Você está na página 1de 9

1.

No que tange aos princípios básicos da segurança da informação, a aplicação de um controle para
proteger a informação de ameaças involuntárias e (ou) intencionais, para que a informação não seja
modificada, refere-se a qual princípio da segurança da informação?

a. ******** Integridade ********

b. Exatidão

c. Confidencialidade

d. Disponibilidade

e. Não repúdio

2. Por fazer parte do público interno de uma organização, os funcionários não oferecem riscos no que
tange à área de segurança da informação, de modo que não precisam ser envolvidos ou fazer parte
dos procedimentos de segurança. Essa afirmação está correta? Justifique.

FALSO. PELA POSIÇÃO PRIVILEGIADA, FUNCIONÁRIOS SÃO UM ALVO EM POTENCIAL


TAMBÉM. ALÉM DISSO, FUNCIONÁRIOS INSATISFEITOS OU COM MÁS INTENÇÕES
REPRESENTAM UMA AMEAÇA A ORGANIZAÇÃO E SEUS ATIVOS DE INFORMAÇÃO.

3. Analise as afirmativas a seguir em relação aos princípios básicos de segurança da informação:

I. Disponibilidade é a garantia de que os sistemas e as informações de um computador estarão


disponíveis quando necessário.

II. Confidencialidade é a capacidade de garantir que a informação somente seja acessada por
pessoas autorizadas.

III. Integridade garante que o conteúdo da mensagem não foi alterado ou violado indevidamente.

IV. Criptografia é uma técnica que embaralha a informação por meio de algoritmos, fazendo com
que a informação se torne ininteligível para terceiros.

V. Autenticidade garante a veracidade de quem está enviando a informação, ou seja, do autor.

Assinale a alternativa CORRETA.

a. Apenas as afirmativas I, II e IV estão corretas.

b. ******** Apenas as afirmativas I, II, III e V estão corretas. ********

c. Apenas as afirmativas I, III, IV e V estão corretas.

d. Todas as afirmativas estão corretas.


4. Um dos procedimentos adotados pelas organizações em relação à segurança da informação
refere-se à inclusão da educação de seus funcionários em sua política de segurança, protegendo-os
de certos tipos de ataques, como, por exemplo, a engenharia social. Esta afirmação está correta?
Justifique.

CORRETO.

5. São consideradas vulnerabilidade e/ou ameaça a um sistema, EXCETO:

a. acessos não autorizados ou perda de comunicação.

b. ******** instalações prediais, incluindo a presença de detectores de fumaça e outros


recursos para combate a incêndio. ********

c. erros na instalação ou na configuração de softwares.

d. invasão e/ou monitoramento do sistema, mesmo sem alteração de informações.

6. A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau
de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção
adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a
necessidade, as prioridades e o grau de proteção. Com base nesse objetivo, a norma estabelece
diretrizes para essa classificação, entre as quais se inclui a de

a. atribuir o processo de revisão do nível de confidencialidade de um documento à alta gerência.

b. manter a responsabilidade pela atribuição do nível de confidencialidade de um documento com o


setor de TI.

c. manter os rótulos de classificação originais nos documentos oriundos de outras organizações.

d. manter o princípio de equidade que garante aos funcionários com funções similares o mesmo
direito de acesso às informações classificadas.

e. ******** rotular as informações e as saídas geradas pelos sistemas que tratam dados
confidenciais, segundo seu valor e sensibilidade para a organização. ********

7. Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de


computação ou de redes de computadores é visto como um incidente de segurança. Esta afirmação
está correta? Justifique.

CORRETO.
8. A gestão de ativos visa alcançar e manter a proteção adequada dos ativos da organização, sendo
que

a. ******** o proprietário do ativo deve ser responsável por definir e, periodicamente, analisar
criticamente as classificações e restrições ao acesso aos ativos importantes, levando em
conta as políticas de controle de acesso aplicáveis. ********

b. é facultativo a fornecedores e terceiros seguir as regras para o uso permitido de informações e


de ativos associados aos recursos de processamento da informação, porém, é obrigatório aos
funcionários.

c. a implementação de controles específicos pode ser delegada pelo proprietário, passando a


responsabilidade pela proteção desses ativos a quem assumiu a sua implementação.

d. os níveis de proteção devem ser iguais para todos os ativos, considerando-se que todos eles são
importantes para a organização.

e. os ativos de informação são restritos aos aplicativos, sistemas, utilitários, serviços de


computação e telecomunicações, aplicativos em nuvem e ferramentas de desenvolvimento.

9. Uma política de segurança da informação estabelece regras e padrões para proteger a informação
em uma organização. De acordo com a norma ISO/IEC 27002:2005 uma política de segurança da
informação deve

a. ******** estar em conformidade com as legislações municipais, estaduais e federais. ********

b. incluir todos os aspectos técnicos de implementação dos mecanismos de segurança.

c. ser de acesso restrito aos funcionários do setor operacional da organização.

d. ter seu conteúdo livre de modificações, após ser aprovado pela direção da instituição.
10. Classifique cada um dos seguintes itens como uma violação de confidencialidade, integridade,
disponibilidade ou alguma combinação deles.

a. John copia o dever de casa de Mary.

