07 Segurança de Dispositivos Moveis Estratégias Aplicadas em Segurança de Dispositivos Móveis

Prévia do material em texto

Segurança de Dispositivos Moveis: 
Estratégias Aplicadas em Segurança 
de Dispositivos Móveis
Apresentação
1. OBJETIVO
Para gerenciar e controlar as informações empresariais em dispositivos móveis, é necessário 
estabelecer mecanismos que protejam a conexão e o acesso aos dados de onde o usuário estiver.
Neste experimento, você vai praticar uma das muitas maneiras de gerenciar dispositivos móveis 
com o propósito de proteger tanto os dispositivos quanto as informações empresariais desses 
dispositivos.
Nessa prática, vamos focar na implementação de estratégias para garantir a segurança na utilização 
de dispositivos móveis por funcionários de empresas.
 
Ao final deste experimento, você deverá ser capaz de:
julgar quanto à necessidade de criação de regras de bloqueios e controles de dispositivos 
móveis;
•
implementar regras de segurança para uso de aplicativos móveis.•
 
2. ONDE UTILIZAR ESSES CONCEITOS?
Dispositivos móveis se tornaram ferramentas de trabalho, sendo usualmente utilizados para enviar 
e receber dados e informações importantes da empresa. Diante disso, é fundamental que o usuário 
e os gestores de segurança empreguem maneiras de proteger o dispositivo e as informações que 
passam por ele.
 
3. O EXPERIMENTO
Nesse experimento, você vai utilizar uma ferramenta no laboratório virtual que vai simular as ações 
para as configurações e a implementação de regras de segurança para dispositivos móveis. Nessa 
simulação, você vai empregar os conceitos de: sistema de gerenciamento de dispositivos móveis 
(MDM, do inglês mobile device management); HTTP (Hypertext Transfer Protocol) e HTTPS (Hypertext 
Transfer Protocol Secure); gerenciamento de conteúdo do dispositivo; e proteção de dados do 
dispositivo móvel.
 
4. SEGURANÇA
Deverão ser observadas regras para o acesso seguro à internet, não se utilizando informações reais 
para o experimento. Também deverão ser observadas as informações apresentadas pela simulação 
durante o exercício.
 
5. CENÁRIO
O cenário para o desenvolvimento desse experimento é o ambiente do laboratório virtual, no qual 
será possível simular um ambiente real de ações para a proteção dos dispositivos móveis e seus 
dados, utilizando-se a simulação em um smartphone virtual e empregando-se os conceitos de 
MDM.
Bons estudos.
Sumário teórico
ESTRATÉGIAS APLICADAS EM SEGURANÇA 
DE DISPOSITIVOS MÓVEIS
 
