Projeto Integrado Interdisciplinar Segurança da informação – DataShield Solutions

Projeto Integrado Interdisciplinar Segurança da informação

ORIENTAÇÕES INICIAIS
A partir da análise do contexto inicial apresentado, você, como futuro profissional, deverá
desenvolverá uma atividade fundamentada nas disciplinas estudadas ao longo deste semestre.
Essa atividade visa aprimorar suas habilidades de leitura, interpretação e aplicação dos
conhecimentos adquiridos, proporcionando uma compreensão mais profunda e crítica dos
conteúdos abordados.
A DataShield Solutions é uma empresa de tecnologia que desenvolve uma plataforma integrada para
gestão de dados corporativos, oferecendo módulos web, aplicativos mobile e um conjunto de APIs
consumidos por clientes de médio e grande porte. Com o aumento rápido da base de usuários e a
entrada de novos clientes estratégicos, a empresa acelerou a expansão de sua infraestrutura,
combinando serviços em nuvem com servidores físicos internos.
Nos últimos meses, porém, começaram a surgir sinais preocupantes: acessos suspeitos foram
identificados no painel administrativo, alguns endpoints da API apresentaram comportamento
inconsistente e houve relatos de lentidão e indisponibilidade recorrente nos serviços web. Um red
team contratado pela diretoria realizou testes preliminares e apontou riscos significativos, incluindo
vulnerabilidades em aplicações, falhas nas políticas de acesso, exposição de serviços internos e
configurações inadequadas em servidores e rede.
Paralelamente, análises internas mostraram que parte do ambiente está desatualizado, a empresa
não possui processos formais de auditoria, monitoramento ou resposta a incidentes e que muitos
controles de segurança dependem de configurações manuais feitas pelos próprios desenvolvedores.
Além disso, existe preocupação com a conformidade legal, pois a plataforma armazena informações
sensíveis de clientes e colaboradores.
Diante desse cenário, a diretoria concluiu que a empresa não possui maturidade suficiente para
continuar crescendo sem riscos elevados. Assim, solicitou que uma equipe multidisciplinar —
envolvendo especialistas de redes, segurança ofensiva, segurança defensiva, gestão,
desenvolvimento, infraestrutura e sistemas — realize uma avaliação completa do ambiente e
proponha um plano estratégico de segurança da informação, contemplando:
• identificação de vulnerabilidades e falhas estruturais;
• análise e reforço da segurança de redes e servidores;
• recomendações de defesa, monitoramento, acesso e proteção de dados;
• avaliação da segurança das aplicações web e APIs;
• verificação de conformidade com normas e legislações vigentes;
• propostas de mitigação, resposta a incidentes e continuidade;
• ajustes organizacionais e de governança referentes à segurança.
ATIVIDADE A SER REALIZADA
Passo 1: [Gestão da Segurança da Informação]
A DataShield Solutions enfrenta um conjunto de incidentes e fragilidades que revelam falhas
graves de governança, ausência de processos formais e controles inconsistentes em toda a
organização. Os problemas vão desde acessos suspeitos e vulnerabilidades em APIs até inexistência
de práticas consolidadas de auditoria, monitoramento contínuo e segregação apropriada de funções.
Para reduzir riscos e elevar a maturidade da empresa, é necessário adotar uma abordagem de Gestão
da Segurança da Informação sistemática, baseada em políticas, processos e controles estruturados.
Com base no cenário apresentado da DataShield Solutions, crie um modelo resumido de fluxo
de resposta a incidentes, adequado à realidade da DataShield Solutions, contendo:
1. Identificação
2. Contenção
3. Erradicação
4. Recuperação
5. Pós-incidente
Passo 2: [Segurança Defensiva – Blue Team]
Com base no cenário da DataShield Solutions:
A) Identifique e classifique os vetores de ataque mais prováveis no ambiente (painel
administrativo, APIs, servidores internos e infraestrutura híbrida), indicando quais representam
maior risco imediato para a disponibilidade, integridade e confidencialidade dos dados.
B) Proponha um plano de monitoramento e detecção (Blue Team) que possa ser
implementado a curto e médio prazo, incluindo:
• quais logs e eventos devem ser coletados,
• quais ferramentas/controles seriam utilizados (SIEM, IDS/IPS, WAF, etc.),
• que tipos de alertas e correlações são prioritários para detectar comportamentos
suspeitos.
C) Defina um conjunto de medidas técnicas de hardening e segmentação de rede para reduzir
