MESTRADO EM DIRECÇÃO ESTRATÉGICA EM TECNOLOGIAS DA INFORMAÇÃO

DISCIPLINA: SEGURANÇA ELECTRÔNICA E LEGISLAÇÃO

TI015

CASO PRÁTICO

Aluno: Joaquim Afonso Mucuambi

B.I. Nº: 001435854NE034
Código de Usuário: AOMDETI 2023462
País: Angola
Província: Namibe
Cidade: Moçâmedes
Data de realização: sábado, 14 de novembro de 2020

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

1
 CASO PRÁTICO

1. Que activos você identificaria para sua gestão de segurança?

Para minha gestão de segurança, identificaria os seguintes activos:
• O ambiente do Sistema de Informação engloba os activos
necessários à garantia dos seguintes níveis; por exemplo:
Equipamentos e suprimentos ( energia, climatização, comunicações),
pessoal (de direção, de operação, de desenvolvimento, outros),
outros tangíveis (edificações, mobiliário, instalação física);

• O Sistema de Informação em si; por exemplo: Hardware ( de

processamento, de armazenamento, servidores, firmware); software (
de base, pacotes, produção de aplicações); comunicações ( redes
próprias, serviços, conexões);

• A Informação, propriamente dita, que trata das aplicações do

sistema de informação; por exemplo: dados ( concorrentes ou
resultantes do Sistema de informação): meta – informação
(estruturação, formato, códigos, senha de cifragem); suportes
(tratáveis informaticamente, não tratáveis);

• As funcionalidades da organização, que justificam a existência dos

Sistemas de Informação anteriores e que lhes dão finalidade; por
exemplo: Objectivos e missão da organização; bens e serviços
produzidos; pessoal usuário e/ou destinatário dos bens ou serviços
produzidos.

2. Que tipo ou tipos de activos considerou?

Considerava os seguintes tipos de activos: O ambiente do Sistema de
Informação engloba os activos necessários à garantia dos seguintes níveis;
por exemplo: Equipamentos e suprimentos ( energia, climatização,
comunicações), pessoal (de direção, de operação, de desenvolvimento,
outros), outros tangíveis (edificações, mobiliário, instalação física).

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

2
 O Sistema de Informação em si; por exemplo: Hardware ( de
processamento, de armazenamento, servidores, firmware); software ( de
base, pacotes, produção de aplicações); comunicações ( redes próprias,
serviços, conexões).

3. Quais são as ameaças neste contexto?

As ameaças são os eventos que podem desencadear um incidente na
organização, provocando danos materiais ou perdas imateriais em seus
activos. Neste contexto as ameaças são do tipo Grupo P:

Grupo P de Ameaças Intencionais Presenciais

• P1: Acesso físico com inutilização por destruição ou subtração ( de
equipamentos, acessório ou infra - estrutura).

• P2: Acesso lógico com intercepção passiva simples da informação (

requer só leitura).

• P3: Acesso lógico com alteração ou subtração da informação em

transito ou de configuração (requer leitura e escritura); redução da
confidencialidade para aproveitamento de bens ou serviços
(programas, dados).

• P4: Acesso lógico com corrupção ou destruição de informação de

configuração (requer leitura e escritura) com redução da integridade
e/ou da disponibilidade do sistema sem proveito directo ( sabotagem,
infecção vírica).

• P5: Indisponibilidade de recursos, sejam humanos ( folga, abandono,

rotação) ou técnicos (desvio do uso do sistema, bloqueio).

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

3
 4. Que ameaças seriam enfrentadas em um caso real desta natureza?
Em um caso real desta natureza as ameaças enfrentadas seriam do Grupo
T de Ameaças Intencionais de Origem Remota, onde:

• T1: Acesso lógico com intercepção passiva (para análise de trafego).

• T2: Acesso lógico com corrupção ( ou destruição ) de informação em

transito ou de configuração.

• T3: Acesso lógico com modificação (Inserção, repetição) de

informação em trânsito.

• T4: Falsificação da origem (do emissor ou reemissor) ou da

identidade.

• T5: Repúdio da origem ou da recepção de informação em trânsito.

5. Como definiria vulnerabilidade neste contexto?

Neste contexto a vulnerabilidade definiria sendo uma propriedade da
relação entre um Activo e uma Ameaça que se vinha vinculado mais ao
Activo como uma “não-qualidade” desse activo.

A vulnerabilidade é um conceito com dois aspectos ( em todo caso, não

só uma debilidade ou propriedade negativa da entidade activo):

A vulnerabilidade como propriedade exerce uma função de mediação

entre a Ameaça como acção e o Activo como o objeto de mudança do
estado de segurança; forma parte do estado ( aspecto estático) de
segurança do Activo.

Já a vulnerabilidade em seu aspecto por dinâmico é um mecanismo

obrigatório de conversão da Ameaça a uma agressão materializada sobre
um Activo.

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

4
 Resumindo a vulnerabilidade de um Activo é a propriedade ou
possibilidade de ocorrência de materialização de uma Ameaça sobre tal
Activo, como mostra na figura a baixo sobre o contexto da vulnerabilidade:

Ameaça

Vulnerabilidade

Agressão

Activo

6. Que vulnerabilidades pode ser identificada na entidade?

Na entidade pode ser identificada a vulnerabilidade efectiva do Activo,
leva em conta as salvaguardas aplicadas a cada momento para tal Activo,
como um factor que estima a eficácia global de tais salvaguardas.

7. O que é um impacto?
Impacto em um Activo, é a consequência sobre ele da materialização de
uma Ameaça. Ele é de forma dinâmica, a diferença nas estimativas do
estado de segurança do Activo antes e depois da materialização da
Ameaça sobre ele, ou seja o evento Ameaça materializada produz no
estado anterior (à ameaça) de segurança do Activo uma mudança para um
novo estado posterior (à ameaça), medindo o impacto a diferença entre
ambos os estados.

8. Mencione potenciais impactos N1 que poderiam ocorrer nesta

entidade e explique por que os selecionou.
Os potenciais impactos N1, que poderiam ocorrer nesta entidade são as
perdas de valor econômico, ligadas a activos imobiliários ou inventariados que
compreendem todos os custos de reposição da funcionalidade, incluindo os de
taxar, substituir, reparar ou limpar o danificado:

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

5
Edifícios, obras, instalações, computadores, redes, acessórios.
Foram selecionados esses potenciais impactos N1, porque do ponto de vista
das consequências indirectas, um impacto tem como atributos importantes
como o seu aspecto quantitativo da consequência provocada, seja material (
por exemplo, uma perda monetária para a reposição) ou imaterial ( dados,
programas, documentação ou procedimentos);
Ainda o seu aspecto qualitativo (por exemplo, as perdas de fundo de comércio,
perdas ou dano de vidas, embaraço politico - administrativo, atentados à
intimidade pessoal).

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

6
REFERÊNCIAS BIBLIOGRÁFICAS

Apoiando - se no estudo dos materiais da Disciplina:

1. FUNIBER (2020). Segurança Electrônica e Legislação 2020;

Aluno: Joaquim Afonso Mucuambi Angola – Namibe

7