O uso da informação como estratégia de negócio é amplamente empregado no meio empresarial. 
Por ter esse propósito, a informação deve ser protegida e manipulada de forma responsável. 
Imagine que uma montadora de carros quer lançar um modelo que vai revolucionar o mercado: se 
qualquer informação sobre esse veículo vazar, os concorrentes podem se aproveitar dessa 
informação e lançar um modelo muito parecido e até mesmo antes de a empresa idealizadora do 
modelo lançar o seu.
Atualmente, a informação é considerada um dos ativos mais valiosos de uma organização. Mitnick e 
Simon (2003) afirmam que até mesmo aquela informação aparentemente inofensiva pode ser a 
chave para segredos de grande valor da empresa.
Tal é o valor da informação que ela é tida por muitos como sendo o novo petróleo. Para que você 
tenha uma ideia, de acordo com o professor da Universidade de São Paulo (USP) Glauco Arbix, em 
entrevista para a Rádio USP (2019), a China está abolindo o uso de cartão de crédito, pois as 
transações financeiras têm sido feitas pelo smartphone. Como é possível perceber, o que está sendo 
movimentado naquele mercado não é o dinheiro em espécie, na sua forma física, e sim uma 
informação financeira. Além disso, as empresas que ofertam esse serviço financeiro acumulam 
informações de seus usuários, que também são valiosas.
Quando se fala em segurança da informação, nos vem à mente a ideia de proteger computadores 
dos ataques de criminosos virtuais. Isso não está errado, já que um criminoso virtual fará qualquer 
coisa para encontrar brechas em qualquer tipo de sistema para poder invadir e roubar informações. 
Tais brechas podem estar tanto em software mal desenvolvidos ou mal configurados quanto no 
armazenamento e na coleta de informações pessoais dos funcionários da empresa.
É com o intuito de tentar mitigar as falhas de segurança em sistemas de informação que, nos 
últimos anos, a segurança da informação tem ganhado mais força, tratando de métodos e técnicas 
para proteger a informação. Seus atributos fundamentais são: confidencialidade, integridade e 
disponibilidade. O alcance desses atributos vai além do ambiente computacional — eles se aplicam 
a todos os aspectos que dizem respeito à proteção da informação e dos dados, inclusive no que diz 
respeito à proteção dos dados pessoais.
Em setembro de 2020, no Brasil, foi sancionada a Lei Geral de Proteção de Dados (LGPD — Lei nº 
13.709, de 14 de agosto de 2018), cujo objetivo é proteger legalmente as informações pessoais 
contra o mau uso por parte de empresas. Essa Lei prevê sanções pesadas para qualquer 
organização que tenha os dados de seus clientes ou funcionários expostos de maneira indevida.
A ESET, empresa de desenvolvimento de antivírus, compilou uma lista com 29 pontos sobre o 
estado da segurança cibernética no ano de 2020. Entre esses pontos, destacamos quatro para que 
você possa ter uma ideia da importância da proteção de dados em todos os aspectos (HARÁN, 
2020):
Cerca de 56% dos usuários acreditam que suas informações pessoais não estão realmente 
protegidas.
•
Durante o primeiro semestre de 2020, o número de vazamentos de dados diminuiu em 
comparação aos anos anteriores. No entanto, o número de dados expostos (27 bilhões) é 
quatro vezes maior do que os números reportados em qualquer outro relatório anterior para o 
mesmo período.
•
O custo médio global de um vazamento de dados para uma organização é de 86 milhões de 
dólares, sendo que o custo por registro de informações de identificação pessoal é o mais alto, 
com um valor médio de 150 dólares por registro.
•
Entre julho de 2018 e junho de 2020, mais de 100 bilhões de ataques de preenchimento de 
credenciais (credential stuffing) foram registrados, dos quais mais de 63 bilhões foram 
direcionados aos setores de varejo, turismo e hotelaria, 17 bilhões ao setor de multimídia e 10 
bilhões para o setor de videogames.
•
 
