Capa do Ebook gratuito Escriturário do Banco do Brasil - Agente de Tecnologia: Preparação para Concurso

Escriturário do Banco do Brasil - Agente de Tecnologia: Preparação para Concurso

Novo curso

16 páginas
Todos os cursos > Concursos > Banco do Brasil ::

Segurança da Informação e cibersegurança no Banco do Brasil – Agente de Tecnologia

Capítulo 10

Tempo estimado de leitura: 12 minutos

+ Exercício

Princípios de Segurança da Informação (CIAAN)

Confidencialidade

Confidencialidade garante que a informação só seja acessada por pessoas, sistemas e processos autorizados. Em um banco, isso se aplica a dados cadastrais, saldos, chaves de API, segredos de aplicações, logs sensíveis e informações internas.

  • Exemplos práticos: restringir acesso a dados de clientes por perfil (menor privilégio); criptografar dados em trânsito e em repouso; mascarar dados em telas e relatórios.
  • Riscos típicos: vazamento por credenciais expostas, permissões excessivas, compartilhamento indevido, interceptação de tráfego.

Integridade

Integridade assegura que a informação não seja alterada de forma não autorizada e que alterações autorizadas sejam rastreáveis. No contexto bancário, integridade é crucial para transações, limites, cadastros, regras antifraude e registros contábeis.

  • Exemplos práticos: uso de controles transacionais, trilhas de auditoria, assinaturas digitais, validações de entrada e controle de versões.
  • Riscos típicos: adulteração de dados por invasor, falhas de validação, injeções, manipulação de parâmetros em canais digitais.

Disponibilidade

Disponibilidade garante que sistemas e dados estejam acessíveis quando necessários, com desempenho e continuidade adequados. Em canais digitais, indisponibilidade pode significar perda de receita, degradação de experiência e risco operacional.

  • Exemplos práticos: redundância, balanceamento, mitigação de DDoS, monitoramento, planos de contingência, backups testados.
  • Riscos típicos: ransomware, falhas de infraestrutura, ataques de negação de serviço, esgotamento de recursos.

Autenticidade

Autenticidade confirma que uma entidade é quem diz ser (usuário, serviço, dispositivo) e que uma mensagem veio da fonte esperada. É base para login, autorização e confiança entre serviços.

  • Exemplos práticos: autenticação forte (MFA), certificados em mTLS entre serviços, validação de origem em integrações.

Não repúdio

Não repúdio impede que uma parte negue uma ação realizada, fornecendo evidências verificáveis. Em operações financeiras, isso se relaciona a comprovação de transações, assinaturas e registros de auditoria.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo
  • Exemplos práticos: assinaturas digitais com certificados, carimbo de tempo, logs imutáveis e trilhas de auditoria com integridade.

Ameaças comuns em ambientes bancários e canais digitais

Phishing (e variações)

Phishing é a tentativa de enganar usuários para obter credenciais, tokens, dados pessoais ou induzir instalação de malware. Pode ocorrer por e-mail, SMS (smishing), telefone (vishing) ou mensagens em apps.

  • Sinais comuns: urgência, links encurtados, domínio parecido, anexos inesperados, pedido de “atualização de senha”.
  • Impactos: tomada de conta, fraude, movimentações indevidas, acesso a sistemas internos.

Ransomware

Ransomware é um malware que criptografa dados/sistemas e exige resgate. Em bancos, o impacto maior costuma ser indisponibilidade e risco de vazamento por dupla extorsão (criptografa e exfiltra).

  • Vetores comuns: phishing com anexo, exploração de vulnerabilidade, credenciais vazadas em acesso remoto, movimentação lateral.
  • Impactos: paralisação de serviços, perda de dados, custos de recuperação, risco regulatório.

Engenharia social

Engenharia social explora comportamento humano para obter acesso ou informações. Pode envolver pretexting (história falsa), baiting (isca), tailgating (entrada física), ou solicitação de “quebra de procedimento”.

  • Exemplo aplicado: alguém se passando por suporte pedindo para “validar o MFA” ou “instalar um agente”.
  • Impactos: bypass de controles, vazamento de informações, instalação de backdoors.

