Adotar atualização de software, cuidados com links suspeitos (phishing), gerenciamento de permissões (arquivos, pastas, compartilhamento) e navegação segura na internet.
Nível CEBRASPE – boas práticas diárias para evitar incidentes de segurança, proteger dados e manter a integridade dos sistemas.
Manter sistemas operacionais, aplicativos e antivírus atualizados corrige vulnerabilidades conhecidas.
Patch: atualização pontual para corrigir falha de segurança ou bug.
Atualizações automáticas: recomendado para garantir proteção contínua (Windows Update, atualização automática de navegadores).
Risco de atraso: vulnerabilidades críticas são exploradas poucas horas/dias após divulgação (ex.: exploração de zero-day).
Ex.: Ataque WannaCry (2017) explorou sistemas Windows desatualizados, mesmo com patch disponível há meses.
CUIDADOS COM LINKS E ANEXOS (PHISHING)
Técnicas de engenharia social para induzir usuário a clicar em links maliciosos ou abrir anexos infectados.
Phishing: e-mail ou mensagem falsa que imita instituição legítima (banco, provedor, órgão público).
Verificar remetente: olhar o endereço de e-mail completo, não apenas o nome de exibição.
Passar o mouse sobre links: mostra URL real (pode ser diferente do texto).
Não abrir anexos inesperados ou de remetentes desconhecidos.
Nunca fornecer credenciais, números de cartão ou dados pessoais por links enviados por e-mail/mensagem. Acesse o site digitando o endereço manualmente.
PERMISSÕES (ARQUIVOS, PASTAS, COMPARTILHAMENTO)
Controlar quem pode ler, modificar ou executar arquivos/pastas, evitando acessos indevidos.
1. Gerenciamento de atualizações – por que é crítico?
Fabricantes de software lançam patches de segurança regularmente (ex.: Microsoft nas "Terças-feiras de patch"). Sistemas desatualizados ficam expostos a vulnerabilidades conhecidas e amplamente divulgadas. Muitos ataques de ransomware e malware exploram falhas já corrigidas. Recomenda-se habilitar atualizações automáticas, especialmente para sistemas operacionais, navegadores e plug-ins (Java, Flash – este último descontinuado). Em ambientes institucionais, utiliza-se ferramentas de gerenciamento de patches (WSUS, SCCM).
2. Phishing e engenharia social – como identificar?
Urgência falsa: "Sua conta será bloqueada em 24 horas".
Erros de ortografia ou gramática grosseiros (nem sempre, há phishing sofisticado).
Links que apontam para domínios parecidos com o legítimo (ex.: banco-seguro.com.br em vez de banco.com.br).
Solicitação de dados pessoais, senhas, números de cartão.
Anexos com extensões executáveis (.exe, .scr, .js) disfarçados de faturas.
Ex.: E-mail falso do "suporte Microsoft" pedindo para clicar em link para corrigir problema de segurança. Nunca clique; entre em contato pelo canal oficial.
3. Permissões e controle de acesso – NTFS em destaque
No Windows NTFS, as permissões básicas são: Leitura (R), Gravação (W), Execução (X), Modificação (M) (permite ler, gravar, excluir) e Controle total (Full control). Ao combinar permissões de grupo e usuário, a permissão efetiva é a soma de permissões permitidas, a menos que haja uma negação explícita (Deny), que se sobrepõe. O compartilhamento de pastas em rede adiciona outra camada de permissões, sendo aplicada a mais restritiva entre permissões NTFS e de compartilhamento.
Dica: A permissão de compartilhamento "Leitura" combinada com permissão NTFS "Controle total" resulta em "Leitura" ao acessar pela rede (a mais restritiva). Localmente, apenas NTFS é considerada.
4. Navegação segura – camadas de proteção
Uso de extensões de segurança (HTTPS Everywhere, uBlock Origin).
Verificar certificado SSL do site (cadeado fechado, emitido por autoridade confiável).
Configurar privacidade: desativar salvamento de senhas no navegador em computadores compartilhados.