Diante desse cenário, fica visível a importância da implantação de mecanismos de acesso e 
proteção às informações, especialmente em dispositivos móveis, já que esses são ferramentas de 
trabalho muito comuns em nossos dias.
Em se tratando da proteção de dados em dispositivos móveis, muitas empresas adotam programas 
de computador para gerenciar usuário, conexão, transmissão de dados entre funcionários e bancos 
de dados da empresa e entre os próprios dispositivos, como smartphones, tablets, notebooks e 
computadores. Alguns desses programas, conhecidos como mobile device management (MDM), 
podem permitir, além do que já foi mencionado, a gestão remota dos dispositivos móveis. No caso 
de roubo ou perda do equipamento, é possível rastrear o dispositivo, limpar os seus dados e até 
mesmo inutilizá-lo para uso posterior.
Outro aspecto importante nesse contexto é a troca de informações entre os dispositivos e os 
servidores. Para essa comunicação, os dispositivos móveis precisam acessar um servidor 
especializado (web service) em integrar diferentes serviços, para que possam obter os dados, as 
devidas permissões e a integração entre os diversos sistemas que envolvem todo o meio de 
comunicação entre o colaborador e a empresa. Um web service permite que os sistemas sejam 
utilizados pelas diversas aplicações sem que haja necessidade de escrever um novo programa para 
cada aplicação. Isso traz uma significativa melhora para os sistemas já existentes, fazendo com que 
sejam integradas novas funcionalidades e mais informações de maneira simples e eficiente.
Para que a comunicação aconteça de forma segura entre o dispositivo cliente e o web service, o 
protocolo HTTPS (Hypertext Transfer ProtocolSecure) se responsabiliza pela transmissão dos dados 
do dispositivo para o servidor, acrescentando uma camada de segurança ao protocolo HTTP. Com 
isso, qualquer intercepção da mensagem que possa ocorrer entre a origem e o destino fica ilegível. 
Para nós, fica evidente que uma página está usando o protocolo HTTPS quando vemos um 
pequeno cadeado no canto esquerdo da barra de endereços do browser.
Agora que apresentamos brevemente o cenário da segurança da informação, convidamos você a 
colocar em prática, neste Laboratório, algumas estratégias de proteção de dispositivos móveis, para 
que seja garantida a segurança dos dados empresariais contidos nos aparelhos móveis. Para isso, 
será necessário que você assuma o papel de um administrador de suporte, tomando decisões e 
colocando-as em prática no tocante a alguns fatores primordiais para a comunicação e a gestão de 
dispositivos móveis dos funcionários de uma empresa. Leia atentamente o roteiro do exercício, 
seguindo passo a passo as orientações contidas nele, para que sua prática seja bem-sucedida. Bons 
estudos.
 
REFERÊNCIAS BIBLIOGRÁFICAS
 
BALTZAN, P.; PHILLIPS, A. Sistemas de informação. Porto Alegre: AMGH, 2012.
 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). 
Brasília: Presidência da República, 2018. Disponível em: 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 19 mar. 
2021.
 
GERENCIAMENTO DE DISPOSITIVOS MÓVEIS. In: WIKIPÉDIA, a enciclopédia livre. Flórida: 
Wikimedia Foundation, 2020. Disponível em: 
https://pt.wikipedia.org/wiki/Gerenciamento_de_dispositivos_m%C3%B3veis. Acesso em: 19 mar. 
2021.
 
HARÁN, J. M. 29 dados sobre o estado da segurança cibernética em 2020. We Live Security, 23 
dez. 2020. Disponível em: https://www.welivesecurity.com/br/2020/12/23/29-dados-sobre-o-
estado-da-seguranca-cibernetica-em-2020/. Acesso em: 19 mar. 2021.
 
HYPER TEXT TRANSFER PROTOCOL SECURE. In: WIKIPÉDIA, a enciclopédia livre. Flórida: 
Wikimedia Foundation, 2020. Disponível em: 
https://pt.wikipedia.org/wiki/Hyper_Text_Transfer_Protocol_Secure. Acesso em: 19 mar. 2021.
 
MITNICK, K. D.; SIMON, W. L. A arte de enganar. São Paulo: Pearson, 2003.
 
MORETTI, C. S. A informação como ativo mais importante do negócio. Administradores.com, 17 
abr. 2019. Disponível em: https://administradores.com.br/artigos/a-informacao-como-ativo-mais-
importante-do-negocio. Acesso em: 19 mar. 2021.
 
PETERSON, L. L.; DAVIE, B. S. Redes de computadores: uma abordagem de sistemas. Rio de 
Janeiro: Elsevier, 2013.
 
