Capa do Ebook gratuito Preparatório Caixa Econômica Federal - Técnico Bancário - Tecnologia da Informação

Preparatório Caixa Econômica Federal - Técnico Bancário - Tecnologia da Informação

Novo curso

20 páginas
Todos os cursos > Concursos > Caixa econômica ::

Preparatório Caixa TI: Segurança da Informação, princípios e controles

Capítulo 7

Tempo estimado de leitura: 13 minutos

+ Exercício

Pilares e objetivos da Segurança da Informação

Segurança da Informação busca proteger dados e serviços para que a organização opere com confiança e previsibilidade. Em provas, é comum cobrar os objetivos clássicos (CIA) e objetivos complementares (autenticidade e não repúdio), além de como controles e políticas se conectam a riscos.

Confidencialidade

Confidencialidade garante que a informação seja acessada apenas por quem tem permissão. Quebras típicas: vazamento de dados de clientes, exposição de credenciais, compartilhamento indevido de relatórios internos.

  • Controles comuns: criptografia em repouso e em trânsito, controle de acesso, mascaramento, DLP (prevenção de perda de dados), segregação de ambientes, classificação e rotulagem.
  • Exemplo prático: um arquivo com dados de clientes deve ficar em repositório com permissões restritas e criptografia; ao enviar para outra área, usar canal seguro e registrar a transferência.

Integridade

Integridade garante que a informação não seja alterada de forma não autorizada (ou que alterações sejam detectáveis). Quebras típicas: adulteração de valores, alteração de parâmetros de sistema, manipulação de logs.

  • Controles comuns: hashes e assinaturas digitais, trilhas de auditoria, controle de mudanças, validação de entrada, versionamento, backups com verificação.
  • Exemplo prático: ao publicar um arquivo de configuração em produção, usar controle de versão e revisão por pares; registrar quem alterou, quando e por quê.

Disponibilidade

Disponibilidade garante que sistemas e dados estejam acessíveis quando necessários. Quebras típicas: indisponibilidade por falha de hardware, ataque de negação de serviço, erro de configuração, falta de capacidade.

  • Controles comuns: redundância, balanceamento, monitoramento, capacidade, backups, planos de continuidade (BCP) e recuperação de desastres (DRP), hardening para reduzir falhas, gestão de patches.
  • Exemplo prático: serviço crítico deve ter monitoramento com alertas, rotinas de backup testadas e plano de contingência com RTO/RPO definidos.

Autenticidade

Autenticidade assegura que uma entidade (usuário, sistema, mensagem) é quem diz ser. É cobrada junto de autenticação forte e uso de certificados.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Controles comuns: autenticação multifator (MFA), certificados digitais, chaves de API com rotação, validação de origem, mTLS em integrações.

Não repúdio

Não repúdio impede que alguém negue uma ação realizada, fornecendo evidências verificáveis. É associado a assinatura digital, carimbo do tempo e logs protegidos.

  • Controles comuns: assinatura digital com certificado, timestamp confiável, logs imutáveis (WORM), trilhas de auditoria com integridade garantida.
  • Exemplo prático: aprovação de operação sensível (ex.: liberação de pagamento) pode exigir assinatura digital e registro auditável.

Políticas, normas e procedimentos

Em governança de segurança, é essencial diferenciar:

  • Política: diretriz de alto nível (o que deve ser feito e por quê). Ex.: Política de Controle de Acesso.
  • Norma/standard: regras mais específicas (como deve ser feito). Ex.: padrão de senha, padrão de criptografia.
  • Procedimento: passo a passo operacional (como executar). Ex.: procedimento de criação de usuário, revogação e revisão periódica.

Passo a passo prático: criando uma política mínima de controle de acesso

  • Definir escopo: quais sistemas e dados a política cobre.
  • Definir papéis e responsabilidades: dono do dado, TI, segurança, auditoria.
  • Estabelecer regras: menor privilégio, segregação de funções, revisão periódica, MFA para acessos privilegiados.
  • Definir processo de concessão e revogação: solicitação, aprovação, implementação, registro.
  • Definir monitoramento e auditoria: logs, alertas, revisões trimestrais/semestrais.
  • Definir exceções: como solicitar, prazo, compensações e aprovação.

