Você está na página 1de 58

Fundamentos de Segurana da Informao

ISBN: 978-85-66649-01-7
Autor: Fernando Fonseca

Direitos autorais garantidos para:


Antebellum Capacitao Profissional

Todos os direitos reservados. Este manual no pode ser copiado, fotocopiado, reproduzido, traduzido para outras lnguas ou convertido em qualquer forma eletrnica ou legvel por qualquer meio, em parte ou no todo, sem a aprovao prvia
por escrito da Antebellum Capacitao Profissional

320 Pginas - Editora Antebellum

www.antebellum.com.br

Material do Aluno

cursos@antebellum.com.br

Verso 1.0
Responsabilidade Social
Este material foi impresso pela Ekofootprint, utilizando papel reciclado e tecnologia de cera (Solid Ink) da
Xerox, que reduz o impacto ambiental das impresses
em 90%, se comparado tecnologia Laser.

PDF Gerado em baixa resoluo


para demonstrao do material

www.ekofootprint.com

Sumrio
O Programa de Certificao do Exin................................. 6
1

- Informao e Segurana................................................... 15

1.1 - Conceitos Fundamentais.................................................. 15


1.2 - Valor da Informao......................................................... 58
1.3 - Aspectos de Confiabilidade.............................................. 65

- Alinhamento Estratgico.................................................. 75

2.1 - Governana...................................................................... 75
2.2 - Modelagem de Processos................................................ 91
2.3 - Classificao da Informao............................................. 96
3

- Gesto de Riscos.............................................................. 104

3.1 - Ameaas........................................................................... 104


3.2 - Tipos de Ameaa.............................................................. 107

3.3 - Dano................................................................................. 143


3.4 - Anlise de Riscos.............................................................. 151
4

- Abordagem e Organizao............................................... 166

4.1 - Polticas de Segurana...................................................... 166


4.2 - Organizao da Segurana............................................... 172
4.3 - Gesto de Incidentes........................................................ 178
5

- Medidas de Segurana..................................................... 190

5.1 - A Importncia das Medidas.............................................. 190


5.2 - Controles Fsicos............................................................... 194
5.3 - Controles Tecnolgicos.................................................... 203
5.4 - Segurana em Software................................................... 220
5.5 - Controles Organizacionais................................................ 242
5.6 - Gesto de Pessoas............................................................ 245
5.7 - Controle de Acesso........................................................... 253
5.8 - Continuidade de Negcios............................................... 259
5

Sumrio
6

- Conformidade................................................................ 266

6.1

- Legislao e Regulamentao........................................ 266

6.2

- Avaliao....................................................................... 275

Anexo A. Exame Simulado (Oficial Exin)..................... 280

Anexo B Lista de Conceitos Bsicos do Exin............... 301


Anexo C Referncias Bibliogrficas............................ 308
Anexo DSites .Recomendados................................... 310
Anexo ECronograma do Curso................................... 312

O EXIN - Examination Institute for Information Science, uma empresa global, prestadora de exame independente de TI que oferece programas de capacitao para ISO/IEC 20000, ISO/IEC 27000, ITIL , MOF, entre outros.
misso do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e
os usurios de TI, por meio de testes e certificaes.
A tecnologia da informao a pedra fundamental do competitivo mundo
dos negcios de hoje. Como profissional de TI, voc enfrenta o desafio dirio
de fornecer servios de TI confiveis e acessveis. Seu mundo movido pelo
desempenho e est em constante mutao. Muitas novas profisses de TI
continuam a surgir. So mais de 350.000 profissionais certificados em mais
de 125 pases exercitando-se em Tecnologia da Informao em todos os nveis. Estes profissionais obtiveram sua valiosa certificao EXIN atravs de
7

treinamento e exames abrangentes baseados em padres de TI reconhecidos


internacionalmente
A qualidade dos servios de TI depende muito do profissionalismo da equipe. O EXIN oferece acompanhamento da aprendizagem, proporcionando
aos profissionais de TIC (Tecnologia da Informao e Comunicao) as
competncias e habilidades apropriadas para aprimorar o desempenho do

seu trabalho. A obteno de um certificado EXIN uma evidncia slida de


um treinamento bem-s
O programa de certificao do EXIN dividido em trs nveis. O inicial o
exame de fundamentos, destinado a todos na organizao que processam
informaes. Seu objetivo criar a conscincia da responsabilidade de cada
indivduo na manuteno da confiabilidade e do valor dos ativos de informao da empresa. O mdulo tambm adequado para pequenas empresas
cujos conhecimentos bsicos de Segurana da Informao so necessrios.

1. Informao e Segurana (10%)

O exame avanado destinado a todos que, atravs de sua posio, esto

1.1 O conceito de informao (2,5%) - O candidato entende o conceito


de informao. O candidato capaz de:

envolvidos com a implementao, avaliao e comunicao de segurana da


informao, tais como o Gerente de Segurana da Informao e o Security

1.1.1 Explicar a diferena entre os dados e informaes


1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutura bsica

Officer ou o Gerente de Projetos.


O exame de especialista em gerenciamento destinado aos profissionais de

1.2 Valor da informao (2,5%) - O candidato entende o valor da informao para as organizaes. O candidato capaz de:

TI que so responsveis pelo desenvolvimento e implementao, em parte


ou no todo, das estruturas da Segurana da Informao. Exemplos podem

1.2.1 Descrever o valor de dados / informao para as organizaes


1.2.2 Descrever como o valor de dados / informaes pode influenciar as
organizaes
1.2.3 Explicar como conceitos aplicados de segurana de informaes
protegem o valor de dados / informaes

incluir o Chief Information Security Officer, o Gerente de Segurana da Informao, Implementador de Segurana da Informao e Arquitetos de Sistemas de Informaes.

10

1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos


de confiabilidade (confidencialidade, integridade, disponibilidade)
da informao. O candidato capaz de:

3.2 Componentes (2,5%) - O candidato conhece as vrias componentes


da organizao da segurana. O candidato capaz de:
3.2.1 Explicar a importncia de um cdigo de conduta
3.2.2 Explicar a importncia da propriedade
3.2.3 Nomear as regras mais importantes na organizao da segurana da
informao

1.3.1 Nome dos aspectos de confiabilidade da informao


1.3.2 Descrever os aspectos de confiabilidade da informao
2. Ameaas e riscos (30%)

3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a importncia da gesto de incidentes e escaladas. O candidato capaz
de:

2.1 Ameaa e risco (15%) 0 O candidato compreende os conceitos de


ameaa e risco. O candidato capaz de:
2.1.1 Explicar os conceitos de ameaa, de risco e anlise de risco
2.1.2 Explicar a relao entre uma ameaa e um risco
2.1.3 Descrever os vrios tipos de ameaas
2.1.4 Descrever os vrios tipos de danos
2.1.5 Descrever as diferentes estratgias de risco

2.2 Relacionamento entre ameaas, riscos e confiabilidade das informaes (15%) - O candidato compreende a relao entre as ameaas,
riscos e confiabilidade das informaes. O candidato capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaas
2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a informao e ao tratamento das informaes

3.3.1 Resumir como incidentes de segurana so comunicados e as informaes que so necessrias


3.3.2 Dar exemplos de incidentes de segurana
3.3.3 Explicar as consequncias da no notificao de incidentes de segurana
3.3.4 Explicar o que implica uma escalada (funcional e hierrquica)
3.3.5 Descrever os efeitos da escalada dentro da organizao
3.3.6 Explicar o ciclo do incidente

4. Medidas (40%)
4.1 Importncia das medidas de (10%) - O candidato entende a importncia de medidas de segurana. O candidato capaz de:

3. Abordagem e Organizao (10%)


3.1 Poltica de Segurana e organizao de segurana (2,5%) - O candidato tem conhecimento da poltica de segurana e conceitos de organizao de segurana. O candidato capaz de:
3.1.1 enunciar os objetivos e o contedo de uma poltica de segurana
3.1.2 enunciar os objetivos e o contedo de uma organizao de segurana

11

4.1.1 Descrever as maneiras pelas quais as medidas de segurana podem


ser estruturadas ou organizadas
4.1.2 Dar exemplos de cada tipo de medida de segurana
4.1.3 Explicar a relao entre os riscos e medidas de segurana
4.1.4 Explicar o objetivo da classificao das informaes
4.1.5 Descrever o efeito da classificao

12

4.2 Medidas de segurana fsica (10%) - O candidato tem conhecimento


tanto da criao e execuo de medidas de segurana fsica. O candidato capaz de:

4.4.7 Tornar clara a importncia da realizao de exerccios

5. Legislao e regulamentao (10%)


4.2.1 Dar exemplos de medidas de segurana fsica
4.2.2 Descrever os riscos envolvidos com medidas de segurana fsica
insuficientes

5.1 Legislao e regulamentos (10%) - O candidato entende a importncia e os efeitos da legislao e regulamentaes. O candidato capaz
de:

4.3 medidas de ordem tcnica (10%) - O candidato tem conhecimento


tanto da criao quanto da execuo de medidas de segurana tcnica. O candidato capaz de:
4.3.1 Dar exemplos de medidas de segurana tcnica
4.3.2 Descrever os riscos envolvidos com medidas de segurana tcnica
insuficientes
4.3.3 Compreender os conceitos de criptografia, assinatura digital e certificado
4.3.4 Nome das trs etapas para servios bancrios online (PC, web site,
pagamento)
4.3.5 Nomear vrios tipos de software malicioso
4.3.6 Descrever as medidas que podem ser usados contra software malicioso
4.4 Medidas organizacionais (10%) - O candidato tem conhecimento
tanto da criao quanto da execuo de medidas de segurana organizacional. O candidato capaz de:
4.4.1 Dar exemplos de medidas de segurana organizacional
4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurana
organizacional insuficientes
4.4.3 Descrever as medidas de segurana de acesso, tais como a segregao de funes e do uso de senhas
4.4.4 Descrever os princpios de gesto de acesso
4.4.5 Descrever os conceitos de identificao, autenticao e autorizao
4.4.6 Explicar a importncia para uma organizao de um Gerenciamento da Continuidade de Negcios estruturado
13

5.1.1 Explicar porque a legislao e as regulamentaes so importantes


para a confiabilidade da informao
5.1.2 Dar exemplos de legislao relacionada segurana da informao
5.1.3 Dar exemplos de regulamentao relacionada segurana da informao
5.1.4 Indicar as medidas possveis que podem ser tomadas para cumprir
as exigncias da legislao e da regulamentao

Vantagens da certificao IFSF


Reduo de riscos do negcio;
Investimento em controles de segurana da informao frente aos ris

14

cos do negcio (racionalidade);


Aumento da efetividade da segurana da informao (conceito de melhoria contnua);
Aumento de confiana nas relaes comerciais;
Proteo dos ativos da informao em todas as suas formas
(tecnologia, pessoas e processos);
O exame ISO/IEC 27002 do EXIN composto de 40 perguntas em ingls, sendo necessrio acertar 26 questes para ser aprovado. A taxa do
exame de US$ 165,00.
O Formato do exame do tipo mltipla escolha e sua durao mxima
de 60 minutos.
Uma vez aprovado no exame, voc receber dentro de 45 dias o certificado da EXIN pelo correio.

