Disciplina: Introdução a Segurança da Informação

TEMA 4: Boas Práticas em Segurança da Informação

Matricula 202211466408.

1.O que é segurança da informação?

A segurança da informação é responsável por proteger dados e informações

sigilosas sobre pessoas e empresas na internet. É com ela que são criadas
regras, mecanismos, e metodologias que visam dar segurança no tráfego de
dados entre, por exemplo, uma empresa e um cliente, ou um software e um
usuário.

2.Em seu dia a dia, seja na empresa onde trabalha ou no manuseio de

seus dados pessoais, considera que age de forma a contribuir para a
segurança das suas informações? Dentre as ações que ajudam a
garantir a segurança da informação, na sua opinião, cite as 3
essenciais.

1° Criação de protocolos e políticas para evitar acessos indevidos as

informações.
2° Não permitir instalar softwares desconhecidos.
3° Procurar monitorar como os colaboradores tem se adaptado à política de
segurança da informação e se as regras estabelecidas estão sendo cumpridas.

3.O ponto de partida de qualquer sistema de segurança é garantir o

acesso a dados, equipamentos, demais sistemas e ambientes físicos e
eletrônicos aos indivíduos autorizados. Qual o nome dessa
característica? Qual a forma mais simples de oferecê-la?
Disponibilidade.
Respeitando as regras de confidencialidade, estabelecida pela área de
segurança da informação.

4.Porque deve-se dar atenção particular ao gerenciamento das senhas?

Por que podemos ter as melhores ferramentas de segurança, a melhor
tecnologia de criptografia e uma arquitetura de segurança cibernética bem
 definida e avançada, mas se as senhas não estiverem seguras, tudo isso não
significará nada.

5.Além da óbvia preocupação de garantir segredo sobre a senha,

também é necessário preocupar-se com o grau de dificuldade ao
elaborá-la. Para uma senha segura ser criada, quais as instruções
recomendáveis?

Use caracteres especiais e letras maiúsculas

Evite sequências numéricas e a sua data de nascimento.
Varie o máximo que puder de uma senha para outra.
Implementar a autenticação de dois fatores.
Instalar a identificação por biometria ou Face ID.
Use um gerenciador de senhas.
Não compartilhe sua senha com estranhos.

6. Justifique sua resposta.

Jose_6523
Provavelmente o nome do usuário, com a placa do carro.

7. O que é phishing? Como ocorre?

O phishing é um tipo de crime cibernético, que consiste em um roubo de identidade
online.
O phishing é um dos ataques cibernéticos mais simples de serem executados com
sucesso, pois não é preciso invadir sistemas ou acessar informações criptografadas.
Para ter sucesso, o criminoso precisa apenas enganar o usuário que, sem perceber,
acaba cedendo seus dados pessoais de acesso a e-mails, contas bancárias, e-
commerce, entre outros.

8. Diante dos ataques, muitas organizações desenvolveram um programa de

conscientização sobre segurança. Ao ensinar a todos os funcionários as
melhores práticas de segurança cibernética – da diretoria aos funcionários –
a postura de segurança pode ser bastante aprimorada e a vulnerabilidade a
ataques de phishing e outros ataques cibernéticos pode ser bem reduzida.
Porque fornecer aos funcionários uma sessão de treinamento quando eles
ingressam na empresa ou fazer sessão anual de reciclagem não é o
suficiente?
Porque existe uma dinâmica muito rápida na área de ataques envolvendo novas
tecnologias, sendo assim os treinamentos tem de ocorrer em períodos muito menores
para que esses funcionários estejam sempre preparados e atualizados quando as
possíveis falhas de segurança.

9. Do que trata a ISO/IEC 27002 - Código de Prática para a Gestão de

Segurança da Informação? Qual o objetivo dessa norma?

A ISO 27002, também conhecida como ISO/IEC 27002, é um regulamento que conta
com uma série de práticas que, quando aplicadas corretamente, ajudam na
implementação de um SGSI.
Logo, é possível entender que essa é então uma norma de gestão da segurança da
informação se tornando um ponto crucial para garantir a proteção de todo o ambiente
de dados.
O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Isso também inclui a seleção, a implementação e o gerenciamento de
controles, levando em conta os ambientes de risco encontrados na empresa.

