Segurança da Informação para o Analista de TI do DETRAN

Fundamentos aplicados: CIAAN (Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não Repúdio)

Em ambientes do DETRAN, segurança da informação precisa ser aplicada a serviços críticos: atendimento ao cidadão, emissão de documentos, consulta de dados, integrações com órgãos externos e operação interna. Um Analista de TI deve traduzir princípios em controles práticos e verificáveis.

Confidencialidade

Garante que apenas pessoas e sistemas autorizados acessem informações (por exemplo, dados cadastrais, prontuário do condutor, informações de veículos e processos administrativos). Falhas comuns: permissões excessivas, compartilhamento de credenciais, dados expostos em integrações e logs com informações sensíveis.

• Controles típicos: controle de acesso (RBAC e menor privilégio), criptografia em trânsito e em repouso, segregação de ambientes, mascaramento/anonimização quando aplicável.

Integridade

Assegura que dados e transações não sejam alterados indevidamente, seja por erro, fraude ou ataque. Exemplo: alteração não autorizada de status de processo, pontos na CNH, ou dados de vistoria.

• Controles típicos: trilhas de auditoria, validações de negócio, assinaturas digitais, controle de mudanças, verificação de integridade (hash), segregação de funções.

Disponibilidade

Garante que serviços e dados estejam acessíveis quando necessários. No DETRAN, indisponibilidade afeta filas, arrecadação, prazos legais e atendimento digital.

• Controles típicos: redundância, monitoramento, proteção contra DDoS, backups testados, planos de continuidade e recuperação, hardening para reduzir incidentes.

Autenticidade

Confirma que um usuário, servidor ou sistema é realmente quem diz ser. Exemplo: garantir que um servidor de integração é legítimo e que o cidadão acessa o portal verdadeiro.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

• Controles típicos: MFA, certificados digitais, autenticação mútua (mTLS), validação de tokens, gestão segura de chaves e segredos.

Não repúdio

Impede que uma parte negue uma ação realizada. É essencial em atos administrativos e transações que geram efeitos (protocolos, assinaturas, autorizações, emissão de documentos).

• Controles típicos: assinatura digital, carimbo do tempo, logs imutáveis, trilhas de auditoria com integridade e retenção adequada.

Gestão de Identidades e Acessos (IAM): MFA, RBAC e menor privilégio

Conceitos essenciais

• Identidade: representação de um usuário, serviço ou dispositivo (servidor, aplicação, robô de integração).
• Autenticação: prova de identidade (senha, MFA, certificado).
• Autorização: o que a identidade pode fazer (perfis, papéis, políticas).
• Accountability: rastreabilidade de ações (quem fez, quando, de onde, em qual sistema).

MFA (Autenticação Multifator) aplicado

MFA reduz drasticamente risco de sequestro de conta por phishing e vazamento de senha. Priorize MFA em: contas administrativas, acesso remoto, sistemas de atendimento e painéis de integração.

Passo a passo prático para adoção de MFA (roteiro de implantação)

• 1) Mapear os sistemas e pontos de acesso: VPN, e-mail corporativo, consoles de administração, portais internos, ferramentas de suporte.
• 2) Classificar usuários por risco: administradores, atendimento, gestores, terceiros, contas de serviço.
• 3) Definir fatores: aplicativo autenticador (TOTP), push, FIDO2/chave física; evitar SMS quando possível.
• 4) Implementar por ondas: primeiro administradores, depois perfis críticos, depois demais usuários.
• 5) Tratar exceções: contingência para perda de dispositivo (códigos de recuperação, help desk com verificação forte).
• 6) Monitorar: alertas de tentativas falhas, acessos de localidades incomuns, desativação de MFA.

RBAC (Controle de Acesso Baseado em Papéis) e menor privilégio

RBAC organiza permissões por papéis (ex.: Atendente, Supervisor, Auditor, Administrador de Sistema). Menor privilégio significa conceder apenas o mínimo necessário para executar a função, pelo tempo necessário.

