aparece como causa raiz de incidentes.

Controles Regulatórios

Adequação a leis como a LGPD e normas como a família ISO 27000. Não é opcional - é obrigação legal.

Ameaças e Ataques Comuns

A unidade 1 lista os principais tipos de ataque que todo profissional de TI precisa conhecer:

Malwares - software malicioso em várias formas:

  • Vírus - se replica e infecta outros arquivos.
  • Trojan (Cavalo de Troia) - se disfarça de software legítimo.
  • Worm - se propaga pela rede sem precisar de arquivo host.
  • Ransomware - sequestra e criptografa dados, exigindo resgate.
  • Phishing - engenharia social via e-mail/SMS para roubar credenciais.

DoS/DDoS (Denial of Service) - sobrecarga de recursos para causar indisponibilidade. O DDoS é a versão distribuída, usando múltiplas máquinas (muitas vezes uma botnet).

Força Bruta - tentativas automatizadas de adivinhar senhas. Simples, mas eficaz quando não há bloqueio por tentativas ou a senha é fraca.

Man-in-the-Middle (MitM) - interceptação invisível da comunicação entre duas partes. A vítima acha que está falando diretamente com o destino, mas tem um intermediário capturando tudo.

Política de Segurança da Informação (PSI)

A PSI é o documento formal que contém diretrizes, regras, práticas e responsabilidades de todos os colaboradores. Não é um documento técnico só para TI - é para toda a organização.

Para funcionar, a PSI precisa de duas coisas:

  1. Comprometimento da alta direção - sem isso, vira papel.
  2. Comunicação eficaz - todos precisam conhecer e entender.

O gerenciamento estratégico da segurança é feito pelo SGSI (Sistema de Gestão de Segurança da Informação), que aplica o ciclo PDCA (Plan, Do, Check, Act) para melhoria contínua.

Normas e Leis (ISO 27000 e LGPD)

A família ISO 27000 é o conjunto de normas mais referenciado na área:

  • ISO 27001 - define os requisitos para implementar um SGSI. É a norma que pode ser auditada e certificada.
  • ISO 27002 - oferece diretrizes e controles de segurança práticos para implementar o que a 27001 exige.
  • ISO 27701 - estende o SGSI para cobrir privacidade de dados (um complemento para quem precisa atender à LGPD/GDPR).

Sobre as leis de proteção de dados:

  • LGPD (Lei Geral de Proteção de Dados) - lei brasileira que impõe obrigações no tratamento de dados pessoais. Todo sistema que coleta dados de pessoas físicas no Brasil precisa estar em conformidade.
  • GDPR - equivalente europeu, mais antigo e referência para a LGPD.

Na prática: ISO 27001 é o “o quê fazer”, ISO 27002 é o “como fazer”, e LGPD é a obrigação legal por trás de tudo isso.

Controle de Acesso: AAA, IAM e Modelos

O controle seguro de usuários baseia-se no modelo AAA:

  • Autenticação - quem é você?
  • Autorização - o que você pode fazer?
  • Auditoria - o que você fez?

A gestão centralizada dessas três funções é responsabilidade dos sistemas IAM (Identity and Access Management), que controlam criação e remoção de credenciais, monitoram atividades e garantem que só pessoas autorizadas acessem os recursos.

Modelos de Autorização (Controle de Acesso)

Esse é um ponto que cai muito em prova. São quatro modelos, cada um com uma lógica diferente:

Modelo Sigla Lógica
Discricionário DAC O dono do recurso define quem acessa
Mandatório MAC Regras rígidas da administração, sem exceções
Baseado em Funções RBAC Acesso liberado conforme o cargo/função
Baseado em Atributos ABAC Considera identidade, localização, horário etc.

O RBAC é o mais usado no mundo corporativo. Um gerente tem acesso diferente de um analista. Um estagiário tem acesso diferente de um desenvolvedor sênior. O cargo define o perfil de acesso.

O ABAC é mais flexível e granular - além do cargo, pode considerar “só pode acessar das 8h às 18h” ou “só se estiver na rede interna”. É o modelo mais moderno e mais complexo de implementar.

Mecanismos de Autenticação

Para confirmar a identidade, usam-se:

  • Senhas (algo que você sabe)
  • Biometria - impressão digital, reconhecimento facial (algo que você é)
  • Certificados digitais e tokens (algo que você tem)
  • 2FA (Autenticação de Dois Fatores) - combina dois desses fatores, adicionando uma camada extra de segurança

Ciclo de Vida dos Dados

A proteção não é só sobre acesso - é sobre como os dados são tratados do começo ao fim:

Classificação - categorizar a informação para determinar como protegê-la. Os níveis comuns são: pública, interna, confidencial e restrita.