a superfície de ataque e dificultar movimentos laterais, contemplando servidores on-premises,
serviços em nuvem, painéis administrativos e APIs.
Passo 3: [SEGURANÇA OFENSIVA – ETHICAL HACKING – RED TEAM]
Com base no cenário da DataShield Solutions, responda:
A) Durante a fase preliminar do red team, foram identificados acessos suspeitos ao painel
administrativo, serviços internos expostos e APIs apresentando comportamento
inconsistente. Explique quais técnicas de reconhecimento ativo e passivo o time de Ethical
Hacking poderia utilizar para identificar vulnerabilidades, mapeando superfícies de ataque
relevantes, e descreva como esses achados contribuem para a construção do plano
ofensivo e para o relatório de riscos da DataShield Solutions.
B) Após os testes, o red team concluiu que a DataShield não possui um processo estruturado
de auditoria de aplicações, nem prática de análise de superfície de ataque ou pentests
frequentes. Proponha os elementos essenciais que devem compor um plano de
recuperação pós-engajamento ofensivo, levando em conta os problemas identificados
(ambiente desatualizado, falta de hardening, serviços expostos e APIs vulneráveis).
Passo 4: [SISTEMAS DE COMPUTAÇÃO E DE INFORMAÇÃO]
A) A DataShield combina infraestrutura em nuvem com servidores físicos internos, e parte
desse ambiente está desatualizada, com configurações manuais feitas por desenvolvedores.
Sistemas operacionais são a base para o funcionamento dos serviços, gerenciando processos,
memória, armazenamento, dispositivos e a comunicação com o hardware, além de prover
mecanismos de segurança e isolamento entre aplicações.
Pergunta:
Como deve ser considerado o aspecto de Segurança e Proteção em Sistemas Operacionais no
contexto da DataShield Solutions, levando em conta o ambiente híbrido (nuvem + onpremises) e as falhas descritas no cenário?
B) O cenário mostra que a DataShield não possui processos formais de auditoria,
monitoramento ou resposta a incidentes e que muitos controles de segurança são
improvisados. O red team já identificou vulnerabilidades significativas, e análises internas
revelaram diversas fragilidades.
Como a implementação de um modelo de gestão do conhecimento poderia ajudar a
DataShield a transformar o conhecimento explícito (relatórios, logs, achados de pentest) em
aprendizado organizacional (conhecimento tácito) para prevenir futuras falhas? Cite um
exemplo prático.
C) A diretoria está preocupada com a conformidade legal, especialmente porque a plataforma
armazena informações sensíveis, e não há processos claros de auditoria, rastreabilidade,
classificação da informação ou tratamento de incidentes.
Pergunta:
Analise o cenário e identifique dois desafios principais na gestão da informação que a
DataShield enfrenta para atender requisitos regulatórios (como LGPD) e auditorias. Explique
como cada um desses desafios pode ser superado com o uso adequado de sistemas de
informação.
Passo 5: [SEGURANÇA DA INFORMAÇÃO E DE REDES]
A DataShield Solutions é uma empresa de tecnologia que desenvolve uma plataforma
integrada para gestão de dados corporativos, com módulos web, aplicativos mobile e APIs
consumidas por clientes de médio e grande porte. A infraestrutura cresceu de forma acelerada,
combinando serviços em nuvem com servidores físicos internos.
• Foram identificados problemas como:
• acessos suspeitos ao painel administrativo;
• endpoints de API com comportamento inconsistente;
• lentidão e indisponibilidade recorrente nos serviços web;
• exposição de serviços internos e configurações inadequadas em servidores e rede;
• ausência de processos formais de auditoria, monitoramento e resposta a incidentes;
• preocupação com a conformidade legal, devido ao armazenamento de dados sensíveis
de clientes e colaboradores.
Com base nesse cenário, responda:
A) Considerando os princípios de segurança da informação (Confidencialidade, Integridade,
Disponibilidade e Autenticidade), identifique ao menos três riscos relevantes relacionados à
infraestrutura de redes da DataShield (incluindo nuvem + on-premises) e explique como cada risco
impacta esses princípios.
B) A DataShield precisa garantir proteção dos dados em trânsito entre:
• usuários (web/mobile) e a plataforma;
• comunicação entre módulos da aplicação e APIs;
• comunicação entre nuvem e servidores internos (site-to-site, acesso remoto de
administradores).
Defina quais protocolos e mecanismos de criptografia e segurança de rede devem ser
utilizados em cada um desses cenários (ex.: TLS, HTTPS, VPN/IPsec, SSH, etc.) e justifique suas
escolhas.