Passo a passo prático para desenhar RBAC

• 1) Listar funções reais (não cargos genéricos): atendimento presencial, atendimento digital, análise de processo, auditoria, suporte N1/N2, integração.
• 2) Mapear tarefas por função: consultar, incluir, alterar, cancelar, aprovar, emitir, exportar.
• 3) Definir papéis e permissões associadas (matriz função × ação × recurso).
• 4) Separar funções conflitantes (segregação de funções): quem solicita não aprova; quem aprova não audita.
• 5) Implementar revisão periódica: recertificação de acessos (mensal para admins, trimestral para áreas críticas).
• 6) Aplicar JIT/JEA quando possível: privilégio “just-in-time” e “just-enough-admin”.

Contas privilegiadas e contas de serviço

• Contas privilegiadas: devem ser nominativas, com MFA, sem uso para e-mail/navegação, e com trilha de auditoria reforçada.
• Contas de serviço: evitar credenciais estáticas; preferir identidades gerenciadas, rotação de segredos, escopo mínimo e restrição por rede.

Hardening de servidores e endpoints

Conceito

Hardening é reduzir a superfície de ataque removendo o que não é necessário, configurando de forma segura e mantendo o ambiente atualizado. O objetivo é diminuir probabilidade e impacto de exploração de vulnerabilidades.

Hardening de servidores (checklist prático)

• Serviços: desabilitar serviços e portas não utilizados; restringir administração remota a redes específicas.
• Contas: remover/renomear contas padrão; bloquear login direto de root/administrador quando aplicável; exigir MFA para administração.
• Atualizações: política de patching com janelas e priorização por criticidade; inventário de versões.
• Configurações seguras: aplicar baseline (CIS-like) adequado ao sistema; reforçar TLS; desabilitar protocolos fracos.
• Logs: habilitar logs de autenticação, privilégios e alterações; centralizar em SIEM/servidor de logs; sincronizar horário (NTP).
• Proteção: EDR/antimalware, firewall local, whitelisting quando aplicável.
• Segredos: proibir senhas em arquivos de configuração; usar cofre de segredos; rotação e auditoria.

Hardening de endpoints (estações e notebooks)

• Controle de aplicações: restringir instalação; permitir apenas softwares homologados.
• Atualizações: sistema e aplicativos com patching contínuo.
• Proteção contra malware: EDR com políticas de bloqueio e isolamento.
• Criptografia: disco criptografado; bloqueio de tela; proteção contra extração de dados.
• Periféricos: política para USB; bloqueio/controle de mídia removível em áreas sensíveis.
• Navegação e e-mail: filtros anti-phishing; isolamento de navegador quando aplicável.

Políticas de senha (quando senha ainda for necessária)

Conceito

Senhas devem ser tratadas como um fator fraco e complementadas por MFA. A política deve equilibrar segurança e usabilidade para reduzir anotações, compartilhamentos e chamadas ao suporte.

Boas práticas aplicáveis

• Comprimento: priorizar senhas longas (frases-senha) em vez de complexidade excessiva.
• Bloqueio por tentativas: limitar tentativas e aplicar atraso progressivo.
• Proibição de senhas comuns: bloquear listas de senhas vazadas e padrões previsíveis.
• Troca: evitar troca periódica sem evidência de comprometimento; exigir troca em caso de incidente, suspeita ou vazamento.
• Armazenamento: nunca armazenar em texto puro; usar hash forte com salt (ex.: Argon2/bcrypt/scrypt) em aplicações.
• Recuperação: processos de reset com verificação forte; evitar perguntas de segurança fracas.

Criptografia em trânsito e em repouso

Criptografia em trânsito

Protege dados quando trafegam entre cliente e servidor, e entre sistemas integrados. Em integrações externas, é comum haver tráfego por redes não confiáveis.