RÁDIO USP. “A informação hoje é um novo petróleo”, afirma Glauco Arbix. Jornal da USP, 10 jun. 
2019. Disponível em: https://jornal.usp.br/atualidades/a-informacao-hoje-e-um-novo-petroleo-
afirma-glauco-arbix/. Acesso em: 19 mar. 2021.
Roteiro
 
 
INSTRUÇÕES GERAIS 
 
1. Neste experimento, você deverá identificar as ameaças em dispositivos móveis e repará-
las.
2. Utilize a seção “Recomendações de Acesso” para melhor aproveitamento da experiência 
virtual e para respostas às perguntas frequentes a respeito do Laboratório Virtual.
3. Caso não saiba como manipular o Laboratório Virtual, utilize o “Tutorial” presente neste 
Roteiro.
4. Caso já possua familiaridade com o Laboratório Virtual, você encontrará as instruções para 
realização desta prática na subseção “Procedimentos”.
5. Ao finalizar o experimento, responda aos questionamentos da seção “Avaliação dos 
Resultados”.
 
 
RECOMENDAÇÕES DE ACESSO
 
DICAS DE DESEMPENHO
Para otimizar a sua experiência no acesso aos laboratórios virtuais, siga as seguintes dicas de 
desempenho:
Feche outros aplicativos e abas: Certifique-se de fechar quaisquer outros aplicativos ou 
abas que possam estar consumindo recursos do seu computador, garantindo um 
•
desempenho mais eficiente.
Navegador Mozilla Firefox: Recomendamos o uso do navegador    Mozilla Firefox, 
conhecido por seu baixo consumo de recursos em comparação a outros navegadores, 
proporcionando uma navegação mais fluida.
•
Aceleração de hardware: Experimente habilitar ou desabilitar a aceleração de hardware no 
seu navegador para otimizar o desempenho durante o acesso aos laboratórios virtuais.
•
Requisitos mínimos do sistema: Certifique-se de que seu computador atenda aos 
requisitos mínimos para acessar os laboratórios virtuais. Essa informação está disponível em 
nossa Central de Suporte.
•
Monitoramento do sistema: Utilize o Gerenciador de Tarefas (Ctrl + Shift + Esc) para 
verificar o uso do disco, memória e CPU. Se estiverem em 100%, considere fechar outros 
aplicativos ou reiniciar a máquina para otimizar o desempenho.
•
Teste de velocidade de internet: Antes de acessar, realize um teste de velocidade de 
internet para garantir uma conexão estável e rápida durante o uso dos laboratórios virtuais.
•
Atualizações do navegador e sistema operacional: Mantenha seu navegador e sistema 
operacional atualizados para garantir compatibilidade e segurança durante o acesso aos 
laboratórios.
•
 
 
PRECISA DE AJUDA?
 
Em caso de dúvidas ou dificuldades técnicas, visite nossa Central de Suporte para encontrar 
artigos de ajuda e informações para usuários. Acesse a Central de Suporte através do link: 
https://suporte-virtual.algetec.com.br
Se preferir, utilize os QR Codes abaixo para entrar em contato via WhatsApp ou ser direcionado 
para a Central de Suporte. Estamos aqui para ajudar! Conte conosco!
https://www.mozilla.org/pt-BR/firefox/new/
https://suporte-virtual.algetec.com.br/
https://suporte-virtual.algetec.com.br/
https://suporte-virtual.algetec.com.br/
https://suporte-contato.algetec.com.br/
https://suporte-virtual.algetec.com.br/
                                 
 
DESCRIÇÃO DO LABORATÓRIO
 
PROCEDIMENTOS
 
IDENTIFICANDO AS AMEAÇAS
Inicialmente, visualize a lista de dispositivos móveis a serem verificados. Em seguida, realize a 
ação de verificação individualmente ou do conjunto de dispositivos a serem analisados.
RECONHECENDO AS AMEAÇAS
Identifique se há ameaças. Caso existam, leia atentamente as notificações para identificar cada 
tipo de problema.
REPARANDO AS AMEAÇAS DETECTADAS
Corrija as ameaças detectadas em cada um dos dispositivos verificados. Escolha a opção que 
melhor se encaixa para resolver cada tipo de problema. Ao final, verifique se todas as ameaças e 
notificações foram resolvidas de acordo com a porcentagem apresentada.
AVALIANDO OS RESULTADOS
Siga para a seção “Avaliação dos Resultados”, neste roteiro, e responda de acordo com o que foi 
observado nos experimentos.
 
https://suporte-contato.algetec.com.br/
https://suporte-virtual.algetec.com.br/
AVALIAÇÃO DOS RESULTADOS
 
Para uma empresa, qual a importância de manter o antivírus atualizado nos seus 
dispositivos móveis?
1. 
Quais os reparos utilizados para as ameaças “Antivírus não detectado neste dispositivo” e “O 
protocolo de internet deste dispositivo não é seguro”?
2. 
 