Envolvimento e comprometimento da direo da empresa na seguran-

Requisito de exame

a da informao;
Padro aceito no mundo, com mais de 2500 certificaes;
Aumento da conscientizao dos funcionrios para assuntos referen-

tes segurana da informao;


Conformidade com requisitos legais;
Reconhecimento, por parte de terceiros, da importncia da segurana

da informao para a empresa

Especificao de exame
ao nvel de maestria

1 Informao e segurana
O conceito de informao

1.1

Valor da informao

1.2

Aspectos de confiabilidade

1.3

Entendimento
Entendimento
Lembrana

Subtotal

Formato do Exame

Peso
(%)

Nmero
de questes

2.5

2.5

10

15

15

30

12

2 Ameaas e riscos
Ameaas e riscos

2.1
2.2

Tipo de exame

mltipla escolha

Relacionamento entre ameaas, riscos e confiabilidade da


informao

Nmero de questes

40

Subtotal

Durao do exame

60 minutos

Taxa para aprovao

65%

Caractersticas

Entendimento
Entendimento

3 Abordagem e organizao

Literatura: O material do aluno cobre todos os requisitos do exame, inclusive com questoes ao final de cada captulo e respostas comentadas
no apndice A.

Poltica de segurana e organizao de segurana

3.1

Lembrana

2.5

Componentes

3.2

2.5

Gerenciamento de incidentes

3.3

Lembrana
Entendimento

10

10

10

10

10

40

16

10

10

100

40

Subtotal
4 Medidas

O aluno tambm pode utilizar como literatura auxiliar o seguinte livro:


Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of Information
Security - A practical handbook - The Netherlands, 2009 - disponvel gratuitamente,
no formato PDF (em ingls), no stio internet do EXIN:
http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx

Importncia de medidas

4.1

Medidas fsicas

4.2

Medidas tcnicas

4.3

Medidas organizacionais

4.4

Entendimento
Lembrana
Lembrana
Lembrana

Subtotal
5 Legislao e regulamentao
Legislao e regulamentao
Subtotal
Total

15

16

5.1

Entendimento

Conforme visto anteriormente, devido sua natureza abstrata, as informaes precisam de uma mdia para serem transmitidos e armazenados, essas
mdias no entanto precisam de um cuidado especial quanto a seu manuseio,
armazenamento, transporte e descarte. O critrio utilizado varia de acordo
com a classificao da informao que armazenam
As boas prticas recomendam que, ao se classificar uma informao se especifique o tempo e as condies do armazenamento considerando sempre que
quanto maior a sensibilidade de uma informao, mais rgidos devem ser os
controles de prazo e condies de guarda.
importante destacar que as informaes podem ser reclassificadas a qualquer tempo, o que pode ocasionar uma reviso do prazo e das condies de
armazenamento das mesmas.
17

18

Quando uma informao no mais necessria, necessrio estabelecer procedimentos na Poltica de Segurana da organizao para o seu descarte, avaliando se a mdia utilizada para guardar aqueda informao, assim como as
que receberam suas cpias, pode ser sanitizada para receber novas informaes (ex: HD, Fita, Carto de Memria, DVD-RW), ou deve ser descartada
(Ex: papel, fita no final da vida til, DVD-ROM).

As fases abaixo, representam o ciclo de vida da informao:


Criao Incio do ciclo onde a informao gerada, pode ser o ponto
onde uma foto tirada, uma filmagem feita, um documento ou e-mail
escrito, etc.
Transporte Esta parte do ciclo consiste no momento do envio ou transporte, onde a informao encaminhada por correio, correio eletrnico,
fax, falada ao telefone ou atravs de alto-falantes pblicos e outros. Normalmente ocorre antes e depois do armazenamento.

Os processos definidos na poltica de segurana so fundamentais para a


manuteno da segurana do ambiente, pois eles definem o comportamento esperado dos colaboradores em relao segurana da informao, e as

Armazenamento Momento em que a informao armazenada, seja em


uma base da dados de um banco de dados, em papel, mdia (CD, DVD,

tecnologias a serem utilizadas para assegurar a segurana da informao


na organizao.
As pessoas, colaboradores da organizao, aparecem como segundo com-

Fita, disquete, memria USB)

ponente dessa trade fundamental, e necessitam de orientao para que


Descarte A parte final do ciclo o momento em que a informao des-

possam desempenhar suas obrigaes quanto segurana da informao

cartada, ou seja, eliminada, apagada, deletada, destruda de forma defi-

da melhor forma possvel.

nitiva. Pode ocorrer com a simples destruio de um papel, CD, ou DVD,


ou pode ocorrer de forma que sua mdia hospedeira seja reutilizada posteriormente.

Por ltimo temos a tecnologia, que fornece ferramentas para forar com
que as polticas sejam seguidas monitorar o uso dos recursos de informao, e alertar de diversas formas quanto a incidente e desvios no cumpri-

mento da poltica.
19

20

gurana da informao dentro da organizao


Partes externas - Objetivo: Manter a segurana dos recursos de proces-

samento da informao e da informao da organizao, que so acessados, processados, comunicados ou gerenciados por partes externas

Gesto de ativos
Responsabilidade sobre os ativos - Objetivo: Alcanar e manter a pro-

teo adequada dos ativos da organizao


Classificao da Informao - Objetivo: Assegurar que a informao

receba nvel adequado de proteo.

A ISO 27002:2005 dividida em 11 sees e 39 categorias, que listamos


a seguir:

Segurana em Recursos Humanos


Antes da contratao - Objetivo: Assegurar que os funcionrios, forne-

cedores e terceiros entendam suas responsabilidades, e estejam de

Poltica de segurana da informao

acordo com os papis, e reduzir o risco de roubo, fraude ou mau uso de


recursos

Poltica de Segurana da Informao - Objetivo: Prover uma orientao

Durante a contratao - Objetivo: Assegurar que os funcionrios, for-

e apoio da direo para a segurana da informao de acordo com os

necedores e terceiros esto conscientes das ameaas e preocupaes

requisitos do negcio e com as leis e regulamentaes relevantes

relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da infor-

Organizando a Segurana da Informao

mao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano.

Infraestrutura da Segurana da Informao - Objetivo: Gerenciar a se-

21

22

Encerramento ou mudana da contratao - Objetivo: Assegurar que

Manuseio de mdias - Objetivo: Prevenir contra a divulgao no auto-

funcionrios, fornecedores e terceiros deixem a organizao ou mudem

rizada, modificao, remoo ou destruio aos ativos e interrupes

de trabalho de forma ordenada.

das atividades do negcio.


Troca de informaes - Objetivo: Manter a segurana na troca de infor-

Segurana Fsica e do Ambiente

maes e software in ternamente organizao e com quaisquer entidades externas

reas seguras - Objetivo: Prevenir o acesso fsico no autorizado, da-

Servios de comrcio eletrnico - Objetivo: Garantir a segurana de

nos e interferncias com as instalaes e informaes da organizao.


Segurana de equipamentos - Objetivo: Impedir perdas, danos, furto

servios de comrcio eletrnico e sua utilizao segura


Monitoramento - Objetivo: Detectar atividades no autorizadas de

ou comprometimento de ativos e interrupo das atividades da organi-

processamento da informao

zao.

Controle de acesso
Gerenciamento das Operaes e Comunicaes`

Requisitos de negcio para controle de acesso - Objetivo: Controlar o

acesso informao
Procedimentos e responsabilidades operacionais - Objetivo: Garantir a

Gerenciamento de acesso do usurio - Objetivo: Assegurar acesso de

operao segura e correta dos recursos de processamento da informa-

usurio autorizado e prevenir acesso no autorizado a sistemas de in-

formao.

Gerenciamento de servios terceirizados - Objetivo: Implementar e

Responsabilidades dos usurios - Objetivo: Prevenir o acesso no au-

manter o nvel apropriado de segurana da informao e de entrega de

torizado dos usurios e evitar o comprometimento ou roubo da infor-

servios em consonncia com acordos de entrega de servios terceiri-

mao e dos recursos de processamento da informao.

zados

Controle de acesso rede - Objetivo: Prevenir acesso no autorizado

Planejamento e aceitao dos sistemas - Objetivos: Minimizar o risco

de falhas nos sistemas

aos servios de rede


Controle de acesso ao sistema operacional - Objetivo: Prevenir acesso

Proteo contra cdigos maliciosos e cdigos mveis - Objetivos: Pro-

teger a integridade do software e da informao.

no autorizado aos sistemas operacionais


Controle de acesso aplicao e informao - Objetivo: Prevenir

Cpias de segurana - Objetivo: Manter a integridade e disponibilida-

acesso no autorizado informao contida nos sistemas de aplicao

de da informao e dos recursos de processamento de informao.


23

24

Computao mvel e trabalho remoto - Objetivo: Garantir a segurana

Gesto de incidentes de segurana da informao e melhorias Obje-

da informao quando a computao mvel e recursos de trabalho re-

tivo: Assegurar que um enfoque consistente e efetivo seja aplicado

moto

gesto de incidentes de segurana

Aquisio, desenvolvimento e manuteno de sistemas de informa-

Gesto de Continuidade de Negcios

o
Requisitos de segurana de sistemas de informao Objetivo: Garan-

Aspectos da gesto da continuidade do negcio, relativos segurana

da informao Objetivo: No permitir a interrupo das atividades

tir que segurana parte integrante de sistemas de informao

do negcio e proteger os processos crticos contra efeitos de falhas ou

Processamento correto de aplicaes Objetivo: Prevenir a ocorrncia

de erros, perdas, modificao no autorizada ou mau uso de informa-

desastres significativos, e assegurar a sua retomada em tempo hbil, se

es em aplicaes.

for o caso.

Controles criptografados Objetivo: Proteger a confidencialidade, a

autenticidade ou a integridade das informaes por meios criptogrfi-

Conformidade

cos
Segurana dos arquivos do sistema Objetivo: Garantir a segurana de

Conformidade com requisitos legais Objetivo: Evitar violao de

qualquer lei criminal ou civil, estatutos, regulamentaes ou obriga-

arquivos de sistema

es contratuais e de quaisquer requisitos de segurana da informa-

Segurana em processos de desenvolvimento e de suporte. - Objetivo:

o.

Manter a segurana de sistemas aplicativos e da informao.


Gesto de vulnerabilidades tcnicas. - Objetivo: Reduzir riscos resul-

Conformidade com normas e polticas de segurana da informao e

conformidade tcnica Objetivo: Garantir conformidade dos sistemas

tantes de explorao de vulnerabilidades tcnicas conhecidas.

com as polticas e normas organizacionais de segurana da informao.

Gesto de incidentes de Segurana da Informao

Consideraes quanto auditoria de sistemas de informao Objetivo: Ma-

Notificao de fragilidades e eventos de segurana da informao

Objetivo: Assegurar que fragilidades e eventos de segurana da infor-

ximizar a eficcia e minimizar a interferncia no processo de auditoria dos

mao associados com sistemas de informao sejam comunicados,

sistemas de informao.

permitindo a tomada de ao corretiva em tempo hbil.


25

26

"These novel or unusual design features are associated with connectivity


of the passenger domain computer systems to the airplane critical systems and data networks." (FAA)
Este tipo de ameaa real, e tem sido discutida por vrios profissionais de
Segurana da Informao. Conforme lembrou o colega Javed Ikbal em um
post enviado para a lista cisspforum, no ano passado foi demonstrado no site
da CSO online como possvel derrubar o sistema de entretenimento a bordo (os jogos nos monitores) de um vo da JetBlue utilizando o telefone a
bordo para passar um parmetro invlido para o jogo Tetris.
A prpria reportagem da Wired cita uma apresentao muito interessante
do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apresenta como hackear computadores vizinhos durante o vo e, no final da
apresentao, faz vrias consideraes sobre os projetos existentes de dispo-

nibilizao de acesso internet nos vos.