CONFIDENCIALIDADE

b. Paul trava o sistema de Linda.

DISPONIBILIDADE

c. Carol muda a quantia do cheque de Angelo de US $ 100 para US $ 1.000.

INTEGRIDADE

d. Gina falsifica a assinatura de Roger em uma ação.

INTEGRIDADE

e. Rhonda registra o nome de domínio "AddisonWesley.com" e se recusa a permitir que a editora


compre ou use esse nome de domínio.

DISPONIBILIDADE

INTEGRIDADE

f. Jonah obtém o número do cartão de crédito de Peter e faz a empresa do cartão de crédito
cancelar o cartão e substituí-lo por outro cartão com um número de conta diferente.

CONFIDENCIALIDADE

INTEGRIDADE

DISPONIBILIDADE

g. Henry falsifica o endereço IP de Julie para obter acesso ao computador dela

INTEGRIDADE

CONFIDENCIALIDADE
11. Identifique mecanismos para implementar o seguinte. Indique quais políticas ou políticas elas podem
estar aplicando.

a. Um programa de mudança de senha rejeitará senhas com menos de cinco caracteres ou que
sejam encontradas no dicionário.

O elemento de política é que senhas facilmente adivinhadas são proibidas. O elemento do


mecanismo é a verificação do programa e a rejeição dessas senhas.

b. Apenas os alunos de uma aula de informática receberão contas no sistema de informática do


departamento.

Controle de acesso

Os computadores são permitidos para estudantes de computador devido a problemas de


disponibilidade. Os recursos podem ser acessados pelos estudantes de informática
corretamente.

c. O programa de login não permitirá logins de qualquer aluno que digitar suas senhas
incorretamente três vezes.

Autenticação O programa de login não é permitido após três tentativas de fornecer integridade e
autenticação

d. As permissões do arquivo que contém o dever de casa de Carol impedirão Robert de trapacear e
copiar.

Confidencialidade/Autenticação

e. Quando o tráfego da World Wide Web sobe para mais de 80% da capacidade da rede, os
sistemas não permitirão mais comunicações para ou a partir de servidores da Web.

Monitoramento e resposta

f. Annie, uma analista de sistemas, poderá detectar um aluno usando um programa para verificar
seu sistema em busca de vulnerabilidades.

Monitoramento e resposta

g. Um programa usado para enviar trabalhos de casa será desativado logo após a data de
vencimento.

Política: Necessidade de impor a data de vencimento.

Mecanismo: A opção para envio não está mais ativa após a data de vencimento.
12. O aforismo "segurança através da obscuridade" sugere que ocultar informação fornece algum nível
de segurança. Dê um exemplo de uma situação em que esconder informações não agrega valor à
segurança de um sistema. Então dê um exemplo de uma situação em que isso acontece.

Esconder um algoritmo que proteja sua senha pode não necessariamente adicionar de forma
significativa à segurança do sistema, porque o algoritmo pode ser encontrado dentro do
código-fonte da biblioteca.

No entanto, ocultar o campo de senha dentro de um formulário adicionará um valor considerável


ao sistema. Desta forma, apenas o usuário de direito terá acesso à conta.

13. Dê um exemplo de uma situação em que um comprometimento de confidencialidade leva a um


comprometimento na integridade.

As informações de login de Alice para um sistema (por exemplo, banco on-line ou e-mail) são
adquiridas por Bob. Ele pode fazer o login como Alice e realizar ações não autorizadas (por
exemplo, transferência de dinheiro, alterar informações da conta, etc.).

14. Mostre que os três serviços de segurança - confidencialidade, integridade e disponibilidade - são
suficientes para lidar com as ameaças de divulgação, interrupção, engano e usurpação.

(a) Divulgação: a confidencialidade impede a divulgação.

(b) Interrupção: a disponibilidade previne a interrupção.

(c) Decepção: A integridade impede a aceitação de dados / entidades corrompidos (falsos ou


inválidos).

(d) Usurpação: Disponibilidade e Integridade impedirão a Usurpação. Se você possuir dados ou


entidades incorretamente, sua disponibilidade será afetada. Se você também exercer sua
autoridade (por exemplo, personificando-os), a Integridade será afetada.

15. Além de declarações matemáticas e informais de políticas, as políticas podem ser implícitas (não
declaradas). Por que isso pode ser feito? Pode ocorrer com políticas informadas informalmente? Que
problemas isso pode causar?

Algumas políticas podem ser implícitas. Isso significa que elas não são indicadas
especificamente, mas estão implícitas nas situações. Essa implementação de políticas implícitas
é feita de forma a reduzir o número de declarações de políticas ou torná-las flexíveis. Elas podem
ser claramente notadas e observadas. Então elas não precisam ser indicadas especificamente. As
políticas implícitas são principalmente destinadas a alcançar os valores éticos de uma
organização.
Pode não ocorrer com políticas informalmente declaradas que elas não sejam declaradas
especificamente. As políticas informais são as políticas que não são documentadas ou escritas.
Embora as políticas informais não sejam escritas, elas devem ser informadas. Então eles não
podem ser implícitos.