Passo 6: [SEGURANÇA DE TECNOLOGIAS WEB]
A DataShield Solutions desenvolve uma plataforma integrada de gestão de dados
corporativos, composta por:
• Aplicações web (painel administrativo e módulos para clientes);
• Aplicativos mobile que consomem a plataforma;
• APIs expostas para integração com sistemas de clientes de médio e grande porte.
Nos últimos meses foram identificados:
• Acessos suspeitos ao painel administrativo;
• Endpoints de API com comportamento inconsistente;
• Lentidão e indisponibilidade recorrente dos serviços web;
• Vulnerabilidades em aplicações, falhas nas políticas de acesso e exposição de serviços
internos;
• Falta de processos formais de auditoria, monitoramento e resposta a incidentes;
• Preocupação com conformidade legal e proteção de dados sensíveis.
Com base nesse cenário, responda:
A) A partir das informações fornecidas, identifique quatro vulnerabilidades ou riscos
específicos relacionados à segurança de tecnologias web (aplicações web e APIs) que podem estar
presentes na DataShield. Para cada um, explique:
• o que caracteriza o risco/vulnerabilidade;
• qual é o possível impacto para a empresa e seus clientes.
B) O painel administrativo da DataShield apresenta acessos suspeitos, e muitos controles
dependem de configurações manuais feitas por desenvolvedores. Proponha um modelo seguro de
autenticação e gerenciamento de sessão para esse painel web, considerando:
• autenticação de usuários;
• proteção de sessões;
• armazenamento de credenciais e tokens;
NORMAS PARA ELABORAÇÃO E ENTREGA DA ATIVIDADE
O trabalho final deverá ser realizado no arquivo denominado Modelo, disponibilizado no AVA,
obedecendo os critérios a seguir:
a) Atenção aos prazos de postagens, acompanhe o cronograma das datas de postagem e
correção das atividades em seu AVA.
b) A postagem no AVA deve ser em um único arquivo, em formato (Word ou pdf), com tamanho
máximo de 10MB, conforme Modelo. O sistema irá disponibilizar para correção apenas o
último arquivo postado.
c) O trabalho deverá ser realizado individualmente.
d) O trabalho final deve ser original e, portanto, não poderá haver trabalhos idênticos aos de
outros grupos ou com reprodução de materiais extraídos da internet. Os trabalhos plagiados
serão invalidados, sendo os alunos reprovados na atividade. Observe que a prática do plágio
constitui crime, com pena prevista em lei (Lei n.º 9.610), e deve ser evitada no âmbito
acadêmico.
e) Desenvolver o projeto integrado a partir do template disponibilizado no AVA. Para nortear o
desenvolvimento do projeto integrado que está sendo proposto, é necessário que sejam
apresentados os resultados no template, seguindo as normas da ABNT.
f) Em caso de dúvida para elaboração do trabalho, você deverá buscar orientações com seu
tutor a distância.
O Projeto Integrado é sua chance de aplicar a teoria, simular desafios reais e desenvolver habilidades
essenciais (solução de problemas, colaboração e pensamento crítico).
Dedique-se, sua construção de conhecimento hoje é a chave para o sucesso profissional amanhã.
CRITÉRIOS DE CORREÇÃO
Critério Significado Valor/Peso
Coerência, clareza e coesão
A produção textual apresenta linguagem de
fácil compreensão, com argumentos claros e
coesos.
10%
Aplicação dos conteúdos
interdisciplinares no texto
argumenta@vo
As ideias têm relação direta com a situação
descrita e explicitam conteúdos de TODAS as
disciplinas do semestre.
50%
Riqueza de argumentação O conteúdo reflete pensamento crí_co e
contempla os pontos da proposta,
20%
Organização dos conteúdos O trabalho segue uma sequência lógica e
condizente com os conteúdos apresentados.
10%
Normalização Respeito às normas da ABNT, ortografia e
estrutura solicitada.
10%
Desejamos uma ótima atividade!
Equipe de professores

O seu trabalho é disponibilizado pronto, respondido e nas normas já na mesma hora aqui em nosso site na sua área de downloads e também no seu e-mail.

Em quanto tempo recebo o portfólio?

Os envios são imediatos. Após sua compra, o trabalho já é disponibilizado instantaneamente aqui em nosso site e no seu e-mail.

E se o portfólio que comprei precisar de correção?

Caso haja alguma solicitação de correção/alteração por parte do tutor, basta entrar em contato conosco pelo WhatsApp que providênciaremos sem custo algum.

Qual o formato do arquivo?

Os arquivos são enviados em formato Word e são editáveis.

Caso eu tiver alguma dúvida, terei suporte no pós venda?

Sim, com certeza. Basta clicar no ícone do WhatsApp no cantinho da tela. Será um prazer atendê-lo(a).