• HTTPS/TLS: exigir TLS moderno; desabilitar versões e cifras fracas; HSTS quando aplicável.
• mTLS: autenticação mútua entre sistemas para integrações críticas (sistema do DETRAN ↔ órgão externo).
• Gestão de certificados: inventário, validade, rotação e armazenamento seguro de chaves privadas.

Criptografia em repouso

Protege dados armazenados em discos, backups e repositórios. Ajuda a mitigar impacto de roubo de mídia, acesso indevido ao storage ou exposição de backups.

• Disco/volume: criptografia de disco em servidores e endpoints.
• Backups: criptografar e controlar chaves; aplicar segregação de acesso; testar restauração.
• Campos sensíveis: quando necessário, criptografia em nível de aplicação/coluna para dados altamente sensíveis.
• Chaves: usar KMS/HSM quando disponível; rotação e controle de acesso às chaves.

Gestão de vulnerabilidades

Conceito

É o processo contínuo de identificar, priorizar, corrigir e verificar falhas de segurança em sistemas, servidores, endpoints e componentes de software. No contexto do DETRAN, priorização deve considerar criticidade do serviço, exposição (internet/interno) e impacto operacional.

Fluxo prático (ciclo operacional)

• 1) Inventário: listar ativos (servidores, endpoints, aplicações, integrações, dispositivos de rede) e responsáveis.
• 2) Descoberta: varreduras autenticadas quando possível; SAST/DAST em aplicações; verificação de dependências (SBOM quando aplicável).
• 3) Priorização: combinar CVSS com contexto (ativo crítico, exposição externa, exploração ativa, dados sensíveis).
• 4) Tratamento: corrigir (patch), mitigar (WAF, regra de firewall, desabilitar recurso), ou aceitar risco com justificativa e prazo.
• 5) Validação: revarrer e evidenciar correção; testes de regressão para não quebrar o serviço.
• 6) Métricas: tempo para correção (MTTR), percentual de ativos cobertos, vulnerabilidades críticas em aberto.

Exemplo de priorização contextual

• Crítica imediata: falha explorável remotamente em serviço exposto na internet que suporta atendimento ao cidadão.
• Alta: falha em servidor interno com dados sensíveis e acesso por muitos usuários.
• Média: falha em estação com baixo privilégio, mitigada por EDR e segmentação.

Cenários de risco: atendimento ao cidadão e integrações externas

Cenário 1: Atendimento ao cidadão (balcão ou canal digital)

Situação: um atendente acessa um sistema interno para consultar dados do cidadão e registrar solicitações. O posto tem alta rotatividade e pressão por rapidez.

• Ameaças: uso de credenciais compartilhadas; engenharia social para consulta indevida; captura de sessão; vazamento por impressão ou foto de tela; malware em endpoint.
• Impactos: exposição de dados pessoais; fraude em processos; responsabilização administrativa; interrupção do atendimento.
• Controles mitigadores: contas nominativas; MFA; RBAC com menor privilégio; bloqueio automático de tela; trilha de auditoria; política de impressão; EDR; segmentação de rede do posto; conscientização focada em scripts de atendimento.

Cenário 2: Integração com órgão externo via API

Situação: sistemas trocam dados para validações e atualizações de status. Há chaves de API, certificados e rotinas automatizadas.

• Ameaças: vazamento de token/chave; falta de validação de origem; ataques de replay; manipulação de payload; indisponibilidade do parceiro; downgrade de TLS.
• Impactos: atualização indevida de registros; interrupção de serviços; inconsistências; risco legal por decisões automatizadas incorretas.
• Controles mitigadores: mTLS; rotação de chaves; escopo mínimo por cliente; rate limiting; validação de assinatura (JWT assinado); timestamps e nonce; filas e retentativas com idempotência; circuit breaker; monitoramento e alertas; contratos de SLA e testes de integração.

Cenário 3: Acesso administrativo e mudanças em produção

Situação: necessidade de ajustes urgentes em servidores e aplicações que suportam serviços críticos.