Se as políticas declaradas informalmente estão implícitas, elas podem não alcançar todas as
pessoas. E como as políticas informais incluem algumas declarações e diretrizes importantes a
serem seguidas estritamente, elas podem não alcançar todos se estiverem implícitas.

16. Para cada uma das seguintes afirmações, forneça um exemplo de uma situação em que a afirmação
é verdadeira.

a. A prevenção é mais importante que a detecção e a recuperação.

PREVENÇÃO DE ACESSO À INFORMAÇÕES BANCÁRIAS

Prevenção de infecção por vírus em um computador é mais importante do que sua detecção e
recuperação. Se um computador já estiver infectado com um vírus, ele poderá corromper e
excluir dados, que podem não ser recuperáveis.

b. A detecção é mais importante que a prevenção e a recuperação.

DETECTAR QUE UM E-MAIL É SPAM OU CONTÉM VÍRUS

Embora a prevenção seja sempre melhor do que remediar, a Detecção seria mais importante nos
casos em que é muito difícil evitar um certo tipo de ataque. Isso é verdade em sistemas de
detecção de invasão. Por exemplo, se um serviço deve ser fornecido, há sempre uma ameaça de
um ataque de negação de serviço. Tais ataques devem ser detectados primeiro para evitar a
indisponibilidade do serviço.

c. A recuperação é mais importante que a prevenção e a detecção.

BACKUP DE DATACENTERS

Em uma falha do disco rígido, a recuperação dos arquivos de usuários e outras informações é
mais importante. É provável que todos os discos rígidos travem após algum tempo, por isso é
difícil evitar essas falhas, mas um plano de recuperação deve ser colocado em vigor antes do uso
de matrizes RAID e backups semanais.
17. Vírus de computador são programas que, entre outras ações, podem excluir arquivos sem a
permissão do usuário. Um legislador dos EUA escreveu uma lei proibindo a exclusão de quaisquer
arquivos de discos de computador. Qual foi o problema com esta lei do ponto de vista de segurança
do computador? Especificamente, qual serviço de segurança teria sido afetado se a lei tivesse sido
aprovada?

Do ponto de vista da segurança, a remoção de alguns vírus de computador precisaria da exclusão


do próprio arquivo corrompido. Então, se houvesse uma lei proibindo a exclusão de arquivos, o
software de segurança ou os indivíduos são proibidos de extrair o vírus. Serviços de segurança
como o McAfee Security, o Norton Antivirus ou empresas de segurança do setor, como o
IoActive, seriam afetados.

18. Uma organização faz com que cada administrador de sistema líder seja responsável pela segurança
do sistema que ele executa. No entanto, o gerenciamento determina quais programas devem estar
no sistema e como eles devem ser configurados.

a. Descreva os problemas de segurança que essa divisão de poder criaria.

Mecanismo de segurança em uma empresa depende de quem é responsável pela segurança da


empresa. O poder de implementar controles apropriados deve residir com aqueles que são
responsáveis. Se a gerência determinar quais programas devem estar no sistema, os
administradores do sistema responsáveis ​pela segurança, que vêem a necessidade de medidas
de segurança, não poderão implementar as medidas de segurança apropriadas. Como a gerência
não está ciente dos aspectos técnicos de segurança, tanto quanto os administradores de
sistemas, é possível que a administração faça algumas escolhas ruins com relação a custos,
recursos, medidas de segurança. A coordenação entre os coordenadores do sistema também é
essencial em uma organização e essa coordenação pode ser comprometida se a gerência tomar
as principais decisões de segurança.

b. Como você os consertaria?

O problema pode ser resolvido, fornecendo aos administradores do sistema (pessoas com
conhecimento) mais controle e recursos suficientes para administrar sistemas de computadores.
A gerência deve consultar os administradores do sistema antes de tomar qualquer decisão sobre
questões de segurança. Se a empresa tiver várias divisões, cada uma deve ter um administrador
de sistema separado, então a empresa pode ter um chefe de segurança que tenha conhecimento
sobre questões de segurança e que encaminhe todos os administradores de sistemas. A gerência
deve deixar todas as principais decisões de segurança para ele. O responsável pela segurança
deve delegar as tarefas de segurança apropriadas aos administradores do sistema em questão.
Parte da função de gerenciamento exige que eles saibam sobre os custos, recursos, políticas de
segurança, etc., e a gerência pode se atualizar sobre isso consultando o responsável pela
segurança.
19. A polícia e o defensor público compartilham um computador. Quais problemas de segurança isso
apresenta? Você acha que é uma medida razoável de redução de custos ter todas as agências
públicas compartilhando o mesmo conjunto de computadores?

Um defensor público é um advogado público que representa pessoas acusadas de um crime, mas
que não podem contratar um advogado particular. Os interesses do defensor em proteger seu
cliente podem ser diferentes dos interesses da polícia que levam a um conflito de interesses e a
uma violação de confidencialidade. Compartilhar o acesso a recursos entre entidades com um
potencial conflito de interesses é uma ameaça à segurança.