Prévia do material em texto

Fundamentos da segurança da informação
Segurança e Auditoria de Sistemas
“Os profissionais de segurança são cada vez mais pressionados a fazer seu trabalho direito e com bom custo-benefício à medida que as redes se expandem além das empresas, chegando aos usuários, parceiros e clientes remotos, aos telefones celulares, aos PDAs e a outros dispositivos móveis. Os requisitos regulamentares de proteção de dados tem aumentado. As preocupações com o roubo de identidade estão maiores do que nunca. Hacking e outros tipos de acesso não autorizado contribuem para os cerca de 10 milhões de casos de roubo de identidade a cada ano, de acordo com a Federal Trade Commision.”
Em relação aos princípios fundamentais da Segurança da informação, analise as afirmativasa seguir.
I. Confidencialidade (sigilo) é a garantia de que a informação não será conhecida por quem não deve. O acesso às informações deve ser limitado, ou seja, somente as pessoas explicitamente autorizadas podem acessá-las. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.
II. Integridade:esse princípio destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais, indevidas ou acidentais.
III. Disponibilidade é a garantia de que a informação deve estar disponível, sempre que seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo.
Agora, assinale a alternativa correta.
Sua resposta
Correta
Asafirmativas I, II e III estão corretas.
Comentário
A segurança da informação é a disciplina que se concentra na qualidade (confiabilidade) da prestação de informações e no gerenciamento da continuidade das operações. Qualidade, nesse contexto, entende-se como a disponibilidade, a confidencialidade e a integridade da informação. Disponibilidade é o grau em que a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização requer. Integridade é o grau em que a informação está atualizada e sem erros. As características da integridade são as correções e a integridade das informações. A confidencialidade é o grau em que o acesso à informação é restrito a um grupo definido de pessoas autorizadas. Isso também inclui medidas para proteger a privacidade.
Questão 2
Correta
Questão com problema?
Segundo a norma ISO 27002, a qual trata das boas práticas para gestão de segurança da informação, os controles de segurança atuam em finalidades diferentes, que envolvem a prevenção, a detecção e a resposta.
Complete as lacunas abaixo e assinale a alternativa CORRETA:
Dessa forma, os controles de segurança podem ser __________, como um controle de acesso ao datacenter e __________, como uma política de senhas.
Sua resposta
Correta
Físicos - Processuais.
Comentário
Correta, pois controle de acesso ao datacenter é considerado controle físico e política de senhas é considerado controle processual.
Questão 3
Correta
Questão com problema?
A gestão de riscos possui uma norma, a ABNT ISO 31000:2009 (ISO 31000, 2009), que define os processos para o estabelecimento de gestão de riscos. Segundo o Guia ABNT ISO 73:2009 (ISO 73, 2009, p. 2), o “risco é uma combinação da probabilidade de um evento acontecer e a sua consequência”.
Na Figura 1 estão listados os processos (fora de ordem) que partem do estabelecimento de contexto e passam pela identificação, análise e avaliação de riscos. Após a avaliação de riscos o tratamento é realizado, enquanto os processos de comunicação, consulta, monitoramento e revisão são realizados o tempo todo.
Figura 1.Gestão de riscos segundo a ABNT ISO 31000:2009.
Assinale a opção que apresenta a ordem corretados processos relacionados à gestão de risco.
Sua resposta
Correta
5 - 4 - 1 - 3 - 2.
Comentário
A alternativa correta é a que apresenta a sequência:5 - 4 - 1 - 3 - 2. Figura 01.Gestão de riscos segundo a ABNT ISO 31000:2009. Fonte:NAKAMURA, T. Emílio. Fundamentos de segurança da informação. Londrina: Editora e Distribuidora Educacional S.A, 2016. 96 p. Disponível em: . Acesso em: 5 nov. 2016.
Questão 4
Correta
Questão com problema?
Um dos ataques mais conhecidos e realizados contra as empresas é o da negação de serviço, ou DoS (Denial-of-Service). Quando este ataque acontece, o resultado é a “queda” do serviço da vitima, o que impede os usuários legítimos de terem acesso às informações.
Qual tipo de mecanismo de defesa deve ser utilizado para evitar ataques de negação de serviço?
Sua resposta
Correta
Prevenção.
Comentário
O tipo de mecanismo de defesa ou de controle de segurança que evita os ataques é a prevenção. O firewall e a política de segurança são controles de segurança, enquanto a detecção e a resposta são os demais tipos de controles de segurança.
Questão 5
Correta
Questão com problema?
Em uma transação bancária a partir de um smartphone, o usuário instala um aplicativo do banco, realiza um login e entra com as informações da transação, incluindo a senha. Ao clicar em “enviar”, a transação sai do smartphone, trafega pela Internet e chega ao banco. No banco, a transação passa pelos firewalls, pelo servidor Web, por outros firewalls, pelo servidor de aplicação e chega ao mainframe. Lá o usuário é autenticado e a transação é efetivada. Todo o caminho de volta leva à resposta do sucesso da transação para o usuário.
Apesar dos esforços dos bancos em implantarem mecanismos de defesa, os prejuízos continuam aumentando. Uma das razões é que o uso de um novo canal (móvel) representa aumento dos riscos, mesmo com o uso de tecnologias sem vulnerabilidades conhecidas. Considerando os crackers, esta afirmação sobre a razão do aumento dos riscos está correta? Por quê?
Sua resposta
Correta
Sim, porque com o novo canal o número de ativos que podem ser atacados aumenta.
Comentário
Com o novo canal (móvel), há uma alteração fundamental no cálculo do risco do banco. Isso ocorre porque os ativos aumentam, que passam a ser alvos dos agentes de ameaça. Os ativos não são necessariamente vulneráveis, porém, novas vulnerabilidades são encontradas o tempo todo. Já os agentes de ameaça não aumentam - continuam sendo os crackers, por exemplo. O que ocorre é que, em maior quantidade, há a alteração do cálculo da probabilidade, que aumenta, o que consequentemente aumenta o risco.