Exploração de vulnerabilidades

Explorar vulnerabilidades é aproveitar falhas em software, bibliotecas, configurações ou infraestrutura para executar código, escalar privilégios, vazar dados ou derrubar serviços.

  • Exemplos: falhas conhecidas sem patch, serviços expostos com configuração padrão, dependências com CVEs, permissões excessivas.
  • Impactos: comprometimento de servidores, acesso a bases, alteração de dados, indisponibilidade.

Controles e boas práticas: o que aplicar e por quê

MFA (Autenticação Multifator)

MFA adiciona camadas além da senha: algo que você sabe (senha), algo que você tem (token/app), algo que você é (biometria). Reduz drasticamente risco de tomada de conta por credenciais vazadas.

  • Onde aplicar: acessos administrativos, VPN, painéis de nuvem, sistemas críticos, operações sensíveis.
  • Cuidados: preferir fatores resistentes a phishing (ex.: chaves FIDO2) quando possível; proteger processo de recuperação de conta.

Hardening (endurecimento)

Hardening é reduzir a superfície de ataque removendo o que não é necessário e configurando com segurança.

Passo a passo prático (checklist inicial):

  • Inventariar serviços e portas expostas.
  • Desabilitar serviços não usados e remover pacotes desnecessários.
  • Aplicar princípio do menor privilégio em contas e permissões.
  • Configurar políticas de senha, bloqueio e auditoria.
  • Restringir acesso administrativo (rede, bastion, allowlist).
  • Padronizar imagens (golden images) e validar conformidade.

Patching (correção/atualização)

Patching é manter sistemas, bibliotecas e dependências atualizados para corrigir vulnerabilidades conhecidas.

Passo a passo prático (ciclo de patch):

  • Monitorar fontes de vulnerabilidades (CVE, advisories de fornecedores) e inventário de ativos.
  • Classificar criticidade (exposição, impacto, exploit disponível).
  • Testar patches em ambiente controlado e com rollback planejado.
  • Aplicar em janelas de manutenção (ou estratégia rolling/blue-green).
  • Validar pós-patch (serviços, métricas, logs) e evidenciar conformidade.

Backup (e restauração testada)

Backup protege contra perda de dados e acelera recuperação em incidentes como ransomware, falhas humanas e corrupção lógica. O ponto crítico é a capacidade de restaurar dentro de RTO/RPO definidos.

Passo a passo prático (3-2-1 com testes):

  • Definir RPO (quanto de dado pode perder) e RTO (tempo máximo de recuperação).
  • Aplicar regra 3-2-1: 3 cópias, 2 mídias/locais, 1 cópia offline/imutável.
  • Proteger backups com controle de acesso forte e segregação (contas diferentes).
  • Automatizar e monitorar falhas de backup.
  • Executar testes periódicos de restauração (amostrais e completos).

Criptografia

Criptografia protege confidencialidade (e, em alguns casos, integridade/autenticidade) de dados em trânsito e em repouso. O valor real depende de gestão de chaves (KMS/HSM), rotação e controle de acesso.

  • Em trânsito: TLS entre cliente e servidor e entre serviços internos.
  • Em repouso: criptografia de disco/volume, banco de dados, objetos e backups.
  • Gestão de chaves: rotação, segregação, auditoria, proteção contra extração.

Criptografia aplicada: simétrica, assimétrica, hash, certificados e TLS

Criptografia simétrica

Usa a mesma chave para cifrar e decifrar. É rápida e adequada para grandes volumes de dados.

  • Uso típico: criptografar arquivos, bancos, backups, payloads.
  • Ponto crítico: distribuição segura da chave (como entregar a chave sem expor?).
Exemplo mental: Sistema A e Sistema B compartilham uma chave secreta K. A cifra dados com K e B decifra com a mesma K.

Criptografia assimétrica

Usa um par de chaves: pública (compartilhável) e privada (secreta). O que uma chave faz, a outra desfaz, dependendo do uso.

  • Uso típico: troca segura de chaves, assinatura digital, autenticação, TLS.
  • Ponto crítico: é mais lenta; normalmente é usada para estabelecer confiança e depois negociar uma chave simétrica.
Exemplo mental (confidencialidade): A cifra com a chave pública de B, e só B consegue decifrar com a chave privada.