Estudo de CasoBoeing 787

Segundo a matria, a Boeing diz que est ciente do risco e est trabalhando

Segundo um relatrio da agncia americana FAA (Federal Aviation Administration), o novo jato tem uma vulnerabilidade sria de segurana na arquitetura de suas redes internas de computadores, que pode permitir que passageiros acessem os sistemas de controle do avio a partir da rede criada para
prover acesso internet durante o voo. De acordo com o relatrio, a rede destinada aos passageiros est conectada com as redes dos sistemas de controles
de voo, de navegao, comunicao e a rede administrativa da compania area (responsvel por sistemas administrativos e de manuteno da equipe de
terra). No atual design, a conexo fsica entre estas redes, anteriormente isoladas, faz com que todo o sistema seja mais facilmente vulnervel a hackers.

na separao fsica das redes e na adoo de proteo baseada em softwares


de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspforum), manter todas estas redes totalmente isoladas fisicamente implicaria
em ter equipamentos e cabeamento redundante em toda a aeronave, um custo muito pesado para a indstria aeronutica. Por isso, o compartilhamento
da infraestrutura pareceria algo bvio aos olhos de um leigo.
Lamentavelmente, muitas vezes os profissionais de segurana no so envolvidos na fase de design do projeto, cabendo ento a rdua tarefa de criar mecanismos adicionais de proteo, depois que o problema encontrado

Fonte: AnchisesLndia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html

27

28

Existe um importante fluxo de informaes entre os objetivos de controle de

importante diferenciarmos Governana de TI de Gerenciamento de TI.

TI e a alta gesto.

A Governana de TI encontra-se e um nvel estratgico, sendo o sistema


pelo qual o uso atual e futuro da TI dirigido e controlado. Significa avaliar
e direcionar o uso da TI para dar suporte organizao e monitorar seu uso

Os objetivos de negcio que forem definidos pela alta direo geram requisi-

para realizar os planos. Inclui a estratgia e as polticas de uso da TI dentro

tos para os objetivos de TI. Uma vez implementados, esses controles geram

da organizao

informaes necessrias para que o negcio alcance seus objetivos.

O Gerenciamento de TI encontra-se em uma esfera mais operacional, e representa o sistema de controles e processos necessrio para alcanar os objetivos estratgicos estabelecidos pela direo da organizao. O gerenciamento est sujeito s diretrizes, s polticas e ao monitoramento estabelecidos pela governana corporativa

A alta gesto responsvel por passar o direcionamento e recursos necessrios para a rea de TI, que servem como entrada nos objetivos de controle, e
a governana de TI devolve informaes importantes para que os executivos
e o conselho possa exercer suas funes.

29

30

Gesto de recursos: refere-se melhor utilizao possvel dos investimentos


e o apropriado gerenciamento dos recursos crticos de TI: aplicativos, informaes, infraestrutura e pessoas. Questes relevantes referem-se otimizao do conhecimento e infraestrutura.

Gesto de risco: requer a preocupao com riscos pelos funcionrios mais


experientes da corporao, um entendimento claro do apetite de risco da em
-presa e dos requerimentos de conformidade, transparncia sobre os riscos
significantes para a organizao e insero do gerenciamento de riscos nas
atividades da companhia.

Mensurao de desempenho: acompanha e monitora a implementao da estratgia, trmino do projeto, uso dos recursos, processo de performance e en
Segundo o CobiT (Control Objectives for Information and related Techno-

-trega dos servios, usando, por exemplo, balanced scorecards que tradu-

logy), a Governana de TI possui cinco reas de foco:

zem as estratgia em aes para atingir os objetivos, medidos atravs de processos contbeis convencionais Existe um importante fluxo de informaes
entre os objetivos de controle de TI e a alta gesto.

Alinhamento estratgico: foca em garantir a ligao entre os planos de neg


-cios e de TI, definindo, mantendo e validando a proposta de valor de TI, ali
-nhando as operaes de TI com as operaes da organizao.

Entrega de valor: a execuo da proposta de valor de IT atravs do ciclo


de entrega, garantindo que TI entrega os prometidos benefcios previstos
na estratgia da organizao, concentrando-se em otimizar custos e provendo o valor intrnseco de TI

31

32

O BSC mede o desempenho da organizao sob a ptica de quatro perspectivas que assim se inter-relacionam:

Resultados financeiros,
Satisfao do cliente,
Processos internos do negcio e
Aprendizado e crescimento.

A melhoria do aprendizado e crescimento dos empregados resulta em melhoria dos processos internos do negcio, os quais criam melhores produtos
e servios e, consequentemente, maior satisfao do cliente e maior participao no mercado, conduzindo a melhores resultados financeiros para a organizao.
O Balanced ScoreCard (BSC) uma metodologia que estabelece um sistema de medio de desempenho das organizaes. Foi proposto por Kaplan
e Norton em 1992 ao nvel empresarial.

O Balanced Scorecard uma ferramenta para planejar a implementao de


estratgias e obter melhoria contnua em todos os nveis da organizao.
um conjunto de medidas que do aos gerentes uma viso rpida e compreensiva dos negcios.

33

34

As quatro perspectivas do Balanced Scorecard esto contempladas em objeCada objetivo de negcio (Business Goal) aponta para um ou mais objetivos
de TI, conforme indicado na tabela acima, e descrito a seguir:

tivos de negcio (Business Goals) do CobiT.


Financeiro: BG01 a BG03
Cliente: BG04 a BG09

Perspectiva Financeira

Processos Internos: BG10 a BG15

1 - Prover um retorno de investimento adequado para os investimentos

Aprendizado e Crescimento: BG16 e 17

de TI relacionados aos negcios. (24)


2 - Gerenciar os riscos de negcios relacionados a TI. (2, 14, 17, 18, 19, 20, 21,
22)
3 - Aprimorar governana corporativa e transparncia. (2, 18)

35

36

Perspectiva do Cliente

4 - Aprimorar orientao para clientes e servios. (3, 23)


5 - Oferecer produtos e servios competitivos. (5, 24)
6 - Estabelecer a continuidade e disponibilidade de servios. (10, 16, 22, 23)
7 - Criar agilidade em responder a requerimentos de negcios que
mudam continuamente. (1, 5, 25)
8 - Atingir otimizao dos custos para entrega de servios.(7, 8, 10, 24)
9 - Obter informaes confiveis e teis para o processo de decises estratgicas. (2, 4, 12, 20, 26)

Perspectiva Interna

10 - Aprimorar e manter a funcionalidade dos processos de negcios. (6, 7, 11)

Os objetivos de TI por sua vez so mapeados em processos do CobiT:

11 - Reduzir custos de processos. (7, 8, 13, 15, 24)


12 - Conformidade com leis externas, regulamentos e contratos. (2, 19, 20, 21,
22, 26, 27)

1 - Responder aos requerimentos de negcios de maneira alinhada com a estratgia de negcios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1)

13 - Conformidade com polticas internas. (2, 13)

2 - Responder aos requerimentos de governana em linha com a Alta Direo. (PO1 PO4 PO10 ME1 ME4)

14 - Gerenciar mudanas de negcios. (1, 5, 6, 11, 28)

15 - Aprimorar e manter a operao e produtividade do pessoal. (7, 8, 11, 13)

3 - Assegurar a satisfao dos usurios finais com a oferta e nveis de servios. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13)
4 - Otimizar o uso da informao. (PO2 DS11)

Perspectiva de Aprendizagem

5 - Criar agilidade para TI. (PO2 PO4 PO7 AI3)

16 - Gerenciar a inovao de produtos e negcios. (5, 25, 28)

6 - Definir como funes de negcios e requerimentos de controles so convertidos em solues automatizadas efetivas e eficientes. (AI1 AI2 AI6)

17 - Contratar e manter pessoas habilitadas e motivadas. (9)


37

38

7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3


AI2 AI5)
8 - Adquirir e manter uma infraestrutura de TI integrada e padronizada.
(AI3 AI5)
9 - Adquirir e manter habilidades de TI que atendam as estratgias de TI.
(PO7 AI5)
10 - Assegurar a satisfao mtua no relacionamento com terceiros. (DS2

11 - Assegurar a integrao dos aplicativos com os processos de negcios.


(PO2 AI4 AI7)
2 - Assegurar a transparncia e o entendimento dos custos, benefcios, estra
-tgia, polticas e nveis de servios de TI. (PO5 PO6 DS1 DS2 DS6 ME1
ME4)
13 - Assegurar apropriado uso e a performance das solues de aplicativos e
de tecnologia. (PO6 AI4 AI7 DS7 DS8)
14 - Responsabilizar e proteger todos os ativos de TI. (PO9 DS5 DS9 DS12
ME2)
15 - Otimizar a infraestrutura, recursos e capacidades de TI. (PO3 AI3 DS3
DS7 DS9)
16 - Reduzir os defeitos e re-trabalhos na entrega de servios e solues.
(PO8 AI4 AI6 AI7 DS10)

A histria oficial dos VNIS no Brasil


Documentos da Aeronutica revelam a misso especial que filmou e fotografou aparies de vnis no Pas e mostram como funcionava o departamento
criado pelos militares para investigar os relatos sobre discos voadores

17 - Proteger os resultados alcanados pelos objetivos de TI. (PO9 DS10


ME2)
18 - Estabelecer claramente os impactos para os negcios resultantes de riscos de objetivos e recursos de TI. (PO9)

Duas dezenas de oficiais da Fora Area Brasileira (FAB) estiveram envolvidos em uma misso sigilosa no meio da selva amaznica, no Par, 30 anos
atrs. Denominada Operao Prato, ela a mais impressionante investigao
de vnis (objetos voadores no identificados) realizada pela Aeronutica
que se conhece. uma espcie de caso Roswell brasileiro, com misses secretas, histrias e fenmenos sem explicao. Enquanto em Roswell, marco

39

40

da ufologia mundial, os militares americanos primeiro admitiram a existn-

Lembrar que eles foram desclassificados porque pertencem sociedade, e

cia dos vnis e depois negaram, os relatrios da FAB no deixam dvidas:

esto somente sob custdia do governo. cumpriram 30 anos de ressalva de-

os oficiais do I Comando Areo Regional (Comar), em Belm, designados

veriam ser pblicas, mas na prtica no o que ocorre. "No se quebra uma

para a opera-o, que ocorreu nos quatro ltimos meses de 1977, afirmam

cultura de uma vez. E eu no sou a favor de divulgar documentos que ferem

ter presenciado - mais de uma vez - UFOs cruzando o cu da Amaznia.

a privacidade das pessoas, induzem pnico populao ou colocam a segurana do Pas em risco", defende o brigadeiro Jos Carlos Pereira, ex-

Detalhes da Operao Prato esto em relatrios sigilosos que acabam de ser


liberados pelo governo federal para consulta no Arquivo Nacional, em Bra-

comandante de operaes da FAB e ex-presidente da Empresa Brasileira de

Infraestrutura Aeroporturia (Infraero).

slia. Desde o ano passado, esto vindo a pblico documentos, alguns guardados h mais de 50 anos. Todos os arquivos secretos de UFO esto sob

Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos o

responsabilidade da Casa Civil desde 2005. H 1.300 folhas de um total es-

guardio da chave do cofre de segredos ufolgicos brasileiros. Foi ele quem

timado em 25 quilos de material, com descries, croquis e fotos de vnis

ordenou o recolhimento de todo material sigiloso produzido sobre o tema

referentes a trs lotes de informaes da FAB. Os dois primeiros contm

espalhado em bases areas e aeroportos do Brasil. A papelada foi levada para

relatos dos anos 50 e 60. O ltimo, aberto em maio e do qual faz parte a

o Comando de Defesa Aeroespacial (Comdabra), em Braslia, onde ele exer-

Operao Prato, cobre a dcada seguinte. No prximo ms, ser a vez do

cia a funo de comandante- geral, no incio da dcada. Mas somente no ano

acervo dos anos 80.

passado os documentos comearam a chegar ao arquivo nacional.