Classificação da informação

Classificar informação significa atribuir níveis de sensibilidade e regras de manuseio. A prova costuma cobrar que a classificação orienta controles de acesso, criptografia, retenção e compartilhamento.

Exemplo de níveis (modelo genérico)

  • Pública: pode ser divulgada sem impacto relevante.
  • Interna: uso interno; divulgação externa pode causar impacto moderado.
  • Confidencial: acesso restrito; vazamento causa impacto significativo (ex.: dados de clientes, estratégias).
  • Restrita/Sigilo: acesso altamente controlado; vazamento causa impacto crítico (ex.: chaves, segredos industriais, investigações).

Passo a passo prático: aplicando classificação no dia a dia

  • Identificar o tipo de dado (pessoal, financeiro, operacional, credencial, log).
  • Definir o nível de classificação conforme impacto de vazamento/alteração/indisponibilidade.
  • Rotular e registrar (metadados, tags no repositório, cabeçalho/rodapé em documentos quando aplicável).
  • Aplicar controles: permissões, criptografia, DLP, restrição de compartilhamento, retenção.
  • Revisar periodicamente: reclassificar quando o contexto mudar.

Gestão de riscos: do ativo ao controle

Risco é a combinação de probabilidade e impacto de um evento que explora uma vulnerabilidade e afeta um ativo. A gestão de riscos conecta objetivos (CIA+autenticidade+não repúdio) a controles.

Conceitos essenciais

  • Ativo: o que tem valor (dados, sistemas, processos, pessoas).
  • Ameaça: causa potencial de incidente (fraude, malware, erro humano, falha elétrica).
  • Vulnerabilidade: fraqueza explorável (senha fraca, patch atrasado, configuração insegura).
  • Risco: ameaça explorando vulnerabilidade com impacto no ativo.
  • Controle: medida para reduzir risco (preventivo, detectivo, corretivo).

Passo a passo prático: avaliação simples de risco (matriz)

  • Listar ativos críticos (ex.: sistema de atendimento, base de clientes, serviço de autenticação).
  • Para cada ativo, listar ameaças relevantes (ex.: vazamento, indisponibilidade, adulteração).
  • Identificar vulnerabilidades existentes (ex.: sem MFA, sem patch, permissões amplas).
  • Estimar impacto (baixo/médio/alto) e probabilidade (baixa/média/alta).
  • Priorizar riscos (ex.: alto impacto + alta probabilidade).
  • Selecionar controles e responsáveis; definir prazo.
  • Acompanhar e reavaliar (ciclo contínuo).

Ameaças e vulnerabilidades: exemplos cobrados

Ameaças frequentes

  • Engenharia social: phishing, pretexting, vishing.
  • Malware: ransomware, trojans, spyware.
  • Ataques a credenciais: força bruta, credential stuffing, reutilização de senha.
  • Insider: abuso de privilégio, vazamento intencional ou acidental.
  • Indisponibilidade: falhas de infraestrutura, erros operacionais, DoS/DDoS.

Vulnerabilidades típicas

  • Configurações padrão e serviços desnecessários habilitados.
  • Falta de correções (patches) e versões obsoletas.
  • Permissões excessivas e ausência de revisão de acessos.
  • Logs insuficientes ou sem proteção de integridade.
  • Backups inexistentes, não testados ou acessíveis pelo mesmo domínio do ambiente comprometido.

AAA: Autenticação, Autorização e Auditoria

AAA organiza três funções essenciais de segurança em sistemas corporativos.

Autenticação (quem é você?)

Valida a identidade do usuário/sistema. Pode usar fatores: algo que você sabe (senha), algo que você tem (token), algo que você é (biometria). MFA combina fatores para reduzir risco.

  • Boas práticas: MFA para acessos privilegiados; bloqueio e rate limit contra força bruta; políticas de senha e rotação quando aplicável; SSO com federação; gestão de sessão.

Autorização (o que você pode fazer?)

Define permissões após a autenticação. Deve seguir menor privilégio e segregação de funções.

  • Boas práticas: papéis bem definidos; permissões por necessidade; revisões periódicas; aprovação formal para acessos sensíveis.

Auditoria (o que aconteceu?)

Registra eventos para rastreabilidade, detecção e investigação. Auditoria sustenta integridade e não repúdio quando os logs são protegidos.