Princípio do Mínimo Privilégio - o usuário só tem acesso estritamente necessário para realizar seu trabalho. Nada a mais. Esse princípio reduz drasticamente o impacto de credenciais comprometidas.

Anonimização - remover ou mascarar informações que identifiquem um indivíduo. Exigência central da LGPD para dados que não precisam mais identificar a pessoa.

Retenção - definir por quanto tempo a informação precisa ser armazenada. Existe obrigação legal de guardar certos dados por períodos específicos (documentos fiscais, por exemplo).

Destruição - eliminar de forma segura e irrecuperável os dados que não são mais necessários. Simplesmente deletar o arquivo não é suficiente - existem métodos específicos de sanitização de mídia.

Criptografia: o que a prova vai perguntar

Criptografia protege confidencialidade, integridade e autenticação. É aplicada em dados em repouso (armazenados), em trânsito (na rede) e, mais recentemente, em uso (na memória durante processamento).

Os três tipos principais:

Criptografia Simétrica

  • Mesma chave para criptografar e descriptografar.
  • Mais rápida, mas tem o problema da distribuição segura da chave.
  • Exemplos: AES (padrão atual), DES (antigo, substituído pelo AES).

Criptografia Assimétrica (Chave Pública)

  • Par de chaves: uma pública (pode ser compartilhada com qualquer um) e uma privada (fica só com o dono).
  • O que é criptografado com a pública só é descriptografado com a privada, e vice-versa.
  • Mais lenta, mas resolve o problema de distribuição de chaves.
  • Exemplos: RSA, ECC.
  • Base do HTTPS, das assinaturas digitais e dos certificados.

Hashing

  • Não é criptografia no sentido tradicional - é uma função de mão única.
  • Transforma qualquer entrada em um resumo de tamanho fixo (o “hash”).
  • Não dá para reverter: a partir do hash, não dá para recuperar a entrada original.
  • Usado para verificar integridade (se o hash mudou, o arquivo foi alterado) e armazenar senhas.
  • Exemplos: SHA-256, MD5 (esse já está obsoleto por ser vulnerável a colisões).

A evolução histórica vai da Cifra de César (substituição simples de letras) até a criptografia quântica, que usa princípios da mecânica quântica para criar comunicação teoricamente inviolável.

Segurança de Redes

Redes baseadas em TCP/IP têm vulnerabilidades em várias camadas: hardware, software, protocolos e aplicações. As medidas de proteção recomendadas incluem:

  • Firewalls - controlam o tráfego de entrada e saída com base em regras.
  • Segmentação de rede - dividir a rede em zonas. A mais comum é a DMZ (Zona Desmilitarizada), que isola serviços expostos à internet (como servidores web) da rede interna.
  • IDS/IPS - Intrusion Detection/Prevention Systems. O IDS detecta e alerta; o IPS detecta e bloqueia ativamente.
  • MFA - autenticação multifator, especialmente para acessos remotos.
  • Conscientização dos usuários - sempre o elo mais fraco da corrente.

Segurança em Aplicações Web

A dependência de sistemas web atrai ataques constantes. As vulnerabilidades mais cobradas em prova:

SQL Injection

Inserção de comandos SQL em campos de entrada para acessar, modificar ou apagar dados do banco. Um campo de login sem sanitização pode se tornar uma porta de entrada para o banco inteiro.

Proteção: consultas parametrizadas (prepared statements). Nunca concatenar strings diretamente na query.

-- Errado (vulnerável):
SELECT * FROM users WHERE username = '" + input + "'

-- Correto (parametrizado):
SELECT * FROM users WHERE username = ?

Cross-Site Scripting (XSS)

Injeção de scripts maliciosos em páginas web. O script é executado no navegador de outros usuários, podendo roubar cookies de sessão e credenciais.

Proteção: escape de caracteres especiais (HTML/JavaScript) e implementação de CSP (Content Security Policy).

Cross-Site Request Forgery (CSRF)

Induz o usuário autenticado a executar ações não intencionais. O usuário está logado em um sistema e acessa uma página maliciosa que faz uma requisição em nome dele.

Proteção: tokens anti-CSRF únicos por sessão e exigência de autenticação para ações sensíveis.