Os arquivos, agora pblicos, trazem depoimentos de civis, trocas de corres-

Revirar os pores das Foras Armadas e revelar os segredos ufolgicos

pondncias entre militares sobre vnis, recortes de jornais da poca e vrias

uma tendncia verificada em outros pases. "Com essa abertura, a Aeronuti-

conversas entre pilotos e controladores de voos sobre estranhos fenmenos

ca reconhece a necessidade de tratar o fenmeno UFO de maneira sria, dei-

no espao areo nacional No momento, apenas os relatrios de UFOs clas-

xando de lado o tom pejorativo e irreverente que quase sempre aparece

sificados como reservados e confidenciais da Aeronutica tornaram- se p-

quando se levanta a plausvel hiptese de estarmos recebendo a visita de

blicos. Espera-se que o Exrcito e a Marinha faam o mesmo. So aguarda-

seres extraterrestres", diz Ademar Jos Gevaerd, 47 anos, coordenador da

das, tambm, as pginas com os carimbos de secreto e ultra-secreto. Por lei,

Comisso Brasileira de Uflogos (CBU), que elaborou uma campanha em

as que Ressaltar que os documentos eram confidenciais e reservados, com

prol da liberdade de informaes sobre UFOs.

tempo diferente de classificao dos secretos.


41

42

Hoje, a pessoa que quiser relatar a apario de um vni dificilmente encontrar eco na FAB. "A Aeronutica no dispe de estrutura especializada para realizar investigaes cientficas", informou a FAB ISTO. Porm, durante o funcionamento do Sioani, no IV Comar, toda testemunha era submetida a

43

44

A palavra risco, vem da palavra risicare, que no italiano antigo significa

Uma ameaa pode ser definida de diversas formas, dentre elas selecionamos

ousar. Atravs dessa definio entendemos que risco no necessariamente

2 que definem bem o termo:

algo negativo. Pelo menos no de uma forma geral.

Quando se joga 100.000 dlares em um nmero da roleta existe uma grande

1)

Uma potencial causa de incidente*

2)

Todo e qualquer perigo eminente seja natural, humana, tecnolgica,


fsica ou poltico-econmica.

chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-

bilidade de ganhar (risco positivo baixo). Podemos considerar este um risco


positivo, uma oportunidade de ficar milionrio.

As ameaas so latentes, e dependem de uma ao externa para que se concretizem. O Agente de ameaa um elemento que atravs de uma ao prpria capaz de concretizar uma ameaa.

Colocando-se no lugar da banca voc identifica uma excelente oportunidade


de ganhar 100.000 dlares (risco positivo) e um pequeno risco de pagar uma

Uma invaso uma ameaa latente, por outro lado um cracker pode ser o

fortuna para um sortudo que ousou apostar uma fortuna (risco positivo),

agente de ameaa a transform-la em uma realidade.


45

46

Agente de ameaa o elemento que atravs de uma ao prpria capaz de


concretizar uma ameaa.

Um rootkit um pacote de programas maliciosos, que substituem o arquivos binrios (programas compilados) por um kit de programas que mantm
uma porta aberta sem que verdadeiro root (administrador do unix) perceba.

O agente o elo de ligao entre a ameaa e o ativo, ele responsvel por

Com a porta aberta o invasor pode voltar a qualquer momento e utilizar os

explorar a vulnerabilidade do ativo e causar o incidente.

privilgios do root (ou do usurio do servio que ele tenha utilizado, para
realizar absolutamente qualquer ao dentro do computador, inclusive,

roubar, alterar ou destruir qualquer informao.


Um Cracker que realiza uma invaso o agente de ameaa que explora uma
vulnerabilidade de software ou configurao e causa um incidente.

O Nome rootkit derivado do usurio root do Unix, ambiente onde essa


prtica se popularizou, mas existem rootkits para quase todas as plataformas. Existem rootkits para Solares, Mac OS, Linux e a maioria das verses
do Windows, entre outros.

47

48

Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra-

tema operacional e criam uma trilha adicional de execuo, que mantm

vadora Sony/BMG instalava um rootkit chamado XCP (Extended Copy

essa porta aberta. Esse tipo de Malware tambm recebe o nome de rootkit

Protection) em seus CDs de msica com o objetivo de instalar um meca-

no Windows

nismo anti-cpia.
Os rootkits so extremamente difceis de serem detectados, e infectam o
sistema sem que o usurio perceba nada. difcil garantir a completa re-

O Rootkit de DRM da Sony: A Verdadeira Histria

moo dos rootkits de um sistema,esses programas so especializados em


enganar as ferramentas de segurana para ficarem ocultos. A forma mais

uma histria de David contra Golias, sobre os blogs de tecnologia der-

confivel de reaver seu computador formatar o disco e reinstalar todo o

rotando uma megacorporao.

sistema.
Porta de Manuteno / Backdoor so uma possvel fonte de vazamento de

Em 31 de Outubro, Mark Russinovich detonou a histria em seu blog: A

informaes sensvel. So os canais secretos de comunicao, ou seja, ca-

Sony BMG Music Entertainment distribuiu um esquema de proteo

nais que dos quais os usurios ignoram a existncia. Estes canais so cha-

contra cpias junto com seus CDs que secretamente instalava um rootkit nos computadores. Essa ferramenta executada sem o conhecimen-

mados de porta de manuteno ou Backdoor, e so comumente utilizado

to nem consentimento: ela carregada em seu computador por um CD,

por Trojans para comunicar-se com seu controlador, ou at mesmo forne-

e um hacker pode obter e manter acesso ao seu sistema sem que voc

cer acesso mquina infectada.

saiba.

So considerados Backdoors os programas ou partes de cdigos escondidos em outros programas, que permitem que um invasor entre ou retorne a

O cdigo da Sony modifica o Windows para que no se possa dizer que

um computador comprometido por uma porta dos fundos, sem ter que

est l, um processo denominado Clocking (Camuflagem) no mundo

passar pelo processo normal de autenticao. Nos primrdios da computa-

hacker. Ele age como um spyware, sorrateiramente enviando informa-

o, os prprios programadores deixavam alguns backdoors em seus siste-

es sobre voc para a Sony. E ele no pode ser removido; tentar livrar-

mas, e os chamavam de ganchos de manuteno.

se dele danifica o Windows.

Nos sistemas Windows, os backdoors geralmente so Trojans, instalados


atravs de Phishing, ou ainda programas instalados por worms, que aps

explorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis49

50

A histria foi acolhida por outros blogs (inclusive o meu), e logo depois
pela mdia de informtica. Finalmente os grandes meios de comunicao
trouxeram isso tona.

No entanto, o comportamento arrogante de uma corporao tambm


no a histria real

O Clamor foi to grande que em 11 de novembro a Sony anunciou que


estava temporariamente parando a produo desse esquema de proteo de cpias. Isso ainda no era o suficiente, em 14 de novembro a

Esse drama sobre incompetncia. A ltima ferramenta de remoo do

companhia anunciou que estava retirando das lojas os CDs protegidos,

rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. E

e oferecia aos usurios

o rootkit da Sony, desenhado para parar as infraes de direitos autorais


pode ter infringido ele mesmo uma copyright. Por mais incrvel que isso

uma troca gratuita dos CDs infectados.

possa parecer, o cdigo parece incluir um codificador MP3 de cdigo


aberto, em violao licena dessa biblioteca. Mas mesmo isso no a
histria real.

Mas essa no a histria real aqui

uma histria sobre extrema arrogncia. A Sony distribuiu seu incrivelmente invasivo esquema de proteo contra cpia sem sequer discutir
publicamente seus detalhes, confiando que os benefcios justificariam a
modificao nos computadores de seus clientes. Quando essa ao foi
inicialmente descoberta, a Sony ofereceu um fixque no removia o rootkit, apenas a camuflagem.

A Sony alegou que o rootkit no ligava para casa, quando na realidade


ele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de negcios digitais da Sony BMG, demonstrou todo o desdenho da companhia por seus clientes quando ele disse em uma entrevista NPR: A

um pico de aes judiciais coletivas na Califrnia e em outros lugares, e o foco das investigaes criminais. O rootkit teria sido encontrado
em computadores executados pelo Departamento de Defesa, para desgosto do Departamento de Segurana Interna de. Enquanto a Sony poderia ser processada sob a legislao de cybercrime dos EUA, ningum
acha que vai ser. E aes nunca so toda a histria.

Esta saga cheia de reviravoltas estranhas. Alguns apontaram como


este tipo de software degradaria a confiabilidade do Windows. Algum
criou um cdigo malicioso que usava o rootkit para se esconder. Um
hacker usou o rootkit para evitar o spyware de um jogo popular. E havia
at mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, se

maior paste das pessoas nem sequer sabem o que um rootkit, ento

voc no pode confiar Sony no infectar o seu computador quando voc

porque eles devem se preocupar com isso?


51

52

compra CDs com suas msicas, voc pode confiar nela para lhe vender

o tipo de coisa que voc est pagando essas empresas para detectar,

um computador no infectado? Essa uma pergunta boa, mas - de novo

especialmente porque o rootkit foi telefonar para casa.

- no a verdadeira histria.
Mas muito pior do que no detect-lo antes da descoberta Russinovich
ainda outra situao onde os usurios do Macintosh podem assistir,

foi o silncio ensurdecedor que se seguiu. Quando um novo malware

divertindo-se (bem, na maior parte) do lado de fora, perguntando por que

encontrado, empresas de segurana caem sobre si para limpar os nos-

algum ainda usa o Microsoft Windows. Mas certamente, mesmo isso

sos computadores e inocular nossas redes. No neste caso.

no a histria real.
A McAfee no adicionou um cdigo de deteco de at 09 de novembro,
A histria de prestar ateno aqui o conluio entre grandes empresas

e agora, 15 de novembro ainda no remove o rootkit, somente o disposi-

de mdia que tentam controlar o que fazemos em nossos computadores

tivo de camuflagem. A empresa admite em sua pgina web que este

e companhias de software de segurana, e empresas que deveriam es-

um compromisso pobre. "A McAfee detecta, remove e evita a reinstala-

tar nos protegendo.

o do XCP." Esse o cdigo de camuflagem. "Por favor, note que a


remoo no iro afetar os mecanismos de proteo de direitos autorais
instalados a partir do CD. Houve relatos de travamento do sistema, pos-

As estimativas iniciais so de que mais de meio milho de computadores

sivelmente resultante de desinstalar o XCP." Obrigado pelo aviso.

no mundo esto infectadas com este rootkit da Sony. So nmeros surpreendentes de infeco, tornando esta uma das epidemias mais graves
da Internet de todos os tempos, no mesmo nvel de worms como Blaster,

Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No incio,

Slammer, Code Red e Nimda.

a empresa no considerou o XCP como um Malware. No era at 11 de


novembro que a Symantec publicou uma ferramenta para remover a
camuflagem. Em 15 de novembro, ainda insossa sobre isso, explican-

O que voc acha da sua empresa antivrus, o que no percebeu rootkit

do que "este rootkit foi projetado para esconder uma aplicao legtima,

da Sony, como infectou meio milho de computadores? E isso no um

mas pode ser usado para esconder outros objetos, incluindo software

daqueles vermes relmpago da Internet; este vem se espalhando desde

malicioso".

meados de 2004. Porque se espalhou atravs de CDs infectados, no


atravs de conexes de internet, eles no notaram? Este exatamente
53

54

A nica coisa que torna este rootkit legtimo o fato de uma empresa
multinacional coloc-lo no seu computador, e no uma organizao criminosa.

