FACULDADE: Faculdade de Tecnologia e Ciências Sociais Aplicadas - FATECS

CURSO: Tecnólogo em Análise e Desenvolvimento de Sistemas - ADS

DISCIPLINA: Segurança
PROFESSOR: Charles F. Alves

Exercício de Revisão

1. ANALISE AS QUESTÕES E INDIQUE A ALTERNATIVA CORRETA.

Maria recebeu uma mensagem de Pedro e gostaria de ter a garantia que a mesma não
teve o seu conteúdo modificado por outra pessoa. De acordo com os princípios da
segurança da informação, assinale a alternativa que indica o princípio com a finalidade
precípua de garantir esse objetivo.

(A) Confiabilidade.
(B) Disponibilidade.
(C) Integridade.
(D) Legalidade.
(E) Não repúdio.

Confidencialidade, integridade e disponibilidade são atributos básicos da segurança da

informação e devem ser levados em consideração nos trabalhos de auditoria,
concernentes ao gerenciamento da segurança da informação. Considerando esses
atributos, assinale a alternativa correta.

(A) Integridade é o atributo que preza pela manutenção das características originais
estabelecidas pelo proprietário da informação.
(B) Confidencialidade é uma propriedade que garante que a informação é proveniente da fonte
anunciada e não foi alterada.
(C) Disponibilidade é o atributo que garante a impossibilidade de negar a autoria em relação a
uma transação realizada.
(D) Autenticidade é um atributo derivado da integridade e permite que somente entidades
autorizadas tenham acesso à informação.
(E) Irretratabilidade é um componente do atributo confidencialidade que garante que a
informação esteja sempre disponível.

2. JULGUES AS AFIRMATIVAS EM V PARA AFIRMATIVAS VERDADEIRAS E F PARA AS

AFIRMATIVAS FALSAS. JUSTIFIQUE AS AFIRMATIVAS FALSAS.
( ) Segurança da informação é caracterizada, basicamente, pelo fornecimento de três serviços
de segurança: a preservação do sigilo ou da confidencialidade das informações, a garantia da
integridade dos dados e a manutenção da disponibilidade.
( ) A confidencialidade tem o objetivo de garantir que apenas pessoas autorizadas tenham
acesso à informação. Essa garantia deve ser obtida em todos os níveis, desde a geração da
informação, passando pelos meios de transmissão, até chegar ao seu destino e ser devidamente
armazenada ou, se necessário, destruída sem possibilidade de recuperação.

A elaboração de uma política de segurança da informação deve levar em conta aspectos

relacionados ao uso dos ativos de informação e aos elementos tecnológicos empregados
para materializá-los. Acerca desses aspectos da política de informação, julgue os itens a
seguir.

( ) As vulnerabilidades de um ambiente de tecnologia de informação estão essencialmente

relacionadas com ativos de hardware e software do ambiente, sendo esses os objetos das ações
preventivas e corretivas de segurança da informação.
( ) A realização de ataques a sistemas computacionais está associada ao uso de ferramentas
computacionais. Assim, quanto maiores forem a complexidade e a capacidade de
processamento disponível para uma ferramenta utilizada em um ataque, maior sera a ameaça
representada por esse ataque.
( ) A política de segurança da informação define as regras de acesso remoto à informação, mas
a garantia de cumprimento da política deve envolver o uso de recursos tecnológicos.
( ) Uma política de segurança da informação corporativa só é legítima se estiver amparada
explicitamente na legislação específica em vigor no país.
( ) Uma ferramenta de prevenção à intrusão deve ser capaz, não apenas de detectar incidentes
de violação da política de segurança, como também de reagir proativamente com objetivo de
reduzir ou eliminar os riscos associados a esse incidente.

As Políticas de segurança da informação são um tipo especial de regra de negócio

documentada, que visa proteger a informação e os sistemas que armazenam a
informação. Nesse contexto, é correto afirmar que as políticas de segurança da
informação.