Hash (função de resumo)

Hash transforma uma entrada em uma saída de tamanho fixo. Boas funções hash são unidirecionais e resistentes a colisões. Hash não é criptografia de confidencialidade; é usado para integridade e verificação.

  • Uso típico: verificação de integridade de arquivos, impressão digital de dados, armazenamento seguro de senhas (com salt e algoritmo adequado).
  • Exemplo aplicado: comparar hash de um arquivo baixado com o hash publicado para detectar alteração.

Assinatura digital (integridade, autenticidade e não repúdio)

Assinatura digital geralmente usa criptografia assimétrica: o emissor assina com a chave privada e qualquer verificador valida com a chave pública. Isso prova que a mensagem veio do detentor da chave privada e não foi alterada.

  • Aplicação: assinatura de documentos, transações, mensagens entre sistemas, artefatos de software.

Certificados digitais

Um certificado digital liga uma chave pública a uma identidade (domínio, organização, serviço), assinado por uma Autoridade Certificadora (CA). Ele permite que clientes confiem que estão falando com o servidor correto.

  • Elementos comuns: sujeito (identidade), chave pública, validade, emissor (CA), cadeia de confiança.
  • Risco comum: certificado expirado ou cadeia incorreta derruba integrações; chave privada vazada compromete a identidade.

TLS na prática (o que acontece quando você acessa um canal seguro)

TLS é o protocolo que protege comunicação em rede, fornecendo confidencialidade e integridade. Em geral, ele combina assimétrica (para autenticação e negociação) com simétrica (para tráfego).

Fluxo aplicado (visão simplificada):

  • Cliente conecta ao servidor e solicita comunicação segura.
  • Servidor apresenta seu certificado (cadeia até uma CA confiável).
  • Cliente valida: domínio, validade, cadeia, revogação (quando aplicável).
  • Cliente e servidor negociam chaves de sessão (com mecanismos modernos de troca de chaves).
  • Tráfego passa a ser cifrado com criptografia simétrica usando a chave de sessão.

Boas práticas: desabilitar versões antigas, preferir cifras modernas, usar HSTS quando aplicável, automatizar renovação de certificados e monitorar expiração.

Classificação de incidentes: como pensar de forma objetiva

Dimensões para classificar

  • Tipo: confidencialidade (vazamento), integridade (alteração), disponibilidade (indisponibilidade), autenticidade (impersonação), não repúdio (disputa sem evidência).
  • Escopo: usuário final, canal digital, serviço interno, infraestrutura, dados.
  • Severidade (exemplo de critérios): impacto no cliente, impacto financeiro, abrangência, persistência, exigência regulatória, tempo de indisponibilidade.
  • Urgência: exploit ativo, propagação, risco de perda irreversível.

Passo a passo prático para triagem inicial (primeiros 15–30 minutos)

  • 1) Confirmar o sintoma: o que ocorreu, quando, em qual ambiente, com quais evidências (logs, alertas, relatos).
  • 2) Classificar o impacto CIAAN: houve vazamento? alteração? indisponibilidade? impersonação?
  • 3) Conter o risco imediato: isolar host, revogar tokens, bloquear usuário, desabilitar rota, aplicar regra de WAF, dependendo do caso.
  • 4) Preservar evidências: coletar logs, hashes, snapshots, horários, IDs de requisição; evitar ações que destruam rastros.
  • 5) Identificar vetor provável: credencial, vulnerabilidade, engenharia social, malware.
  • 6) Acionar responsáveis: segurança, operação, desenvolvimento, negócio, conforme matriz interna.

Exercícios (estilo concurso): classificação, controles e risco em canais digitais

Exercício 1 — Classificação CIAAN

Cenário A: Um atacante obtém credenciais de um usuário por phishing e acessa o internet banking, mas não realiza transações. Apenas consulta dados.

  • Pergunta: quais princípios foram afetados?
  • Gabarito esperado: confidencialidade (acesso indevido) e autenticidade (impersonação do usuário). Pode haver risco de não repúdio se não houver evidência adequada, mas o principal é autenticidade/confidencialidade.