Outras vulnerabilidades web:

  • Autenticação fraca ou mal implementada.
  • Configurações incorretas de servidor (portas abertas, permissões erradas).
  • Injeção de código no lado do servidor (PHP injection).
  • Vulnerabilidades em uploads de arquivos (upload de arquivo .php disfarçado de imagem).
  • Falhas em APIs REST sem autenticação adequada.

Boas práticas gerais: validação rigorosa de entrada, gerenciamento seguro de sessões, uso de HTTPS, e DLP (Data Loss Prevention) para monitorar e prevenir vazamentos.

Segurança em Dispositivos Móveis

Smartphones são alvos de alto valor porque concentram dados pessoais e corporativos no mesmo aparelho. As ameaças principais:

  • Malwares móveis (apps maliciosos nas lojas).
  • Roubo físico do aparelho.
  • Redes Wi-Fi públicas inseguras.
  • Ataques via SMS/MMS.
  • Jailbreaking (iOS) e Rooting (Android) - desbloqueios que removem as proteções do sistema.

Modelos de uso corporativo:

BYOD (Bring Your Own Device) - o funcionário usa o próprio dispositivo. Flexível, mas difícil de controlar.

CYOD (Choose Your Own Device) - a empresa oferece uma lista de dispositivos aprovados e o funcionário escolhe. Equilíbrio entre flexibilidade e controle.

COPE (Corporate-Owned Personally-Enabled) - o dispositivo é da empresa, mas o funcionário pode instalar apps pessoais. É o modelo mais controlável sem ser 100% restritivo.

Sistemas de gestão:

EMM (Enterprise Mobility Management) - conjunto amplo de políticas e ferramentas para toda a mobilidade corporativa.

MDM (Mobile Device Management) - foco no gerenciamento centralizado do aparelho. Permite rastreio, bloqueio remoto, distribuição de apps e exclusão remota de dados (wipe) em caso de perda ou roubo.

Defesas básicas: atualizações constantes do SO, VPN em redes públicas, restrição de permissões de apps, biometria + senha forte + 2FA.

Engenharia Social: o ataque que não precisa de código

Diferente dos ataques técnicos, a engenharia social foca na manipulação psicológica. Explora emoções como curiosidade, medo, cobiça e urgência para enganar o usuário.

Táticas comuns:

Phishing - e-mails ou SMS falsos com senso de urgência (“sua conta será bloqueada”, “acesse agora”). É o vetor de ataque mais comum do mundo.

Vishing - phishing por voz (ligação telefônica). O atacante se passa por suporte técnico, banco ou autoridade.

Pretexting - criar um cenário falso para extrair informações (“Sou do RH e preciso confirmar seus dados”).

Dumpster Diving - vasculhar o lixo físico em busca de documentos com informações sensíveis. Parece ultrapassado, mas ainda funciona.

Wi-Fi falso (Evil Twin) - criar um ponto de acesso Wi-Fi com nome similar ao legítimo em locais públicos para interceptar o tráfego.

Aplicativos falsos - apps que se passam por software legítimo para capturar credenciais.

Defesas:

  • Treinamento e conscientização constante - o humano é o elo mais fraco.
  • Validação rigorosa de identidade para qualquer pedido de dados ou acesso.
  • 2FA - mesmo que a senha seja comprometida, o segundo fator segura.
  • Princípio do menor privilégio - limita o dano se alguém for enganado.

Análise de Vulnerabilidades e Pentest

Para se antecipar aos atacantes, as organizações realizam avaliações ativas de segurança.

O que é Pentest

Teste de intrusão: um ataque simulado e controlado, com escopo e autorização formal definidos. O objetivo é encontrar vulnerabilidades antes que um atacante real as encontre.

Fases do Pentest:

  1. Coleta de informações (Reconnaissance) - mapear o alvo: IPs, domínios, serviços expostos, funcionários, tecnologias usadas.
  2. Análise de vulnerabilidades - identificar pontos fracos no que foi mapeado.
  3. Planejamento de ataques - definir os vetores e técnicas a usar.
  4. Execução de ataques - explorar as vulnerabilidades de forma controlada.
  5. Documentação e relatório - registrar tudo: o que foi encontrado, como foi explorado e o impacto.
  6. Discussão e melhorias - apresentar o relatório para o cliente e acompanhar a correção.

Tipos de análise:

SAST (Static Application Security Testing) - análise estática, “caixa branca”. Avalia o código-fonte sem executar o sistema. Detecta falhas de lógica que ferramentas dinâmicas não veriam.