  • Boas práticas: logs centralizados; sincronização de tempo; retenção conforme política; proteção contra alteração; alertas para eventos críticos.

Passo a passo prático: desenhando AAA para um sistema interno

  • Definir método de autenticação: SSO + MFA para perfis sensíveis.
  • Mapear perfis de acesso: operador, supervisor, auditor, admin.
  • Definir regras de autorização por função e por contexto (ex.: horário, rede, dispositivo).
  • Definir eventos auditáveis: login, falhas, mudanças de permissão, operações financeiras, exportação de dados.
  • Garantir integridade dos logs: envio para repositório central, acesso restrito, retenção e alertas.

Controle de acesso: RBAC e ABAC (conceitual)

RBAC (Role-Based Access Control)

No RBAC, permissões são atribuídas a papéis (roles) e usuários recebem papéis. É eficaz para ambientes com funções bem definidas.

  • Exemplo: role Atendente pode consultar cadastro; role Supervisor pode aprovar exceções; role Auditor pode ler relatórios e logs.
  • Ponto de atenção: explosão de papéis se houver muitas variações; exige governança para evitar acúmulo de permissões.

ABAC (Attribute-Based Access Control)

No ABAC, decisões de acesso usam atributos (do usuário, do recurso, da ação e do contexto). Permite regras mais finas e dinâmicas.

  • Exemplo: permitir exportação de relatório apenas se departamento=Risco, nível de classificação=Interna, dispositivo gerenciado=true e horário comercial=true.
  • Ponto de atenção: maior complexidade de modelagem e necessidade de atributos confiáveis.

Princípios: menor privilégio e segregação de funções

  • Menor privilégio: conceder apenas o necessário para a tarefa. Reduz impacto de comprometimento e erros.
  • Segregação de funções (SoD): separar atividades críticas para evitar fraude e erros (ex.: quem solicita não aprova; quem desenvolve não implanta em produção sem controle).

Hardening e configuração segura

Hardening é o processo de reduzir a superfície de ataque por meio de configurações seguras, remoção de componentes desnecessários e aplicação de boas práticas.

Passo a passo prático: hardening básico de servidor (visão geral)

  • Inventariar serviços e portas: desabilitar o que não é necessário.
  • Aplicar baseline de configuração: políticas de senha, bloqueio, criptografia, parâmetros de sistema.
  • Restringir acesso administrativo: MFA, bastion/jump server quando aplicável, acesso por rede controlada.
  • Configurar firewall local e listas de controle: permitir apenas origens necessárias.
  • Habilitar e centralizar logs: autenticação, privilégios, alterações.
  • Validar permissões de arquivos e segredos: chaves e credenciais fora de repositórios públicos e com acesso mínimo.
  • Executar verificação periódica: varredura de configuração e conformidade com baseline.

Gestão de patches e vulnerabilidades

Gestão de patches reduz risco explorável por falhas conhecidas. Deve equilibrar rapidez (segurança) e estabilidade (mudanças controladas).

Passo a passo prático: ciclo de patch

  • Inventário: saber quais ativos e versões existem.
  • Monitoramento de boletins: identificar patches relevantes e criticidade.
  • Priorização por risco: ativos críticos e vulnerabilidades exploráveis primeiro.
  • Teste em ambiente controlado: validar compatibilidade.
  • Janela de mudança e aprovação: registrar e planejar rollback.
  • Implantação: automatizar quando possível.
  • Verificação: confirmar versão corrigida e ausência de regressões.
  • Registro e evidências: para auditoria e conformidade.

Backup, restauração e continuidade (BCP/DRP)

Backups e planos de continuidade sustentam disponibilidade e integridade. Em cenários como ransomware, o backup só é útil se estiver protegido e testado.

Conceitos práticos

  • RPO (Recovery Point Objective): quanto de dado pode ser perdido (ex.: 15 minutos).
  • RTO (Recovery Time Objective): tempo máximo para restaurar o serviço (ex.: 2 horas).
  • Regra 3-2-1 (boa referência): 3 cópias, 2 mídias/formatos, 1 cópia fora do ambiente principal (ou imutável).