Voc poderia esperar que a Microsoft fosse a primeira empresa a condenar este rootkit. Afinal, o XCP corrompe o interior do Windows "de uma

forma bastante desagradvel. o tipo de comportamento que poderia


facilmente levar a falhas no sistema, falhas que os clientes culpam a Microsoft. Mas no foi at 13 de novembro, quando a presso pblica era
muito grande para ser ignorada, e a Microsoft anunciou que iria atualizar
suas ferramentas de segurana para detectar e remover a parte do disfarce do rootkit.

Talvez a nica empresa de segurana que merece louvor F-Secure, o


primeiro e o mais alto crtico das aes da Sony. E a Sysinternals, claro, que hospeda blog do Russinovich e trouxe isto para a luz.

Segurana ruim acontece. Isso sempre foi e sempre ser. E as empresas fazem coisas estpidas, sempre fizeram e sempre faro. Mas a razo que ns compramos produtos de segurana da Symantec, McAfee e
outros, para nos proteger de segurana ruim.

55

56

A poltica um conjunto de documentos que estabelecem as regras a serem


obedecidas para que a organizao possua um nvel aceitvel de segurana.

atravs da poltica de segurana que a estratgia de SI montada e passada


para todas as reas envolvidas. Uma verso resumida deve ser publicada para

todos os colaboradores e parceiros relevantes, como fornecedores e clientes.

O desenvolvimento da poltica ponto fundamental de uma srie de normas


e regulamentaes, alm de ser incentivado por regulamentaes e normas
internacionais de melhores prticas.

57

58

Os colaboradores de empresa desempenham um importante papel na


deteco de fragilidades segurana, e na notificao de incidentes de
segurana, uma vez que estes esto lidando com os controles e tambm
prximos dos incidentes quando ocorrem. Para que a gesto de incidentes seja eficiente, os colaboradores precisam ter um canal para re-

portar os incidentes e fragilidades dos controles, esse canal geralmente o Helpdesk.

importante que as pessoas no tenham receio de reportar incidentes


de segurana, entendendo que essa uma obrigao de cada colaborador.
59

60

Os controles de segurana da informao devem ter uma origem bem justificada, e sofrer uma reviso peridica para analisar sua aderncia e eficincia.
A principal origem de controles se d nas regulamentaes. As organizaes
precisam atender s regulamentaes da rea em que esto inseridas, e para
isso precisam ter em sua poltica de segurana controles que enderecem es-

ses requisitos. Exemplos de controles dessa categoria so os controles sobre


dados de carto de crdito (PCI DSS), dados de sade (ANS), integridade de
relatrios financeiros (Sarbanes-Oxley), etc.
Outra grande origem de controles so os requisitos de negcio. Se uma organizao opera com projetos automobilsticos ou eletrnicos, ela precisa garantia a confidencialidade de seus projetos para sobreviver no mercado.
61

62

Segundo a ISO 27002, os controles fsicos previnem o acesso fsico no


autorizado, danos e interferncias com as instalaes e informaes da
organizao.

As cpias de segurana fundamentais para se manter a integridade e disponibilidade da informao. A politica de Backup deve levar em considerao
os seguintes aspectos:
produo de registros completos e exatos das cpias e documentao

A Norma especifica dois importantes pontos a serem tratados:

Permetro de segurana fsica: utilizar permetros de segurana


(paredes, portes de entrada com cartes, etc) para proteger as
reas processamento e armazenagem de informaes

sobre os procedimentos de recuperao;


a extenso (completa, incremental, diferencial) e a freqncia da gerao
das cpias reflita os requisitos do negcio, requisitos de segurana e a
criticidade da informao;
armazenar as cpias em uma localidade remota, a uma distncia suficiente para escapar de danos de um desastre no local principal;
testar as mdias e os procedimentos de recuperao regularmente;

Controles de entrada fsica: visam assegurar que somente pessoAs mdias de armazenamento devem ser definidas de acordo com o tempo de
reteno dos dados para que a informao no se deteriore antes do tempo
previsto.

as autorizadas tenham acesso a um local.

63

64

Cincia milenar, chave dos segredos da antiga Roma, pea fundamental na

O conceito de infraestrutura significa um somatrio de tecnologias

Segunda Guerra Mundial, atualmente estrela do mundo da Segurana da

para garantir segurana, onde, trata-se de uma soluo conjunta de

Informao. Diversos sistemas operacionais, bancos de dados, protocolos de

hardware, software e protocolos, atravs da distribuio e gerencia-

comunicao ou simples sistemas de armazenamento de arquivos chegam

mento de chaves e certificados digitais.

aos consumidores providos desta funo de embaralhar os dados. Atravs do


uso de um algoritmo (sequncia de passos para o embaralhamento) os dados

a serem protegidos e de uma chave (conjunto de bits) transforma-se textos


ou dados abertos em cdigos ilegveis.

Apesar das CAs auxiliarem na comprovao da identidade do dono


de uma chave pblica atravs dos certificados digitais, ainda existe a

A chave (conjunto de bits) existe para embaralhar (encriptar) o texto e, atra-

necessidade de disponibilizar os certificados, e revogar outros certifi-

vs do conhecimento dela, conseguir recuperar o texto original (decriptar).

cados em caso de perda, comprometimento ou desligamento de um

Isso Criptografia no mundo computacional, e isso era Criptografia h mil

funcionrio.

anos. Porm, se hoje temos computadores para criptografar dados e proces65

66

As autoridades certificadoras (ACs) agem como cartrios digitais, recolhendo, atravs de suas ARs (autoridades de registro) a documentao das
entidades para as quais os certificados sero emitidos, e criando um certificado digital que associa a entidade a um par de chaves.
As ACs emitem os certificados digitais a partir de uma poltica estabelecida, assim como alguns rgos emitem carteira de identidade, carteira de
motorista, reconhecimento de firma, etc. Elas possuem uma cadeia de certificao que garantem a identidade da entidade, atravs de uma rgida poltica de segurana, e por isso so consideradas um terceiro confivel.

67

68

Aps o lanamento de um software, uma vulnerabilidade no detectada nas fases de teste permanece latente at que algum pesquisador
(esse sim, geralmente um Hacker) contratado pelo prprio fabricante,
por terceiros ou independente a encontre.

A ndole do pesquisador vai ditar as regras de quando ele ir publicar


a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e
este tratar segurana como algo srio, a vulnerabilidade somente ser
publicada aps uma correo estar disponibilizada para os usurios.
Caso ele no se importe com o fabricante ou com os usurios, a vulnerabilidade pode ser publicada assim que ele a descobrir ou quando ele
j tiver um cdigo que a explore.
69

70

Outra possibilidade a que ele no venha a public-la, e sim a disponibiliz-la para um criador de vrus que utilizam se de zero-days, ou
seja, explorao de vulnerabilidades zero ou menos dias antes da publicao da correo.
Uma vez que a correo publicada inicia-se o perodo de homologa-

o por parte do usurio, que pode levar de horas a dias.


Os ltimos estudos mostram que os vrus baseados em zero-days ou
em correes recm lanadas tem tido uma penetrao maior em empresas do que em usurios domsticos, porque estes contam com um
servio de atualizao automtica, e as organizaes perdem um tem-

po valioso em seu processo de homologao, que apesar de importante deve ser tratado com prioridade para que essa no fique exposta a

A Injeo de cdigo SQL (SQL Injection), uma forma de ataque a aplicaes

ameaas durante muito tempo.

onde o usurio ao invs de entrar com um dado inocente como um nome


(Ex: Pietro) ou identificador (Ex: 1001) entra com uma expresso SQL, que
altera o funcionamento da aplicao para realizar alguma ao que poder
comprometer a confidencialidade, disponibilidade e integridade das aplicaes.

71

72

O Morris Worm causou um prejuzo estimado entre 10 e 100 Milhes de


dlares, e Robert foi julgado culpado pelo Computer Fraud and Abuse
Act, sentenciado a 3 anos de condicional e 400 horas de servios comunitrios. Hoje Morris professor de cincia da computao no MIT
Os Worms so a causa mais comum de ataques na Internet:
Mais de 50% dos boletins publicados pelo CERT (computer security

incident report team) so conseqncia de buffer overflows


Morris worm (1988): B.O. no Fingerd: 6,000 mquinas infectadas
CodeRed (2001): B.O. no servidor MS-IIS 5: 300,000 mquinas infec-

tadas em 14 horas
SQL Slammer (2003): B.O. no MS-SQL server: 75,000 mquinas infec-

tadas em 10 minutos (!!)


O Primeiro malware a utilizar-se de uma vulnerabilidade de cdigo foi o
Morris Worm, nome dado em homenagem a seu criador, o filho de um cientista chefe do NSA e estudante de graduao Robert Morris, que em 1988
criou um programa para se propagar lentamente pela Internet, e sem causar
dano medir o tamanho da rede contabilizando os hosts VAX por onde passava.
Devido a um erro de programao ele criou novas cpias muito rapidamente,
sobrecarregando as mquinas infectadas, e travando as mquinas SUN, para
as quais o worm no foi projetado.

73

74

Atravs da engenharia reversa do cdigo da correo, ficou fcil para os


atacantes entender a vulnerabilidade existente no cdigo do Windows
e criar o Blaster, que em poucos dias deixou um saldo de:

Mais de 15 milhes de computadores infectados

3.3 Milhes (quase 10 vezes o normal) de chamados de segurana


para o suporte Microsoft, que gratuito para todos os cliente com
software original

A Microsoft considerou que na poca cada chamado lhe custou U$


40,00. O que significa um prejuzo tangvel e direto de quase 120 Milhes de dlares, que se mostrariam modestos frente ao desgaste de imagem.

O trecho de cdigo acima foi extrado de um documento da Microsoft,


vemos uma vulnerabilidade no cdigo do servidor RPC do Windows,
que foi explorado pelo vrus Blaster (aquele que fazia a mquina reiniciar em 60 segundos).
Durante o programa Trustworth Computing (Computao Confivel) a

Microsoft revirou o cdigo do Windows e descobriu diversas vulnerabilidades como esta, e medida em que as foi corrigindo foi distribuindo
atualizaes de segurana para os usurios, que na poca, Setembro de
2003, no tinham a cultura de aplicar as correes de segurana, e no
contavam com um programa de atualizao automtica do sistema.

75

76

A partir da dcada de 80, alguns organismos internacionais comearam a desenvolver padres de certificao para testar as aplicaes em homologao
pelo governo de seus respectivos pases.

Durante um perodo de cinco anos, entre 1993 e 1998, esses organismos uniram-se para criar um padro de certificao que facilitasse o trabalho e diminusse o custo dos fabricantes de software, antes obrigados a pagar por diferentes tipos de certificao, um para cada pas ou regio.

77

78

Trata-se de um dos princpios mais conhecidos e mais importantes da segurana da informao, e prega a diviso de tarefas e permisses na organizao, no concentrando o conhecimento em apenas uma pessoa e reduzindo o risco de fraudes, uma vez que seriam necessrios dois ou mais colaboradores trabalhando em conluio (ato de cooperao entre partes que cometem um ato ilcito) para que essa se consumasse.
A Segregao de funes complementar aos conceitos de need-to-know e
privilgio mnimo, que pregam que os colaboradores somente precisam
conhecer o suficiente para desempenhar suas tarefas, e que no necessitam
de mais permisses no sistema do que o necessrio para executar essas tarefas.