DAST (Dynamic Application Security Testing) - análise dinâmica, “caixa preta”. Testa o sistema em execução, simulando um atacante externo sem acesso ao código.

Tipos de teste por conhecimento:

Black-box (Caixa Preta) - o testador não tem nenhuma informação prévia do sistema. Simula um ataque realista de alguém de fora.

White-box (Caixa Branca) - o testador tem acesso total: código-fonte, infraestrutura, endereços IP, credenciais. Permite uma avaliação profunda e completa.

Gray-box (Caixa Cinza) - nível intermediário. O testador tem algumas informações (tipo de banco de dados, tecnologia usada), mas não acesso total.

Auditoria de Sistemas

Auditoria de sistemas é o processo sistemático de avaliar e verificar os controles de segurança, políticas e procedimentos de um ambiente de TI, garantindo conformidade com regulamentações e melhores práticas.

O auditor precisa ser independente e imparcial - não pode auditar algo que ele mesmo implementou.

As três fases da auditoria:

1. Planejamento

  • Definição dos objetivos e do escopo.
  • Avaliação detalhada dos riscos para priorizar os pontos críticos.
  • Definição de metodologia e cronograma.

2. Execução (Trabalho em campo)

  • Coleta de evidências: entrevistas, revisão de documentos, testes técnicos.
  • Análise de configurações, logs, políticas e procedimentos.
  • Execução de ferramentas de análise.

3. Relatório

  • Documento formal com as descobertas e recomendações.
  • Comunicação à alta administração.
  • Follow-up - acompanhamento para garantir que as ações corretivas foram implementadas.

Controles que a auditoria avalia:

Controles Físicos - câmeras, catracas, biometria física, cercas, portas com fechadura. A auditoria verifica se esses controles existem, funcionam e são suficientes.

Controles Lógicos - senhas, 2FA, firewalls, roteadores, RBAC, criptografia. São os controles baseados em software e configuração.

Controles Organizacionais - as práticas que garantem a continuidade e a governança:

  • PSI - Política de Segurança da Informação.
  • BCP (Business Continuity Plan) - plano que garante que a operação continue após um incidente.
  • DRP (Disaster Recovery Plan) - plano específico para recuperação de sistemas após um desastre.
  • Programas de treinamento e conscientização.

A diferença entre BCP e DRP é importante: o BCP garante a continuidade do negócio como um todo; o DRP foca especificamente na recuperação da infraestrutura de TI.

Técnicas de auditoria:

Interação com pessoas - entrevistas, questionários, observação direta do cotidiano. Serve para entender o nível de conscientização dos colaboradores e os desafios reais do ambiente.

Análise manual - revisão de documentações, políticas, configurações de sistemas, fluxogramas e análise de código-fonte.

Análise técnica (ferramentas) - uso de softwares especializados:

Ferramenta Para que serve
Nmap Varredura de redes - descobrir hosts e portas abertas
Wireshark Captura e análise de pacotes de dados na rede
Metasploit Testes de penetração - explorar vulnerabilidades conhecidas
Burp Suite Pentest de aplicações web - interceptar e manipular requisições HTTP
Nessus / OpenVAS Scanners de vulnerabilidades automáticos
Splunk SIEM - análise e gerenciamento de logs em larga escala

O Splunk merece atenção especial: é uma ferramenta de SIEM (Security Information and Event Management). Coleta logs de múltiplas fontes, correlaciona eventos e permite detectar padrões anômalos que indicam ataques em andamento.

Auditoria em IoT

A Internet das Coisas (IoT) trouxe novos desafios para a auditoria porque os dispositivos são muitos, diversos e frequentemente negligenciados em segurança.

Uma câmera IP, um sensor de temperatura industrial, um smart TV na sala de reunião: todos são potencialmente vetores de ataque se não forem gerenciados corretamente.

O auditor focado em IoT precisa verificar:

  • Segurança da comunicação - os dispositivos estão usando canais criptografados? Existe risco de interceptação?
  • Privacidade dos dados - que dados os dispositivos coletam e para onde eles vão?
  • Atualizações de firmware - os dispositivos recebem atualizações? Estão na versão mais recente?
  • Padronização de logs - os logs dos dispositivos estão sendo coletados e analisados? Dispositivos IoT muitas vezes geram logs em formatos proprietários, dificultando a análise centralizada.