Cenário B: Um serviço de API começa a retornar valores de limite incorretos após uma alteração não autorizada em parâmetro de configuração.

  • Pergunta: quais princípios foram afetados?
  • Gabarito esperado: integridade (dados/regras alterados). Dependendo do efeito, pode impactar disponibilidade (se o serviço for retirado do ar para correção).

Cenário C: Um ataque DDoS torna o aplicativo indisponível por 40 minutos.

  • Pergunta: qual princípio foi afetado?
  • Gabarito esperado: disponibilidade.

Exercício 2 — Escolha de controles adequados

Cenário: equipe detecta aumento de tentativas de login com senhas vazadas (credential stuffing) em um canal digital.

  • Pergunta: selecione controles eficazes (marque os mais adequados):
  • A) MFA para operações sensíveis e/ou login
  • B) Rate limiting e detecção de anomalias
  • C) Bloquear todos os logins por 24 horas
  • D) Proteção contra bots e listas de senhas comprometidas
  • E) Política de senha com verificação contra senhas comuns
  • Gabarito esperado: A, B, D, E. (C é medida extrema e geralmente inadequada por impacto na disponibilidade e experiência.)

Exercício 3 — Interpretação de risco em canal digital (TLS e certificados)

Cenário: um aplicativo interno consome uma API e, para “resolver rápido”, alguém desabilita a validação do certificado TLS (não valida cadeia/hostname).

  • Pergunta: qual risco principal foi introduzido?
  • Gabarito esperado: risco de ataque man-in-the-middle, perda de confidencialidade e integridade do tráfego, além de quebra de autenticidade do servidor.

Exercício 4 — Ransomware e estratégia de backup

Cenário: servidores de arquivos foram criptografados por ransomware. Há backups, mas ficam acessíveis com as mesmas credenciais do domínio.

  • Pergunta: qual falha de controle é mais evidente e qual melhoria priorizar?
  • Gabarito esperado: falta de segregação/imutabilidade dos backups; priorizar cópia offline/imutável, contas segregadas, MFA para administração de backup e testes de restauração.

Exercício 5 — Exploração de vulnerabilidade e patching

Cenário: surge uma vulnerabilidade crítica com exploit público em um componente usado por um serviço exposto à internet.

  • Pergunta: quais ações são mais adequadas em ordem?
  • Gabarito esperado (sequência): (1) avaliar exposição e impacto; (2) aplicar mitigação imediata (WAF/regra, desabilitar funcionalidade, restringir acesso) se patch não for imediato; (3) testar e aplicar patch com prioridade máxima; (4) monitorar sinais de exploração; (5) registrar evidências e conformidade.

Mapa rápido: ameaça → controle (associação típica)

  • Phishing: MFA, conscientização e simulações internas, filtros de e-mail, proteção de DNS, detecção de anomalias de login, proteção de recuperação de conta.
  • Ransomware: backups imutáveis e testados, segmentação de rede, hardening, EDR/antimalware, patching, menor privilégio.
  • Engenharia social: processos de verificação (dupla checagem), segregação de funções, treinamento, políticas claras para suporte e mudanças.
  • Exploração de vulnerabilidades: patching, hardening, varredura contínua, WAF, gestão de dependências, revisão de configuração e secrets.

Agora responda o exercício sobre o conteúdo:

Em um cenário em que alguém desabilita a validação do certificado TLS (não valida cadeia nem hostname) em uma integração entre serviços, qual é o principal risco introduzido?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Ao não validar cadeia e hostname, o cliente deixa de confirmar a identidade do servidor, abrindo espaço para man-in-the-middle. Isso quebra a autenticidade e pode comprometer confidencialidade e integridade da comunicação.

Próximo capitúlo

Gestão de identidades, acesso e segurança de aplicações para o Escriturário do Banco do Brasil – Agente de Tecnologia

Arrow Right Icon
Aprenda Banco do Brasil

AprendaBanco do Brasil

Cursos gratuitos para o Banco do Brasil, com dicas, exercícios detalhados e conteúdos completos para CPA 10, CPA 20 e mais. Tudo 100% grátis!

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store