Passo a passo prático: estratégia de backup resiliente

  • Classificar sistemas por criticidade e definir RPO/RTO.
  • Escolher tipos: completo, incremental/diferencial conforme necessidade.
  • Isolar e proteger backups: acesso restrito, credenciais separadas, imutabilidade quando possível.
  • Criptografar backups e gerenciar chaves com controle.
  • Testar restauração periodicamente: teste parcial e teste de desastre.
  • Documentar procedimentos: quem executa, onde estão as cópias, como restaurar.

Continuidade e recuperação

  • BCP: como manter o negócio operando (processos alternativos, priorização de serviços).
  • DRP: como recuperar TI após desastre (ambiente secundário, restauração, validação).
  • Controles associados: redundância, replicação, runbooks, exercícios simulados.

Questões situacionais: identificar risco e mapear controles

1) Vazamento por envio de planilha com dados sensíveis

Cenário: colaborador envia por e-mail uma planilha com dados de clientes para destinatário externo por engano.

  • Risco principal: quebra de confidencialidade.
  • Vulnerabilidades: ausência de classificação/rotulagem, permissões amplas, falta de DLP.
  • Controles adequados: classificação e rotulagem; DLP para bloquear envio externo; criptografia; treinamento e procedimento de compartilhamento; revisão de permissões; registro e resposta a incidente.

2) Alteração indevida de parâmetros em produção

Cenário: um usuário com acesso administrativo altera parâmetros e impacta cálculos.

  • Risco principal: quebra de integridade e possível indisponibilidade.
  • Vulnerabilidades: privilégios excessivos, ausência de segregação de funções, mudanças sem aprovação.
  • Controles adequados: menor privilégio; RBAC para separar admin/operador; segregação de funções; controle de mudanças (aprovação e registro); auditoria de alterações; alertas para ações privilegiadas.

3) Ransomware criptografa servidores e backups acessíveis

Cenário: malware criptografa dados e também os backups conectados.

  • Risco principal: indisponibilidade e perda de integridade dos dados.
  • Vulnerabilidades: backups sem isolamento, credenciais compartilhadas, falta de imutabilidade, patches atrasados.
  • Controles adequados: backups isolados/imutáveis; contas separadas; MFA para administração; hardening; gestão de patches; segmentação; testes de restauração; plano de resposta e DRP com RTO/RPO.

4) Usuário nega ter aprovado uma operação sensível

Cenário: após uma transação crítica, o usuário afirma que não realizou a aprovação.

  • Risco principal: falta de não repúdio e falha de auditoria.
  • Vulnerabilidades: autenticação fraca, logs incompletos, ausência de assinatura/registro forte.
  • Controles adequados: MFA; assinatura digital para aprovações; logs com integridade (WORM); carimbo do tempo; trilha de auditoria com correlação de eventos.

5) Excesso de acessos acumulados após mudanças de função

Cenário: colaborador muda de área e mantém permissões antigas, somando acessos.

  • Risco principal: quebra de confidencialidade e fraude (abuso de privilégio).
  • Vulnerabilidades: falta de processo de recertificação e revogação, RBAC mal governado.
  • Controles adequados: recertificação periódica de acessos; processo de offboarding/mudança de função; menor privilégio; segregação de funções; automação de provisionamento com aprovação.

6) Indisponibilidade por falha e ausência de plano testado

Cenário: queda de componente crítico e recuperação demora por falta de procedimento.

  • Risco principal: indisponibilidade prolongada.
  • Vulnerabilidades: ausência de DRP/runbook, falta de testes, monitoramento insuficiente.
  • Controles adequados: DRP com runbooks; exercícios simulados; redundância; monitoramento e alertas; gestão de capacidade; definição de RTO/RPO e priorização de serviços.

Agora responda o exercício sobre o conteúdo:

Em um sistema interno, é necessário impedir que um usuário negue ter aprovado uma operação sensível após a transação. Qual conjunto de controles atende melhor a esse objetivo?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

O objetivo é garantir não repúdio, fornecendo evidências verificáveis de que a ação ocorreu. Assinatura digital, carimbo do tempo e logs protegidos por integridade sustentam a rastreabilidade e impedem negação da aprovação.

Próximo capitúlo

Preparatório Caixa TI: Criptografia e segurança em aplicações e redes

Arrow Right Icon
Aprenda Caixa econômica

AprendaCaixa econômica

Material preparatório gratuito para concurso público da Caixa Econômica Federal. Dicas, conhecimentos bancários e muito mais, o melhor, totalmente de graça.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store