A habilidade de coletar e analisar informações de fontes abertas (OSINT), do inglês (Overview of Open Source Intelligence), torna-se não apenas uma competência desejável, mas uma necessidade crítica. A OSINT oferece ferramentas e técnicas para transformar dados brutos em inteligência acionável, capacitando indivíduos a tomar decisões informadas tanto no âmbito pessoal quanto profissional.

Fonte: CASAGRANDE, T. Inteligência e ameaça cibernética. Florianópolis: Arqué, 2024.
​
​Você foi contratado como Especialista em Segurança da Informação por uma empresa de tecnologia que desenvolve aplicações móveis para o setor financeiro. A empresa possui matriz em São Paulo e filiais em Brasília, Rio de Janeiro e Porto Alegre, atendendo aproximadamente 2 milhões de usuários em todo o Brasil.
Recentemente, a empresa decidiu implementar um programa de coleta de inteligência de fontes abertas (OSINT) para monitorar ameaças cibernéticas e proteger informações corporativas sensíveis. Durante uma auditoria inicial, você identificou as seguintes vulnerabilidades:

Exposição em Redes Sociais: funcionários compartilham informações sobre projetos em desenvolvimento em suas redes pessoais, incluindo screenshots de telas e detalhes técnicos.
Vazamento de Dados em Fóruns: foi descoberto que especificações técnicas de APIs internas estão sendo discutidas em fóruns de desenvolvedores, aparentemente por ex-funcionários.
Engenharia Social: a empresa não possui protocolos adequados para verificação de identidade em comunicações, sendo vulnerável a ataques de social engineering via telefone e e-mail.
Monitoramento Insuficiente: não existe um sistema automatizado para monitorar menções da empresa em plataformas digitais, fóruns especializados ou sites governamentais.
Falta de Treinamento: a equipe de desenvolvimento não recebeu treinamento sobre práticas seguras de compartilhamento de informações on-line.

Tarefas:

1 – Identificação de Riscos: com base no cenário apresentado, identifique e descreva ao menos cinco riscos específicos relacionados à exposição de informações via OSINT, explicando por que cada um representa uma ameaça para o negócio.

2 – Ações de Mitigação: para cada risco identificado, proponha uma ou mais ações específicas para eliminar, mitigar ou terceirizar o risco, considerando as técnicas de OSINT mencionadas no livro da disciplina.

3 – Melhorias na Política de Segurança: proponha ao menos três itens para implementação na Política de Segurança da Informação da empresa, especificamente relacionados ao uso seguro de informações em fontes abertas, explicando a importância e os efeitos positivos esperados.

ORIENTAÇÕES IMPORTANTES
– Utilize os conhecimentos do livro “Inteligência e Ameaça Cibernética” de Tales Casagrande.
– Explore conceitos de OSINT, análise de ameaças e proteção de informações.
– Considere ferramentas como Shodan, Maltego e técnicas de monitoramento mencionadas no material.
​- Acesse o link com o vídeo de orientação gravado pelo professor, para ajudá-lo na realização desta atividade MAPA. O acesso deverá ser realizado em: Fórum (Studeo).
– Realize pesquisas complementares nas referências apresentadas pelo professor.
– Ao realizar pesquisas, não faça cópia fiel do texto e sempre insira as devidas referências dos autores.
– A entrega deve ser feita exclusivamente por meio do Formulário Padrão (Template) de entrega da atividade MAPA disponível em Arquivos>>Material da Disciplina (Studeo).
– Antes de enviar sua atividade, certifique-se de que respondeu a todas as perguntas e realize uma cuidadosa correção ortográfica.
– Após o envio não são permitidas alterações ou modificações. Logo, você tem apenas uma chance de enviar o arquivo corretamente. Revise bem antes de enviar!
– Lembre-se de que a interpretação da atividade também faz parte da avaliação.
– Procure sanar suas dúvidas junto a mediação em tempo hábil sobre o conteúdo exigido na atividade, de modo que consiga realizar sua participação.
– Atenção ao prazo de entrega, evite envio de atividade em cima do prazo. Você pode ter algum problema com internet, computador, software, etc., e os prazos não serão flexibilizados, mesmo em caso de comprovação.

Bons estudos!