NOME DO ALUNO: Marcos Rodrigues da Silva

Cite e justifique, resumidamente, os cinco principais direcionadores do negcio que esto associados a segurana de dados.
Preveno conta divulgao indevida Qualquer organizao possui em seus processo informaes que possuem alto grau de sigilo, assim fica a cada dia mais critico o controle para manter essa informaes protegidas contra divulgao indevida, o que em muito casos pode ocasionar problemas insolveis; Autenticidade Com o grande volume de informaes que so criadas, modificadas e eliminadas, torna-se critico dar a garantia de que todos os processos envolvidos mantenham a autenticidade dos dados em todo o seu ciclo de vida; Auditoria Garantia de existncia de trilhas que permitam levantar informaes sobre transaes que efetuem modificaes criticas e que geram possibilidades de riscos financeiros e operacionais, de forma a responsabilizar os autores das mesmas em caso de crises; Continuidade de Negcios Com o crescente uso da tecnologia da informao nas organizaes gerando alta dependncia de processos e dados em face a eventos diversos como: Interrupes por falhas, por falhas humanas, invases externas, catstrofes naturais,etc...), a garantia da continuidade dos negcios pode ser a diferena entre viver e morrer; Leis e regulamentos oficiais - As leis e regulamentos oficiais definem o padro de conformidade ao qual as empresas necessitam se adequar e para tal orientam o nvel de investimentos a ser realizado;

Explique o conceito de classificao de dados e a razo principal das organizaes falharem na sua implantao.
Quando falamos de classificao da informao podemos faz-lo sobre diferentes aspectos, o mais comum o de dividir cada item dentro de no 3 nveis de criticidade em relao aos pontos cruciais em relao ao tema de segurana da informao para os tens de ativos em questo, podemos montar a nossa matriz de classificao a ser adotada: Ativo Roteador Estao de Trabalho DataCenter Salrio do Diretor Arquivo de Vendas Comisses por Vendedor A classificao ser aplicada a cada item de ativo (hardware, software, informao, processo, etc...).Com base na classificao final e cruzando as informaes com a relao de indivduos e processos que necessitem de acesso aos ativos, sero distribudos os acessos as informaes mediante o nvel de classificao que receber o indivduo ou processo a quem ser atribudo o acesso, possibilitando assim um controle confivel das informao mantidas pelo sistema. O importante que todo esse processo dinmico e requer a implantao de um ciclo de melhoria, de formas a garantir a eficcia do processo. A razo pela qual as organizaes falham na implementao sem dvida alguma por um dos seguintes fatores: Falta de cultura de segurana da informao, bem como a de um planejamento das reas atendidas por Sistemas de informao; Baixa Nvel de Criticidade Mdia Alta

No atentar para a questo crucial que o assunto segurana tem como fundamento principal os itens: gesto de pessoas e treinamentos; Implementar um modelo de segurana como soluo definitiva e milagrosa, sem atentar para o conceito de que segurana da informao um processo contnuo que requer melhorias contnuas;

Explique o conceito de garantia da informao e justifique onde deveria ser implantado, segundo o modelo SNIA (Shared Storage Model): no servidor, na rede, no dispositivo de armazenamento.
O Modelo de Armazenamento Compartilhado de Informaes do SNIA, prope a aplicao da garantia da informao em todo o clico de vida da mesma, desde sua criao, uso, transporte, deposito e descarte.

Explique quais so as reas e servios do NSA IATF (Information Assurance Technical Framework).
Controle de Acesso: Identificao, autenticao, autorizao, execuo/cumprimento Confidencialidade: Proteo, separao de caminhos e controle de fluxo dos dados Integridade: Impedir modificao/destruio de dados sem autorizao Disponibilidade: Impedir perda do acesso as informaes para usurios autorizados No Repudio: Uma transao em andamento no perde a autorizao de prosseguir sua execuo que a iniciou.

Explique, resumidamente, dois modos ou vises da garantia da informao.

Confiana contra segurana Confidencialidade, Integridade, Disponibilidade, Utilidade, Privacidade, Uso Autorizado, No repudio Posse/Propriedade, Autenticidade,

Explique como os servios IATF podero ser implantados atravs da estratgia de defesa em profundidade.
Trata-se de usar a sobreposio de aes dando maior amplitude a ao de segurana. Proteo fsica do ambiente, firewall,Certificao digital, IPS, VPN, anti-virus, autenticao biomtrica, auditoria de logs, etc.

Cite e explique, resumidamente, os elementos chave do controle de acesso.

Controle de acesso o meio de se garantir que algum que se apresenta como solicitante de acesso a um recurso de TI realmente que ele realmente a pessoa que possui a autorizao e no algum se passando por ele. Se atinge esse objetivo utilizando fatores de autenticao: Aquilo que o usurio , exemplo: impresso digital, padro de retina, etc. Aquilo que o usurio tem, exemplo: carto de identificao, token, etc. Aquilo que o usurio conhece, exemplo: senha, frase de segurana, etc

Cite e explique, confidencialidade.

resumidamente,

os

elementos

chave

da

o Proteo de Dados De acordo com o nvel de confidencialidade de uma informao, para garanti-la, entra em cena o processo criptografia da informao, tornado-a acessvel apenas a quem detm a chave de descriptografar a mesma. o Separao de Dados Processo que define um localizao especfica para dados que possuem alto grau de confidencialidade a ponto de serem armazenados em locais de acesso restrito ou at mesmo desconhecido pela maioria das pessoas de uma organizao;

o Proteo ao fluxo dos dados Modernos mecanismos permitem acompanhar o fluxo de dados em uma rede e assim conseguir o acesso ao contedo de informaes sensveis, para isso existem mecanismos de dissimulao de contedo conseguindo assim despistar processos de escutas indesejados;

Cite alguns exemplos de ameaas originados pelos agentes

Tipos de Ataques: Passivo ativo distribudo fechado - interno Fontes externas: Naes hostis Hackers Terroristas - Crime Organizado - Imprensa internacional - concorrncia Fontes internas: Empregados despreparados e/ou mal treinados - Empregados descontentes - parceiros

Explique porque as ameaas so consideradas potencialmente danosas para os ativos organizacionais.

Toda empresa possui como propriedade sua um conjunto de bens e informaes com os quais atua com a finalidade de atender a outras empresas ou pessoas com os mesmos. Dentro desse aspecto existem empresas com muitos recursos e outras nem tatno, mas independente do tamanho ela depende da disponibilidade de seus ativos (bens e informaes de valor) para sua operao diria, assim adotar mecanismos de proteo a esses ativos na maioria dos casos um questo de vida ou morte para as empresas.

Explique, resumidamente, o foco da garantia da informao (IA) e o foco da segurana da informao (INFOSEC).
Garantia da informao Confiabilidade - Controle de acesso - No repudio - Estratgias em gerncia de risco. Garantia da informao Confidencialidade Integridade - Disponibilidade

Explique porque a segurana da informao no pode ser resolvida somente com tecnologia.
Com quase absoluta certeza podemos afirmar ser impossvel alijar as pessoas de um processo de segurana da informao. Exatamente por ser um processo, vai exigir em algum momento a presena de um ser humano (pelo menos at que tenhamos robs qualificados para tal) em algum ponto crtico de um processo de SI. Assim o ponto focal passa a ser o recurso humano, pois nele que residir o ponto mais frgil do processo.