• Ameaças: credenciais privilegiadas comprometidas; alterações sem rastreabilidade; abuso interno; erro humano.
• Impactos: indisponibilidade; alteração indevida; perda de evidências; falhas de auditoria.
• Controles mitigadores: MFA obrigatório; bastion/jump server; gravação de sessão; aprovação e trilha de mudanças; segregação de funções; acesso JIT; logs centralizados e imutáveis.

Exercícios práticos: classificação de ativos, ameaças, impacto e controles

Exercício 1: Inventário e classificação de ativos (CIAAN)

Objetivo: classificar ativos e definir prioridades de proteção.

Passo a passo

• 1) Liste 10 ativos do seu contexto (ex.: portal do cidadão, API de integração, servidor de autenticação, estação do atendimento, repositório de logs, backup, serviço de mensageria, cofre de segredos, console de administração, serviço de emissão).
• 2) Para cada ativo, atribua notas de 1 a 5 para: Confidencialidade, Integridade, Disponibilidade, Autenticidade e Não repúdio (quando aplicável).
• 3) Identifique quais ativos são “nível máximo” em pelo menos dois pilares (ex.: C=5 e I=5). Marque-os como prioridade 1.
• 4) Para cada ativo prioridade 1, descreva: quem é o dono do ativo, onde está hospedado, como é acessado e quais logs existem.

Modelo de tabela (preencher): Ativo | C | I | D | A | NR | Dono | Acesso | Logs | Prioridade

Exercício 2: Modelagem rápida de ameaças (ativo → ameaça → impacto → controle)

Objetivo: transformar risco em ação mitigadora.

Passo a passo

• 1) Escolha 3 ativos prioridade 1 do exercício anterior.
• 2) Para cada ativo, liste 3 ameaças realistas (ex.: phishing, abuso de privilégio, exploração de vulnerabilidade, vazamento de token, indisponibilidade do parceiro).
• 3) Para cada ameaça, descreva o impacto em termos operacionais (atendimento, prazos, arrecadação), legais e reputacionais.
• 4) Defina 2 controles preventivos e 1 controle de detecção.
• 5) Defina evidências: como provar que o controle está ativo (print de configuração, relatório de varredura, log de autenticação, alerta do SIEM).

Modelo: Ativo | Ameaça | Vetor | Impacto | Preventivo 1 | Preventivo 2 | Detecção | Evidência

Exercício 3: Decisão de priorização de vulnerabilidades

Objetivo: priorizar correções considerando criticidade do serviço.

• V1: CVSS 9.8 em servidor exposto que atende o portal do cidadão.
• V2: CVSS 8.1 em servidor interno acessível apenas por rede administrativa.
• V3: CVSS 7.5 em estações do atendimento, mitigado por EDR, mas com exploração via phishing.

Tarefas

• 1) Ordene V1, V2, V3 por prioridade e justifique em 3 linhas cada.
• 2) Para a vulnerabilidade mais crítica, descreva um plano de 48 horas: mitigação imediata, correção definitiva, validação e comunicação.
• 3) Defina um indicador: “tempo para mitigação” e “tempo para correção” para cada vulnerabilidade.

Controles mínimos recomendados (lista de verificação rápida)

• IAM: MFA para perfis críticos; RBAC; menor privilégio; recertificação; controle de contas de serviço e rotação de segredos.
• Hardening: baselines; desativação de serviços; firewall local; EDR; logs centralizados; NTP.
• Senhas: frases-senha; bloqueio por tentativas; bloqueio de senhas vazadas; reset com verificação forte; hash seguro em aplicações.
• Criptografia: TLS moderno; mTLS em integrações críticas; criptografia de disco e backups; gestão de chaves.
• Vulnerabilidades: inventário; varredura contínua; priorização contextual; patching com evidência; métricas de MTTR.
• Auditoria: trilha de ações sensíveis; logs com integridade; retenção conforme necessidade; monitoramento e alertas.