Auditoria Contínua

O modelo tradicional de auditoria é periódico: auditoria anual, semestral. O problema é que muito coisa pode acontecer entre uma auditoria e outra.

A auditoria contínua muda essa lógica: monitoramento constante e em tempo real dos sistemas.

É sustentada pela análise de dados - ferramentas como SQL e Python para examinar grandes volumes de informação e detectar anomalias de forma proativa. Em vez de descobrir um problema 6 meses depois, você detecta no momento em que acontece.

Na prática, ferramentas de SIEM como o Splunk são a base técnica para a auditoria contínua.

Tendências e Ameaças Emergentes

O material fecha com um olhar para onde o setor está indo:

Tecnologias emergentes que mudam o jogo:

  • Inteligência Artificial - tanto para defesa (detecção de anomalias) quanto para ataque (automação de phishing, deepfakes).
  • Computação Quântica - ameaça futura à criptografia assimétrica atual (RSA e ECC podem ser quebrados por computadores quânticos suficientemente potentes).
  • Blockchain - potencial para registros imutáveis de auditoria.
  • 5G e Edge Computing - mais dispositivos conectados, mais superfície de ataque.

Ameaças emergentes:

  • Deepfakes - vídeos e áudios sintéticos usados para engenharia social sofisticada. Simular a voz do CEO pedindo uma transferência urgente já aconteceu no mundo real.
  • Ransomware aprimorado - ataques mais direcionados, com exfiltração de dados antes da criptografia (dupla extorsão).
  • Ataques a dispositivos IoT - câmeras, roteadores e dispositivos industriais como vetores de entrada para redes corporativas.

Cultura de Segurança: a parte que todo mundo ignora

De nada adianta ter o melhor firewall se o funcionário clica em qualquer link que chega por e-mail.

A segurança precisa ser incorporada à cultura da empresa. Isso passa por:

  • Ética no tratamento dos dados dos usuários - os dados dos clientes são ativos sensíveis, não fonte de receita.
  • Ambiente de desenvolvimento seguro - código criptografado, conexões HTTPS por padrão, políticas fortes de senhas desde o início do projeto.
  • Treinamento contínuo e não apenas no onboarding.
  • Simulações de phishing para medir e melhorar a conscientização dos colaboradores.

Armazenamento em Nuvem

A computação em nuvem otimizou o armazenamento, mas criou novos vetores de risco. As boas práticas incluem:

  • Criptografia em múltiplas camadas: em repouso (dados guardados), em trânsito (dados sendo transferidos) e em uso (dados em processamento na memória).
  • Auditorias constantes do ambiente de nuvem.
  • Redundância para garantir disponibilidade - dados replicados em múltiplas regiões ou zonas.
  • Controle de acesso granular - o IAM dos provedores de nuvem (AWS IAM, Azure AD, Google IAM) precisa ser configurado corretamente, seguindo o princípio do mínimo privilégio.

Resumo Rápido para a Prova

Esses são os pontos que eu garantiria que estariam na cabeça antes de entrar na sala (mensagem pra mim mesmo):

Tríade CID - Confidencialidade, Integridade, Disponibilidade. Mais: Autenticidade, Não-repúdio, Legalidade.

Risco = Probabilidade x Impacto. Tratamentos: Mitigar, Aceitar, Eliminar, Transferir.

Modelos de controle de acesso: DAC (dono decide), MAC (regras rígidas), RBAC (por cargo), ABAC (por atributos).

Família ISO 27000: 27001 = requisitos/certificação, 27002 = diretrizes/controles, 27701 = privacidade.

Tipos de criptografia: Simétrica (mesma chave, AES), Assimétrica (par de chaves, RSA), Hashing (mão única, SHA-256).

Ataques web principais: SQL Injection (consultas parametrizadas), XSS (escape de caracteres), CSRF (tokens anti-CSRF).

Tipos de pentest: Black-box (sem info), White-box (acesso total), Gray-box (parcial). SAST (estático/código), DAST (dinâmico/execução).

Fases da auditoria: Planejamento, Execução, Relatório (com follow-up).

BCP vs DRP: BCP = continuidade do negócio, DRP = recuperação da TI.

Engenharia social: treinamento é a principal defesa. O humano é o elo mais fraco.

Esse post cobre o conteúdo das quatro unidades da disciplina. Qualquer erro ou ponto que ficou obscuro, me manda uma mensagem no Linkedin! Revisando juntos fixa melhor do que só lendo.