No cenário contemporâneo, a informação é o ativo mais valioso de muitas organizações, como exemplificado por gigantes como Google e redes sociais. No entanto a exposição constante à internet torna essas empresas alvos frequentes de ameaças cibernéticas. Segundo a norma NBR ISO/IEC 27002, a segurança da informação é obtida pela implementação de controles adequados, incluindo políticas e procedimentos. Um profissional fundamental nesse ecossistema é o Hacker Ético, que realiza testes de invasão autorizados para identificar vulnerabilidades antes que agentes mal-intencionados (crackers) as explorem.

Fonte: BAUDEL, R. M. Ethical Hacker. Florianópolis: Arqué, 2025.

Imagine que você foi contratado como consultor de cibersegurança por uma empresa de médio porte que acaba de sofrer uma invasão. Um atacante interno (insider) utilizou uma conta com privilégios administrativos para acessar dados confidenciais de clientes. A empresa não possuía uma Política de Segurança da Informação (PSI) consolidada e os funcionários utilizavam senhas fracas, como “12345678”.

Como hacker ético, você deve elaborar um relatório técnico inicial (em anexo) respondendo aos seguintes pontos fundamentais para a recuperação da empresa:

1. Diferenciação Técnica e Ética: explique a diferença fundamental entre a sua atuação como hacker éticoe a atuação do invasor (cracker) no que diz respeito à legalidade e aos objetivos do acesso.
2. Análise da Tríade de Segurança: identifique e explique qual dos três princípios básicos da segurança da informação (Confidencialidade, Integridade ou Disponibilidade) foi diretamente violado na situação narrada e por quê.
3. Planejamento de Teste de Invasão: liste e descreva brevemente as três primeiras fases de um teste de intrusão profissional (Reconhecimento, Análise/Scanning e Exploração) que você realizaria para mapear outras vulnerabilidades na empresa.
4. Sugestão de Controle: com base na política de gestão de acesso lógico, explique a importância do Múltiplo Fator de Autenticação (MFA) para evitar que vazamentos de senhas resultem em invasões bem-sucedidas.