79

80

De acordo com a classificao da informao que est sendo protegida podemos utilizar uma combinao de mais de um fator de autenticao, tornando
o acesso muito mais seguro., com dois ou trs fatores
3 Fatores: Senha + Crach + Biometria
2 Fatores: Crach + Biometria, Senha + Cracha, Senha + Biometria
A maioria de ns j utilizou algum tipo de autenticao com dois fatores, alguns exemplos so:
Senha + Carto de Senhas (Bancos)
Senha + Token (Bancos, VPN)
Senha + SmartCard (VPN)
81

82

Anexo A
Exerccios com Respostas Comentadas

Estar em conformidade significa evitar violao de:

Qualquer lei criminal ou civil;

estatutos;

regulamentaes;

obrigaes contratuais;

quaisquer requisitos de segurana da informao;

O Fator chave para manter-se em conformidade identificar a legislao vigente, assim como as regulamentaes s quais nossa organizao est subordinada.

83

84

Anexo A Exerccios com respostas comentadas


1 de 40 Voc recebeu do seu contador uma cpia da sua declarao fiscal e
deve verificar se os dados esto corretos. Qual caracterstica de confiabilidade da informao que voc est verificando?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. incorreto. A disponibilidade o grau em que a informao est disponvel
para os usurios nos momentos necessrios.
B. incorreto. A exclusividade uma caracterstica de sigilo.
C. correto. Esta uma preocupao da integridade.
D. incorreto. Trata-se do grau em que o acesso informao restrito a apenas aqueles que so autorizados.
2 de 40 A fim de ter uma aplice de seguro de incndio, o departamento
administrativo deve determinar o valor dos dados que ele gerencia. Qual
fator no importante para determinar o valor de dados para uma organizao?
A. O contedo dos dados.
B. O grau em que a falta, dados incompletos ou incorretos podem ser recuperados.
C. A indispensabilidade dos dados para os processos de negcio.
D. A importncia dos processos de negcios que fazem uso dos dados.
A. correto. O contedo dos dados no determina o seu valor.
B. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmente recuperados so menos valiosos do que os dados que so difceis ou impossveis de recuperar.
85

C. incorreto. A indispensabilidade dos dados para os processos de negcios, em parte, determina o valor.
D. incorreto. Dados crticos para os processos de negcio importantes, portanto, valiosos.
3 de 40 Nosso acesso informao cada vez mais fcil. Ainda assim, a
informao tem de ser confivel, a fim de ser utilizvel. O que no um
aspecto de confiabilidade da informao?
A. Disponibilidade
B. Integridade
C. Quantidade
D. Confidencialidade
A. incorreto. A disponibilidade um aspecto de confiabilidade da informao
B. incorreto. A integridade um aspecto de confiabilidade da informao
C. correto. Quantidade no um aspecto de confiabilidade das informaes.
D. incorreto. A confidencialidade um aspecto de confiabilidade da informao
4 de 40 "Completeza" faz parte de qual aspecto de confiabilidade da informao?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. incorreto. As informaes podem estar disponveis sem ter que ser completas
B. incorreto. A exclusividade uma caracterstica de sigilo.
C. correto. Completeza faz parte da Integridade, que parte do aspecto de
confiabilidade.
86

D. incorreto. As informaes confidenciais no tm que ser completas

7 de 40 Qual das afirmaes sobre a anlise de risco a correta?

5 de 40 Um departamento administrativo vai determinar os perigos aos


quais est exposto. O que chamamos de um possvel evento que pode ter
um efeito perturbador sobre a confiabilidade da informao?

1. Riscos que so apresentados em uma anlise de risco podem ser classificados.


2. Numa anlise de risco todos os detalhes tm que ser considerados.
3. A anlise de risco limita-se a disponibilidade.
4. A anlise de risco simples de efetuar atravs do preenchimento de um
pequeno questionrio padro com perguntas padro.
A. 1
B. 2
C. 3
D. 4

A. Dependncia
B. Ameaa
C. Vulnerabilidade
D. Risco
A. incorreto. A dependncia no um evento.
B. correto. A ameaa um evento possvel que pode ter um efeito perturbador sobre a confiabilidade da informao.
C. incorreto. A vulnerabilidade o grau em que um objeto est suscetvel a
uma ameaa.
D. incorreto. Um risco o prejuzo mdio esperado durante um perodo de
tempo como resultado de uma ou mais ameaas levando ruptura
6 de 40 Qual o propsito do gerenciamento de risco?
A. Determinar a probabilidade de que um certo risco ocorrera.
B. Determinar os danos causados por possveis incidentes de segurana.
C. Delinear as ameaas a que esto expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
A. incorreto. Isso faz parte da anlise de risco.
B. incorreto. Isso faz parte da anlise de risco.
C. incorreto. Isso faz parte da anlise de risco.
D. correto. O objetivo do gerenciamento de risco o de reduzir os riscos para um nvel aceitvel.

87

A. correto. Nem todos os riscos so iguais. Como regra os maiores riscos so abordados em primeiro lugar.
B. incorreto. impossvel em uma anlise de risco examinar todos os detalhes.
C. incorreto. A anlise de risco considera todos os aspectos de confiabilidade, incluindo a integridade e confidencialidade, juntamente com a disponibilidade.
D. incorreto. Em uma anlise de riscos, questes raramente so aplicveis a
cada situao.
8 de 40 - Qual dos exemplos abaixo pode ser classificado como fraude?
1. Infectar um computador com um vrus.
2. Realizao de uma operao no autorizada.
3. Divulgao de linhas de comunicao e redes.
4. Utilizao da Internet no trabalho para fins privados.
A. 1
B. 2
C. 3
D. 4
88

A. incorreto. A infeco por vrus classificada como a "ameaa de alterao


no autorizada".
B. correto. Uma transao no autorizada classificada como "fraude".
Consulte a seo 4.6 "Ameaas administrativas".
C. incorreto. Tapping classificada como "ameaa" de divulgao ".
D. incorreto. A utilizao privada classificada como a ameaa de "abuso".

A. incorreto. Medidas corretivas so tomadas aps evento


B. incorreto. Medidas detetivas so tomadas depois de um sinal de deteco.
C. incorreto. As medidas preventivas so destinadas a evitar incidentes.
D. correto. Medidas repressivas, tais como um acordo stand-by, visam
minimizar os danos.
9 de 40 - O que um exemplo de uma ameaa humana?

9 de 40 - Um risco possvel para uma empresa dano por incndio. Se essa


ameaa ocorre, isto , se um incndio na verdade eclode, danos diretos e indiretos podem ocorrer. O que um exemplo de prejuzos diretos?
A. Um banco de dados destrudo
B. Perda de imagem
C. Perda de confiana do cliente
D. Obrigaes legais no podem mais ser satisfeitas

A. Um pen drive que passa vrus para a rede.


B. Muito p na sala do servidor.
C. Um vazamento que causa uma falha no fornecimento de eletricidade.
A. correto. Um pen drive que passa vrus para a rede sempre inserido
por uma pessoa. Assim fazendo um vrus entra na rede, ento uma
ameaa humana.
B. incorreto. Poeira no uma ameaa humana.
C. incorreto. A fuga de energia eltrica no uma ameaa humana.

A. correto. Um banco de dados destrudo um exemplo dos prejuzos


diretos.
B. incorreto. Danos de imagem indireta.
C. incorreto. Perda de confiana do cliente indireta.
D. incorreto. Ser incapaz de cumprir as obrigaes legais dano indireto.

12 de 40 - O que um exemplo de uma ameaa humana?


A. Um apago
B. Fogo
C. Phishing

10 de 40 - A fim de reduzir os riscos, uma empresa decide optar por uma estratgia de um conjunto de medidas. Uma das medidas que um acordo
stand-by organizado para a empresa. A que tipo de medidas um acordo
stand-by pertence?
A. Medidas corretivas
B. Medidas detetivas
C. Medidas preventivas
D. Medidas repressivas

A. incorreto. Um relmpago um exemplo de uma ameaa no humana


B. incorreto. O fogo um exemplo de uma ameaa no humana
C. correto. Phishing (atraem usurios para sites falsos) uma forma de
ameaa humana.
13 de 40 - A informao tem uma srie de aspectos de confiabilidade. confiabilidade constantemente ameaada. Exemplos de ameaas so: um cabo se
soltar, a informao que algum altera por acidente, dados que so usados

89

90

para fins particulares ou falsificados. Qual destes exemplos uma ameaa


confidencialidade?

15 de 40 - No ciclo de incidente h quatro etapas sucessivas. Qual a ordem


dessas etapas?

A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
D. Falsificao de dados

A. Ameaa, Dano, Incidente, Recuperao


B. Ameaa, Incidente, Dano, Recuperao
C.Incidente, Ameaa, Dano, Recuperao
D. Incidente, Recuperao, Dano, Ameaa

A. incorreto. Um cabo solto uma ameaa para a disponibilidade de informaes.


B. incorreto. A alterao no intencional de dados uma ameaa sua integridade.
C. correto. A utilizao de dados para fins privados, uma forma de
abuso e uma ameaa confidencialidade. .
D. incorreto. A falsificao de dados uma ameaa sua integridade.

A. incorreto. Os danos se seguem aps o incidente.


B. correto. A ordem das etapas do ciclo do incidente so: ameaa, incidente, dano e recuperao.
C. incorreto. O incidente segue a ameaa.
D. incorreto. A recuperao a ltima etapa.

14 de 40 - Um empregado nega o envio de uma mensagem especfica.


Qual o aspecto de confiabilidade da informao est em perigo aqui?

16 de 40 - Um incndio interrompe os trabalhos da filial de uma empresa de


seguros de sade. Os funcionrios so transferidos para escritrios vizinhos
para continuar seu trabalho. No ciclo de vida do incidente, onde so encontrados os arranjos de continuidade?

A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade

A. Entre a ameaa e o incidente


B. Entre a recuperao e a ameaa
C. Entre o dano e a recuperao
D. Entre o incidente e os danos

A. incorreto. Sobrecarregar a infraestrutura um exemplo de uma ameaa


disponibilidade.
B. incorreto. Exatido no um aspecto de confiabilidade. uma caracterstica de integridade.
C. correto. A negao do envio de uma mensagem tem a ver com o norepdio, uma ameaa integridade.
D. incorreto. O uso indevido e / ou divulgao de dados so ameaas confidencialidade.

A. incorreto. Realizao de um acordo stand-by, sem que primeiro haja um


incidente muito caro.
B. incorreto. A recuperao ocorre aps a colocao do acordo de stand-by
em funcionamento.
C. incorreto. Danos e recuperao so realmente limitados pelo acordo stand
-by.
D. correto. Um stand-by uma medida repressiva que iniciada, a fim
de limitar os danos.

91

92

17 de 40 - Como amelhor descrio do objetivo da poltica de segurana da


informao?

C. incorreto. O cdigo de conduta se baseia em matria de confidencialidade


e privacidade, entre outras coisas.

A. A poltica documenta a anlise de riscos e a busca de medidas de contorno.


B. A poltica fornece orientao e apoio gesto em matria de segurana da
informao.
C. A poltica torna o plano de segurana concreto, fornecendo-lhe os detalhes necessrios.
D. A poltica fornece percepes sobre as ameaas e as possveis consequncias.

19 de 40 - Um trabalhador da companhia de seguros Euregio descobre que a


data de validade de uma poltica foi alterada sem seu conhecimento. Ela a
nica pessoa autorizada a fazer isso. Ela relata este incidente de segurana
ao Helpdesk.

A. incorreto. Este o propsito da anlise e gerenciamento de riscos.


B. correto. A poltica de segurana fornece orientao e apoio gesto
em matria de segurana da informao.
C. incorreto. O plano de segurana faz com que a poltica de segurana da
informao seja concreta. O plano inclui medidas que tenham sido escolhidas, quem responsvel pelo que, as orientaes para a implementao de
medidas, etc.
D. incorreto. Este o propsito de uma anlise de ameaa.