Utilizar redes VPN para tráfego confidencial em redes públicas (criptografa toda comunicação).
Ativar "Navegação segura" nas configurações do Google Chrome/Edge.
Tabela: Práticas seguras × práticas inseguras
Prática segura
Prática insegura
Habilitar atualizações automáticas
Desabilitar Windows Update para "não incomodar"
Verificar remetente e URL antes de clicar
Clicar em links de e-mails não solicitados
Usar senhas longas e MFA
Anotar senhas em post-it ou reutilizá-las
Acessar sites bancários digitando URL na barra
Entrar por links de e-mails ou anúncios
Configurar permissões de arquivo por princípio do menor privilégio
Dar "Controle total" para todos os usuários
Navegar com HTTPS e bloqueador de anúncios
Aceitar certificados inválidos ou pop-ups duvidosos
Questões comentadas – Procedimentos de segurança (Cebraspe)
1. (CESPE/CEBRASPE – adaptada) Manter o sistema operacional Windows com as atualizações automáticas desabilitadas pode aumentar o risco de exploração de vulnerabilidades conhecidas por malwares.
Gabarito: CERTO. Atualizações corrigem brechas de segurança; desabilitá-las expõe o sistema.
2. (CESPE – adaptada) Em um e-mail de phishing, a simples ausência de erros de português garante que a mensagem é legítima.
Gabarito: ERRADO. Phishings modernos podem ter textos bem escritos e logotipos convincentes. Sempre verifique remetente e URL.
3. (CESPE/CEBRASPE – adaptada) No Windows, ao configurar permissões de compartilhamento para uma pasta, a permissão "Leitura" permite ao usuário visualizar e executar arquivos, mas não alterá-los, excluí-los ou criar novos.
Gabarito: CERTO. É a definição da permissão de leitura no compartilhamento.
4. (CESPE – adaptada) O uso de uma VPN (Virtual Private Network) em uma rede Wi-Fi pública garante que todos os dados trafegados estejam criptografados, protegendo contra ataques de interceptação (man-in-the-middle).
5. (CESPE/CEBRASPE – adaptada) A navegação segura por HTTPS pode ser identificada pela presença de um ícone de cadeado fechado na barra de endereços do navegador, indicando que a comunicação está criptografada.
Gabarito: CERTO. É o indicador visual de conexão segura (TLS/SSL).
6. Em um ambiente corporativo, a prática de conceder permissões de administrador local a todos os usuários está alinhada com o princípio do menor privilégio.
Gabarito: ERRADO. O menor privilégio preconiza justamente o oposto: apenas privilégios necessários, nunca administrador desnecessário.
Procedimentos de segurança em órgãos públicos (contexto institucional)
Políticas de acesso
Usar controle de acesso baseado em função (RBAC). Revisar permissões periodicamente. Remover acesso de usuários desligados ou transferidos.
Treinamento constante
Simulações de phishing para conscientizar servidores. Campanhas de segurança sobre riscos de engenharia social.
Registro de eventos (logs)
Monitorar tentativas de acesso indevido, falhas de autenticação, alterações em pastas críticas.
Dica Cebraspe – engenharia social
Engenharia social explora o fator humano. Treinamento e desconfiança são as principais defesas. A banca pode perguntar: "Qual a melhor forma de evitar ataques de phishing?" → Conscientização dos usuários + soluções técnicas (filtros de e-mail, MFA).
Checklist diário para navegação segura
Revisão para concurso e vida profissional
✔ Verificar se o site utiliza HTTPS (cadeado verde).
✔ Não clicar em pop-ups que prometem "melhorar desempenho" ou "limpeza de vírus".
✔ Desconfiar de ofertas muito vantajosas ou e-mails alarmistas.
✔ Confirmar o domínio real do site (ex.: gov.br, não gov-seguro.com).
✔ Manter extensões e plugins essenciais (navegador atualizado).
✔ Não salvar senhas no navegador em computadores compartilhados.
✔ Fazer logout de serviços (e-mail, redes sociais) ao terminar.
✔ Evitar usar cartão de crédito em sites sem reputação ou sem HTTPS.