TUTORIAL VIRTUAL LAB
 
IDENTIFICANDO AS AMEAÇAS
Realize a verificação de ameaças individualmente clicando no local indicado com o botão 
esquerdo do mouse ou verifique todos os dispositivos clicando com o botão esquerdo do mouse 
no botão “VERIFICAR TODOS”.
Aguarde a identificação das ameaças.
 
 RECONHECENDO AS AMEAÇAS
Visualize as notificações clicando no balão de mensagens com o botão esquerdo do mouse.
 
 
Visualize as ameaças clicando no aviso de atenção com o botão esquerdo do mouse.
 
REPARANDO AS AMEAÇAS DETECTADAS
Vejas as possíveis soluções para a reparação do problema clicando com o botão esquerdo do 
mouse no botão indicado.
 
 
Escolha a opção que melhor se adequa ao problema sinalizado clicando com o botão esquerdo 
do mouse sobre a opção escolhida.
 
 
Verifique o percentual de ameaças e notificações resolvidas no “SUMÁRIO”.
 
Finalize a prática após resolver 100% das ameaças.
 
AVALIANDO OS RESULTADOS
Siga para a seção “Avaliação dos Resultados”, neste roteiro, e responda de acordo com o que foiobservado nos experimentos.
Pré Teste
1) 
Para tentar minimizar as falhas de segurança nos sistemas de informação, nos últimos anos, 
surgiu uma ação denominada segurança da informação. Considerando a segurança da 
informação, analise as afirmações a seguir e marque a que apresenta uma definição correta 
sobre o tema: 
A) Sua abordagem em relação à tecnologia da informação (TI) é uma abordagem generalizada, na 
qual todos os elementos são tratados como um todo, sem considerar a individualidade de um 
equipamento ou usuário. 
B) A segurança da informação diz respeito apenas a computadores.
C) A segurança da informação trata de métodos e técnicas para proteger a informação, que é um 
bem de alto valor na organização. 
2) 
A segurança da informação trata de métodos e técnicas para proteger as informações 
sensíveis de uma organização e, até mesmo, as informações de seus colaboradores, 
fornecedores e clientes. Para nortear as ações da segurança da informação, existem três 
atributos fundamentais. Analise as afirmações a seguir e marque a alternativa que apresenta 
corretamente esses atributos: 
A) Confidencialidade, integridade e disponibilidade. 
B) Computadores, servidores e roteadores. 
C) Qualidade intrínseca, acurácia, objetividade, credibilidade e reputação. 
3) 
No final do ano de 2020, a empresa de segurança ESET apresentou uma lista com o estado 
da segurança cibernética naquele ano. Qual das alternativas a seguir faz parte daquela lista? 
Marque a correta. 
A) Cerca de 76% das ações de ataques criminosos se originaram de colaboradores insatisfeitos 
com a organização em que trabalham. 
B) Mais de 95 milhões de ataques direcionados a aplicativos da web são registrados por dia, e 
mais de 1,5 milhão desses ataques são injeção de SQL. 
C) Apenas ataques no Brasil foram listados pela ESET. 
4) 
Além das configurações de segurança realizadas em um dispositivo móvel, outra estratégia 
de segurança é a utilização de sistemas MDM. Analise as afirmações a seguir e assinale a 
alternativa correta sobre o tema: 
A) O MDM serve para realizar o gerenciamento de dispositivos móveis e manter uma certa 
proteção e monitoramento de dados em nuvens, o que pode ser utilizado em trabalho 
remoto. 
B) O MDM é uma ferramenta de gerenciamento de conteúdo web, em que o gestor de 
segurança pode inserir notificações e informações relevantes para o usuário. 
C) O MDM é uma ferramenta limitada ao cuidado com o que o usuário vai instalar no dispositivo 
móvel que ele usa. 
5) 
Entre os vários serviços possíveis de se realizar pelo sistema MDM, um deles é o 
rastreamento de um dispositivo perdido, como um smartphone. Analise as afirmações a 
seguir e marque a alternativa que apresenta outro serviço do MDM: 
A) Análise do tráfego de dados em uma rede. 
B) O MDM permite a limpeza dos dados e da conta do usuário em um determinado dispositivo 
móvel. 
C) Monitora o trajeto do usuário e suas ações pessoais. 
Experimento
* Este laboratório também está disponível para dispositivos Android.
Conteúdo interativo disponível na plataforma de ensino!
 