( ) São definidas pelos administradores de rede, independentemente da administração superior

da organização, uma vez que essa é uma decisão puramente técnica.
( ) São implantadas em decorrência de guias e procedimentos detalhados de segurança já
existentes na organização.
( ) Têm sua implantação executada pela administração superior.
( ) Estão subordinadas à missão e aos negócios fundamentais da organização.
( ) Definem os ativos de informação que necessitam de proteção.
( ) a análise de risco tem por objetivo definir o que se deseja proteger, contra o que, e o quanto
se deve investir na proteção, para isso, é necessário identificar os alvos a serem protegidos, as
ameaças, e calcular os riscos, prejuízos e investimentos em proteção associados a cada item
identificado, fazendo-se uma análise de custos versus benefício.
( ) No aspecto formal, a política de segurança é um documento que cumpre três funções: definir
o que dever ser protegido e a razão disso; estabelecer que é o responsável pela proteção;
estabelecer uma base para a resolução de conflitos que possam surgir em decorrência da
aplicação dessa política. Nesse contexto, para o estabelecimento de uma política de segurança,
deve-se listas as ameaças específicas juntamente com alvos e indivíduos específicos, e, em
seguida, definir as normas que codifiquem as boas práticas de segurança a serem empregadas
na organização. As diretrizes, por sua vez, traduzem a política e as normas para o ambiente
tecnológico particular da organização e tendem a mudar com mais frequência que as normas,
refletindo a constante renovação tecnológica.

Considerando a figura acima, que apresenta uma proposta de organização da norma NBR
ISO/IEC 17799:2002, julgue os itens.

( ) A NBR 17799 prescreve vários atributos de classificação da informação, entre os quais se

encontram os que indicam graus de sensibilidade e criticidade. O grau de sensibilidade de um
ativo de informação está associado a aspectos de privacidade que o grau de criticidade, este
mais relacionado a aspectos negociais.
( ) Conforme os controles da NBR 17799, os processos de gestão de segurança de recursos
humanos de uma organização envolvem o retorno dos ativos à organização após o
encerramento do contrato de trabalho, bem como conscientização, educação e treinamento em
segurança da informação, inclusive para terceiros.
( ) A seleção de controles de segurança da informação a implantar deverá ser fundamentada
principalmente na identificação das ameaças aos ativos organizacionais. Para cada ameaça
mapeada, deverão ser identificados os controles de segurança aplicáveis.
( ) A política corporativa de segurança da informação deverá ser elaborada somente após o
estabelecimento das políticas de segurança no desenvolvimento de software e de segurança em
operações de TI.
( ) Os riscos de segurança da informação identificados no âmbito da organização deverão ser
analisados quanto às possíveis opções de tratamento: mitigação ou redução; aceitação;
eliminação ou contorno; e transferência. Entre as quatro alternativas de tratamento, a que
apresenta maior demanda por implantação de controles é a mitigação ou redução. Os riscos
aceitos são os de menor nível ou que atendam a critérios de avaliação previamente definidos.

Considerando a figura acima, que apresenta um diagrama utilizado para suporte à

implantação do gerenciamento da segurança da informação, no qual são destacados
estados ou fases numeradas de #1 a #6, julgue os próximos itens, acerca de gestão e
políticas de segurança de informação, classificação de informações e norma ISO 27001.

( ) O estado ou fase indicado por #1 é o mais conveniente para a coleta de informações visando
ao estabelecimento de aspectos de segurança em acordos de níveis de serviço.
( ) O estado ou fase indicado por #2 é o mais conveniente para a declaração formal, no nível
corporativo, dos critérios para avaliação de riscos de segurança da informação.
( ) As não-conformidades que porventura surjam durante a gestão da segurança da informação
devem ocorrer durante o estado ou fase indicado por #5.
( ) As decisões e ações relacionadas com a melhor a da eficácia da gestão de segurança da informação
devem ocorrer durante o estado indicado por #6.
( ) A fase indicada por #4 é o momento mais conveniente para a declaração de aplicabilidade dos
controles de segurança da informação.
( ) As auditorias de primeira parte, ou auditorias internas, do sistema de gestão de segurança da
informação (SGSI) devem ocorrer durante o momento numerado por #4.