O atendente do Helpdesk registra as seguintes informaes sobre este incidente:


data e hora
descrio do incidente
possveis consequncias do incidente
Que informao importante sobre o incidente est faltando aqui?
A. O nome da pessoa que denunciou o incidente
B. O nome do pacote de software
C. O nmero do PC
D. Uma lista de pessoas que foram informadas sobre o incidente

18 de 40 - O cdigo de conduta para os negcios eletrnicos (e-business)


baseado em uma srie de princpios. Quais dos seguintes princpios no pertencem?

A. correto. Ao relatar um incidente, o nome do usurio deve ser registrado no mnimo.


B. incorreto. Esta informao adicional pode ser adicionada posteriormente
C. incorreto. Esta informao adicional pode ser adicionada posteriormente
D. incorreto. Esta informao adicional pode ser adicionada posteriormente

A. Confiabilidade
B. Registro
C. Confidencialidade e privacidade

20 de 40 - Uma empresa experimenta os seguintes incidentes:

A. incorreto. Confiabilidade forma uma das bases do cdigo de conduta.


B. correto. O cdigo de conduta baseado nos princpios de confiabilidade, transparncia, confidencialidade e privacidade.

1. Um alarme de incndio no funciona.


2. A rede invadida.
3. Algum finge ser um membro do quadro de pessoal.
4. Um arquivo no computador no pode ser convertido em um arquivo PDF.
Qual destes incidentes no um incidente de segurana?

93

94

A. 1
B. 2
C. 3
D. 4

22 de 40 - Um alarme de fumaa colocado em uma sala de computadores.


Sob qual categoria de medidas de segurana est esta?
A. Corretivas
B. Detetiva
C. Organizacional
D. Preventiva

A. incorreto. Um alarme de incndio defeituoso um incidente que pode


ameaar a disponibilidade de dados.
B. incorreto. Hacking um incidente que pode ameaar a disponibilidade,
integridade e confidencialidade dos dados.
C. incorreto. Desvio de identidade um incidente que pode ameaar o aspecto da disponibilidade, integridade e confidencialidade dos dados.
D. correto. Um incidente de segurana um incidente que ameaa a
confidencialidade, confiabilidade e disponibilidade dos dados. Esta
no uma ameaa para a disponibilidade, integridade e confidencialidade dos dados.

A. incorreto. Um alarme detecta fumaa e, em seguida, envia um alarme, mas


no tomar qualquer ao corretiva.
B. correto. Um alarme de incndio s tem uma funo de sinalizao,
aps o alarme dado, a ao ainda necessria.
C. incorreto. S as medidas que seguem um sinal de alarme de incndio so
organizacionais; a colocao de um alarme de fumaa no organizacional.
D. incorreto. Um alarme de fumaa no impede o fogo e no portanto uma
medida preventiva.

21 de 40 - As medidas de segurana podem ser agrupadas de vrias maneiras. Qual das seguintes correta?

23 de 40 - Security Officer (ISO-Information Security Officer)), da companhia de seguros Euregio deseja ter uma lista de medidas de segurana em
conjunto. O que ele tem que fazer primeiramente antes de selecionar as medidas de segurana a serem implementadas?

A. Fsica, lgica, preventiva


B. Lgica repressiva, preventiva
C. Organizacional, preventiva, corretiva, fsica
D. Preventiva, detetiva, repressiva, corretiva
A. incorreto. Organizacional / lgico / fsico um grupo apropriado, como
preventiva / detetiva / repressiva / corretivas.
B. incorreto. Organizacional / lgico / fsico um grupo apropriado, como
preventiva / detetiva / repressiva / corretivas.
C. incorreto. Organizacional / lgico / fsico um grupo apropriado, como
preventiva / detetiva / repressiva / corretivas.
D. correto. Preventiva / detetiva / repressiva / corretiva um grupo
apropriado, como organizacional / lgico / fsico.

95

A. Implantar o monitoramento.
B. Realizar uma avaliao.
C. Formular uma poltica de segurana da informao.
D. Realizar uma anlise de risco.
A. incorreto. O monitoramento uma medida possvel.
B. incorreto. A avaliao acontece depois que a lista de medidas montada.
C. incorreto. Uma poltica de segurana da informao importante, mas
no necessria a fim de selecionar medidas.
D. correto. Antes das medidas de segurana serem selecionadas, Euregio
deve conhecer os seus riscos para determinar quais os riscos requerem
uma medida de segurana.
96

24 de 40 - Qual a finalidade da classificao das informaes?


A. Determinar quais tipos de informaes podem requerer diferentes nveis
de proteo.
B. Atribuir informaes a um proprietrio.
C. Reduzir os riscos de erro humano.
D. Impedir o acesso no autorizado a informaes.
A. correto. O objetivo da classificao das informaes de manter uma
proteo adequada.
B. incorreto. Alocao de informaes para um proprietrio o meio de classificao e no o fim.
C. incorreto. Reduzir os riscos de erro humano parte dos requisitos de
segurana dos funcionrios.
D. incorreto. Impedir o acesso no autorizado a informaes parte de segurana de acesso.
25 de 40 - A autenticao forte necessria para acessar reas altamente
protegidas. Em caso de autenticao forte a identidade de uma pessoa verificada atravs de trs fatores. Qual fator verificado quando preciso digitar um nmero de identificao pessoal (PIN)?
A. Algo que voc
B. Algo que voc tem
C. Algo que voc sabe
A. incorreto. Um cdigo PIN no um exemplo de algo que voc .
B. incorreto. Um cdigo PIN no algo que voc tem.
C. correto. Um cdigo PIN algo que voc sabe.
26 de 40 - O acesso sala de computadores est fechado usando um leitor de
crachs. Somente o Departamento de Sistemas de Gesto tem um crach.
Que tipo de medida de segurana essa?
97

A. Uma medida de segurana de correo


B. Uma medida de segurana fsica
C. Uma medida de segurana lgica
D. Uma medida de segurana repressiva
A. incorreto. A medida de segurana de correo uma medida de recuperao.
B. correto. Esta uma medida de segurana fsica.
C. incorreto. Uma medida de segurana lgica controla o acesso ao software e informao, e no o acesso fsico s salas
D. incorreto. A medida de segurana repressiva visa minimizar as consequncias de um rompimento.
27 de 40 - Quatro membros do pessoal (4) do departamento de TI compartilham um (1) mesmo crach. A que risco de isso levar?
A. Se a energia falhar, os computadores vo ficar fora.
B. Se houver fogo os extintores de incndio no podem ser usados.
C. Se alguma coisa desaparecer da sala de informtica no vai ficar claro
quem responsvel.
D. Pessoas no autorizadas podem ter acesso sala de computadores sem
serem vistas.
A. incorreto. Computadores fora do ar como resultado de uma falha de
energia no tm nada a ver com a gesto de acesso.
B. incorreto. Mesmo com um crach, a equipe de TI pode apagar um incndio com um extintor de incndio.
C. correto. Embora fosse claro que algum do departamento de TI entrou
na sala, no certo que isso tenha acontecido.
D. incorreto. Ningum tem acesso sala de computadores sem um crach.
28 de 40 - No salo de recepo de um escritrio da administrao, h uma
impressora que todos os funcionrios podem usar em caso de emergncia.
98

O arranjo que as impresses devem ser recolhidas imediatamente, para


que elas no possam ser levadas por um visitante. Qual outro risco para a
informao da empresa que esta situao traz?

30 de 40 - As cpias de segurana As cpias de segurana (backup) As cpias de segurana (backup) do servidor central so mantidas na mesma sala
fechada com o servidor. Que risco a organizao encara?

A. Os arquivos podem permanecer na memria da impressora.


B. Visitantes seriam capazes de copiar e imprimir as informaes confidenciais da rede.
C. A impressora pode tornar-se deficiente atravs do uso excessivo, de modo que j no estar disponvel para uso.

A. Se a falha no servidor, ele vai levar um longo tempo antes que o servidor
est novamente operacional.
B. Em caso de incndio, impossvel obter o sistema de volta ao seu estado
anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tenham acesso fcil para os backups.

A. correto. Se os arquivos permanecem na memria podem ser impressos e levados por qualquer transeunte.
B. incorreto. No possvel usar uma impressora para copiar as informaes da rede.
C. incorreto. A indisponibilidade de uma impressora no forma um risco
para a informao da companhia.
29 de 40 - Qual das seguintes medidas de segurana uma medida tcnica?
A. Atribuio de Informaes a um dono
B. Criptografia de arquivos
C. Criao de uma poltica de definio do que e no permitido no email
D. Senhas do sistema de gesto armazenadas em um cofre

A. incorreto. Pelo contrrio, isso ajudaria a recuperar o sistema operacional


mais rapidamente.
B. correto. A chance de que as cpias de segurana tambm podem ser
destrudas em um incndio muito grande.
C. incorreto. A responsabilidade no tem nada a ver com o local de armazenamento.
D. incorreto. A sala de informtica est bloqueada.
31 de 40 - Qual das tecnologias abaixo maliciosa?
A. Criptografia
B. Hash
C. Virtual Private Network (VPN)
D. Vrus, worms e spyware

A. incorreto. Alocao de informaes para um proprietrio a classificao, que uma medida de organizao.
B. correto. Esta uma medida tcnica que impede que pessoas no autorizadas leiam as informaes.
C. incorreto. Esta uma medida de organizao, um cdigo de conduta que
est escrito no contrato de trabalho.
D. incorreto. Esta uma medida de organizao.
99

A. incorreto. Criptografia torna a informao impossvel de ser lida por qualquer pessoa, exceto aquela que possuem conhecimento especial, usualmente
feito por uma chave
B. incorreto. Hash um mtodo de criptografia da informao
C. incorreto. VPN uma conexo segura feita para acesso internet
D. correto. Todas essas so formas de tecnologias maliciosas que estabelecem
pedidos a um computador para fins maliciosos.
100

contador audita a transao.


D. incorreto. Trancas as salas um medida de segurana fsica.

32 de 40 - Que medida no ajuda contra software mal-intencionado?


A. Uma poltica ativa de correes
B. Um programa anti-spyware
C. Um filtro anti-spam
D. Uma senha
A. incorreto. Software mal intencionado freqentemente usa falhas de programao em programas populares. Correes reparam brechas de segurana
nesses programas, reduzindo a chance de infeces por software mal intencionado
B. incorreto. Spyware um programa malicioso que coleta informaes confidenciais e ento as distribui. Um programa anti-spyware pode detectar esse
tipo de programa no computador
C. incorreto. Spam um e-mail no pedido. freqentemente uma simples
propaganda mas pode tambm ter programas maliciosos anexados ou um
link para um stio na internet com software malicioso. Um filtro remove
spam.
D. correto. Uma senha um meio de autenticao. Ela no bloqueia qualquer tipo de software malicioso.
33 de 40 - O que um exemplo de medida organizacional?
A. Cpia de segurana (backup) de dados
B. Criptografia
C. Segregao de funes
D. Manuteno de equipamentos de rede e caixas de juno em uma sala
trancada
A. incorreto. Cpia de segurana (backup) uma medida tcnica
B. incorreto. Criptografia de dados uma medida tcnica
C. correto. Segregao de funes uma medida organizacional. A iniciao, execuo e controle de funes so alocadas a diferentes pessoas.
Por exemplos, a transferncia de um grande volume de dinheiro preparado por um escriturrio, o diretor financeiro executa o pagamento e um
101

34 de 40 - A identificao determinar se a identidade de algum correta.