Pós Teste
1) Para estabelecer a conexão com o serviço, o web service precisa utilizar um protocolo de 
internet seguro. Avalie os protocolos a seguir e marque o que apresenta a forma segura de 
conexão com o serviço:
A) HTTPS.
B) HTTP.
C) FTP.
2) Entre os fatores de importância para a segurança no uso de dispositivos móveis está a 
localização de onde os dados são guardados, pois os aplicativos web conectados por meio de 
navegadores de internet armazenam informações que podem ser utilizadas posteriormente 
pelo navegador para seu correto funcionamento. Analisando as alternativas a seguir, marque 
a que apresenta o mecanismo correto de armazenamento dessas informações:
A) Cookies.
B) Cache.
C) Histórico.
3) O gestor de segurança de tecnologia da informação (TI) é a figura que tem por 
responsabilidade salvaguardar os dados de uma empresa. Entre seus papéis está o de prover 
mecanismos e metodologias que impeçam o roubo ou o vazamento de informações. 
Considerando essa informação, em que ambiente o gestor de segurança de TI tem melhor 
controle de dispositivos como tablets e smartphones? Assinale a alternativa correta.
A) Na casa do usuário.
B) No ambiente virtual.
C) Nos domínios da empresa.
Quando ouvimos falar que a informação é considerada um dos ativos mais valiosos de uma 
organização, logo pensamos em grandes volumes de informação ou segredos industriais e, 
4) 
obviamente, precisamos protegê-los a qualquer custo. Pensando na informação como esse 
bem valioso, e de acordo com o material estudado neste laboratório, analise as afirmações a 
seguir e marque aquela que aborda corretamente o tema:
A) O objetivo final dos ataques de um criminoso virtual é obter acesso indevido a computadores, 
celulares e tablets para invalidar esses dispositivos e causar prejuízos materiais às empresas.
B) Até mesmo aquela informação aparentemente inofensiva pode ser a chave para segredos de 
grande valor da empresa.
C) Apenas informações valiosas são a chave para grandes segredos da empresa. Portanto, um 
criminoso virtual só ataca quando tem certeza de que o alvo possui grandes segredos da 
empresa.
5) Um criminoso virtual fará qualquer coisa para encontrar brechas em qualquer tipo de 
sistema para poder invadir e roubar informações. Levando essa afirmação em consideração, 
marque a alternativa que apresenta as circunstâncias corretas em que essas brechas podem 
surgir:
A) As brechas de segurança podem surgir em software mal configurados ou mal desenvolvidos e 
por meio das informações pessoais de um funcionário.
B) As brechas não existem em sistemas computacionais.
C) As falhas de segurança surgem apenas por meio de portas lógicas do computador que estão 
abertas e sem monitoramento de um firewall.
Atividade
Responda as questões da seção “Avaliação dos Resultados” do “Roteiro” e anexe aqui o seu 
relatório.