Esta declarao correta?
A. sim
B. no
A. incorreto. Identificao o processo de tornar uma identidade conhecida.
B. correto. Estabelecer se a identidade de algum correta chamado de
autenticao.
35 de 40 - Por que necessrio manter um plano de recuperao de desastres
atualizados e test-lo regularmente?
A. A fim de sempre ter acesso a cpias de segurana (backups) recentes, que
esto localizados fora do escritrio.
B. Para ser capaz de lidar com as falhas que ocorrem diariamente.
C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as
medidas tomadas e os procedimentos previstos podem no ser adequados ou
podem estar desatualizados.
D. Porque esta exigida pela Lei de Proteo de Dados Pessoais.
A. incorreto. Esta uma das medidas tcnicas utilizadas para recuperar um
sistema
B. incorreto. Para rupturas normais as medidas usualmente executadas e os
procedimentos de incidentes so suficientes
C. correto. Uma ruptura maior requer planos atualizados e testados.
D. incorreto. A Lei de Proteo de Dados Pessoais envolve a privacidade dos
dados pessoais
36 de 40 - O que a autorizao?
A. A determinao da identidade de uma pessoa.
B. O registro das aes realizadas.
C. A verificao da identidade de uma pessoa.
102

D. A concesso de direitos especficos, tais como o acesso seletivo para uma


pessoa.
A. incorreto. A determinao da identidade de uma pessoa chamada de
identificao
B. incorreto. O registro das aes realizadas chamada dirio
C. incorreto. A verificao da identidade da pessoa chamada de autenticao
D. correto. A permisso de direitos especficos, tal como acesso seletivo
para uma pessoa, chamada de autorizao.
37 de 40 - Qual norma legal importante na rea de segurana da informao
que o governo tem que cumprir?
A. Anlise de dependncia e vulnerabilidade
B. ISO / IEC 20000
C. ISO / IEC 27002
D. Legislao nacional de segurana de informao ou regulamentos
A. incorreto. Dependncia & Anlise de Risco um mtodo de anlise de
risco
B. incorreto. ISO/IEC 20000 um padro para organizar o gerenciamento de
servios de TI e no compulsrio. incorreto. ISO/IEC 27002 o Cdigo de
Segurana da Informao. um guia para organizar a Segurana de Informao e no compulsrio
D. correto. Legislao nacional de segurana da informao ou regulamentos so intencionados para todos os governos e so obrigatrios.
38 de 40 - Com base em qual legislao algum pode pedir para inspecionar
os dados que tenham sido registrados?

D. A Lei de acesso pblico a informaes do governo


A. incorreto. A Lei de Registros Pblicos regula o armazenamento e a destruio de documentos arquivados
B. correto. O direito de inspeo regulado na Lei de Proteo de Dados
Pessoais.
C. incorreto. A Lei de Crimes de Informtica uma mudana do Cdigo Penal e do Cdigo de Processo Criminal de forma a tornar mais fcil lidar com
ofensas perpetradas por meio de tecnologia da informao avanada. Um
exemplo de uma nova ofensa o hacking.
D. incorreto. A Lei de Acesso Pblico a Informaes do Governo regula a inspeo de documentos oficiais escritos. Dados pessoais no so documentos
oficiais.
39 de 40 - O Cdigo de Prtica de Segurana da Informao (ISO / IEC
27002) uma descrio de um mtodo de anlise de risco. Esta declarao
correta?
A. Sim
B. No
A. incorreto. A 27002 uma coleo de medidas
B. correto. O Cdigo de Segurana da Informao pode ser usado em uma
anlise de risco mas no um mtodo.
40 de 40 - O Cdigo de Prtica de Segurana da Informao (ISO / IEC
27002) s se aplica s grandes empresas. Esta declarao correta?
A. Sim
B. No
A. incorreto. O Cdigo de Segurana da Informao aplicvel a todos os
tipos de organizao, grandes e pequenas.
B. correto. O Cdigo de Segurana da Informao aplicvel a todos os
tipos de organizao, grandes e pequenas.

A. A Lei de Registros Pblicos


B. A Lei de Proteo de Dados Pessoais
C.A Lei de Crimes de Informtica
103

104

A lista apresenta o nome traduzido, o original utilizado nas provas e literatura em Ingls do Exin e o tpico na apostila onde encontrar o assunto.

Anexo B
Lista de conceitos bsico do Exin

105

Termo em Portugus

Termo em Ingls

Tpico

Ameaa

Threat

3.1

Anlise da Informao

Information Analysis

1.1

Anlise de Risco

Risk analysis

3.3

Anlise de risco qualitativa

Qualitative risk analysis

3.3

Anlise quantitativa de risco

Quantitative risk analysis

3.3

Arquitetura da Informao

Information architecture

1.1

Assinatura Digital

Digital signature

5.3

Ativo

Asset

1.2

Auditoria

Audit

5.7, 6.2

Autenticao

Authentication

5.7

Autenticidade

Authenticity

1.3

Autorizao

Authorization

5.7

Avaliao de Riscos

Risk assessment

3.3

Backup (Cpia de segurana)

Backup

5.3

Biometria

Biometrics

5.3

Botnet

Botnet

3.2

Categoria

Category

5.1

Cavalo de Troia

Trojan

3.2

Certificado Digital

Certificate

5.3

Chave

Key

5.3

Ciclo de Incidentes

Incident cycle

4.3

Classificao

Classification (grading)

2.3

Cdigo de boas prticas de Segurana (ISO 27002)

Code of practice for information


security (ISO/IEC 27002:2005)

1.1

106

Termo em Portugus

Termo em Ingls

Tpico

Termo em Portugus

Termo em Ingls

Tpico

Cdigo de conduta

Code of conduct

4.2

Malware

3.2

Uninterruptible Power Supply


(UPS)

5.2

Cdigo Malicioso (Malware)

Fornecedor Ininterrupto de Energia


(No Break)

Completeza (Totalidade)

Completeness

1.2

Gerenciamento da Continuidade de
Negcios (GCN)

Business Continuity Management (BCM)

5.8

Confiabilidade das informaes

Reliability of information

1.2

Gerenciamento da Informao

Information management

1.1

Confidencialidade

Confidentiality

1.3

Gerenciamento de acesso lgico

Logical access management

5.7

Conformidade

Compliance

Gerenciamento de Mudana

Change Management

4.3

Continuidade

Continuity

1.3

Access control

5.7

Gerenciamento de riscos

Risk management

3.3

Controle de Acesso

Corrective

5.1

Hacking

Hacking

3.2

Corretiva
Criptografia

Cryptography

5.3

Hoax

Hoax

3.2

Dados

Data

1.1

Identificao

Identification

1.

Danos
Danos diretos
Danos indiretos

Damage
Direct damage
Indirect damage

3.3

Impacto

Impact

4.1

Incidente de Segurana

Security incident

4.3

Desastre

Disaster

5.8

Informao

Information

1.1

Detectiva

Detective

5.1

Infraestrutura

Infrastructure

1.1

Disponibilidade

Availability

1.3

Infraestrutura de chave pblica


(ICP)

Public Key Infrastructure (PKI)

5.3

Encriptar

Encryption

5.3

Integridade

Integrity

1.2

Engenharia Social

Social engineering

3.2

Escalation
Functional escalation
Hierarchical escalation

4.3

Interferncia

Interference

Escalao
Escalao funcional
Escalao hierrquica

ISO / IEC 27001:2005

ISO/IEC 27001:2005

1.1

ISO / IEC 27002:2005

ISO/IEC 27002:2005

1.1

Estratgia de Risco
Evitar riscos

Risk strategy
Risk avoiding

3.3

Legislao de direitos autorais

Copyright legislation

6.1

Exatido

Correctness

1.3

Exclusividade

Exclusivity

1.3

Fator de produo

Production factor

1.2

Firewall pessoal

Personal firewall

5.3

Legislao sobre Crimes de Inform- Computer criminality legislation 6.1


tica

107

Legislao sobre proteo de dados


pessoais

Personal data protection legislation

6.1

Legislao sobre registros pblicos

Public records legislation

6.1

108

Termo em Portugus

Termo em Ingls

Tpico

Termo em Portugus

Termo em Ingls

Tpico

Medida de segurana

Security measure

Robustez

Robustness

1.3

No-repdio

Non-repudiation

1.3

Rootkit

Rootkit

3.2

Organizao de Segurana

Security Organization

4.2

Segregao de funes

Segregation of duties

5.6

Patch

Patch

5.4

Sistema de Informao

Information system

1.1

Phishing

Phishing

3.2

Spam

Spam

3.2

Plano de Continuidade de Negcios (PCN)

Business Continuity Plan


(BCP)

5.8

Software Espio

Spyware

3.2

Plano de Recuperao de Desastre (PRD)

Disaster Recovery Plan (DRP)

5.8

Stand-by Arrangement

Stand-by arrangement

5.8

Mdia de armazenamento

Storage medium

1.1

Poltica de mesa limpa

Clear desk policy

5.2

Urgncia

Urgency

4.1

Privacidade

Privacy

1.3

Validade

Validation

1.2

Poltica de Segurana

Security Policy

4.1

Verificao

Verification

6.2

Porta de Manuteno

Maintenance door

3.2

Vrus

Virus

3.2

Preciso

Precision

1.3

Vulnerabilidade

Vulnerability

3.1

Preventiva

Preventive

5.1

Priority

4.1

Verme

Worm

3.2

Prioridade
Prontido

Timeliness

1.3

Rede privada virtual (VPN)

Virtual Private Network (VPN) 5.3

Redutiva

Reductive

5.1

Reduzir riscos

Risk Reduce

3.3

Regulamenta1o de segurana
para informaes especiais p/ o
governo

Security regulations for special 6.1


information for the government

Regulamentao de Segurana
para o governo

Security regulations for the


government

6.1

Repressiva

Repressive

5.1

Reter risco

Risk bearing

3.3

Risco

Risk

3
109

110

Anexo C
Referncias Bibliogrficas

111

112

Anexo C Referencias Bibliograficas


[1] GIL, Antonio de Loureiro. Segurana em Informtica. 2. Ed. So Paulo: Atlas,
1998.
[2] GIL, Antonio de Loureiro. Auditoria de Computadores. 4. Ed. So Paulo: Atlas,
1999.
[3] SCHNEIER, Bruce. Segurana.com, Traduo de Secrets & Lies, Segredos e
Mentiras sobre a Proteo na Vida Digital, Criptografia, Criptografia no Contexto,
Identificao e Autenticao.

Anexo D
Sites Recomendados

[4] BUCHMANN, Johannes A. Introduo Criptografia, Codificao Criptogrfica


ou Cifragem, Chave Pblica, Assinaturas Digitais.
[5] Segurana Mxima. 3. ed. Rio de Janeiro: Campus, 2001.
[6]. SMOLA, Marcos. Gesto da Segurana da Informao. 1. Ed. Rio de Janeiro:
Campus, 2003.
[7] PORTER, Michael E. Estratgia Competitiva: Tcnicas para Anlise de Indstrias
e da Concorrncia. 7. Ed. Rio de Janeiro: Campus, 1986.
[8~] DAVENPORT, Thomas H. Ecologia da Informao5. Ed. So Paulo: Futura, 2003
[9] FONSECA, Fernando. ISO 27005 Exemplificada. Acessada 19/05/2010 : ftp://
ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf
[10] DRUCKER, Peter. Sociedade ps-capitalista. So Paulo: Editora Pioneira, 7
Edio, 1998.

113

114

Anexo D Sites Recomendados

Blog Segurana Objetiva segurancaobjetiva.wordpress.com

Segurana Microsoft www.microsoft.com/security

Linha Defensiva www.linhadefensiva.org

Infosec Council www.infoseccouncil.org.br

115

116