10. A norma ISO 27002 possui 133 controles, divididos em 11 seções, que
abrangem a segurança da informação em todos os seus aspectos, tratando
de ferramentas, processos e pessoas. Cite as 11 seções.

Detectar vulnerabilidades de hardware e software 

Backup 
Redundância de sistemas 
Controle de acesso eficaz 
Política de segurança da informação 
Cloud computing 
Cultura de segurança da informação 
Gestão de riscos 
Contratos de confidencialidade 
Gestão de continuidade de negócios (GCN) 
Benchmarking em TI
11. Com o objetivo de apoiar as organizações a desenvolverem um programa
eficaz de treinamento em conscientização de segurança, são sugeridas as
algumas recomendações baseadas na ISO/IEC 27002. Quais são essas
recomendações?
Convém que todos os funcionários da organização e, onde pertinente, partes externas
devem recebam treinamento, educação e conscientização apropriados, e as
atualizações regulares das políticas e procedimentos organizacionais relevantes para as
suas funções.
Convém que o treinamento e educação em segurança da informação também
contemple aspectos gerais, como:
a) declaração do comprometimento da direção com a segurança da informação em
toda a organização;
b) a necessidade de tornar conhecido e estar em conformidade com as obrigações e
regras de segurança da informação aplicáveis, conforme definido nas políticas, normas,
leis, regulamentações, contratos e acordos.
c) responsabilidade pessoal por seus próprios atos e omissões, e compromissos gerais
para manter seguro ou para proteger a informação que pertença a organização e
partes externas.
d) procedimentos de segurança da informação básicos (tais como, notificação de
incidente de segurança da informação) e controles básicos (tais como, segurança da
senha, controles contra códigos maliciosos e política de mesa limpa e tela limpa).
e) pontos de contato e recursos para informações adicionais e orientações sobre
questões de segurança da informação, incluindo materiais de treinamento e educação
em segurança da informação.

12. O que são mecanismos de proteção? Que mecanismos são definidos do

ponto de vista da organização e do ponto de vista dos sistemas?

13. Cite 4 exemplos de princípios que se aplicam aos mecanismos de

proteção.

14. O que é Controle de Acesso? Quais são os três tipos de sistemas de

controle de acesso? Explique os três tipos.

Controle de Acesso é a parte da segurança que por meio do uso de políticas,

procedimentos, dispositivos, hardware e software, métodos qualificados de
identificação e sistemas de bloqueios, busca controlar e gerenciar o trânsito de
pessoas, objetos e informações, num determinado espaço físico ou lógico.
Manuais – operado exclusivamente pela ação humana.
Semiautomático – integram os recursos humanos com a tecnologia.
Automáticos – não dependem diretamente das ações humanas, operam com a
tecnologia.
15. Quando se trata da proteção dos recursos computacionais, quais itens
devem ser contemplados? Por quais motivos esses recursos devem ser
protegidos?

Recursos Computacionais: São os equipamentos, as instalações ou bancos de dados

direta ou indiretamente administrados, mantidos ou operados pela Área de TI tais
como: Computadores e terminais de qualquer espécie, incluidos seus equipamentos
acessórios; Impressoras ;Redes de computadores e de transmissão de dados ;"Arrays"
de discos, de fitas, e equipamentos afins; Bancos de dados ou documentos residentes
em disco, fita ou outros meios ;Leitoras de códigos de barra, "scanners", equipamentos
digitalizadores e afins; Manuais técnicos; Salas de computadores ;Serviços e
informações disponibilizados via a arquitetura de informática da instituição ;Softwares
adquiridos ou desenvolvidos .

16. Os objetivos dos controles de acesso são garantir o quê?

O controle de acesso tem o objetivo de impedir a entrada de pessoas não autorizadas
a determinadas áreas, protegendo, assim, os equipamentos, dados, informações,
pessoas e o patrimônio da organização.

17. Diante de tudo o que vimos, podemos definir o controle de acesso em

termos de...
físicos ou lógico.

18. Devido à importância de entrar no sistema, o procedimento de logon

deve divulgar o mínimo de informações que possam ser utilizadas por um
invasor para conseguir identificar um usuário legítimo. Quais os
procedimentos de logon eficiente?
Durante o processo de logon, evitar o fornecimento de mensagens de ajuda que
poderiam auxiliar um usuário não autorizado a completar esse procedimento; validar a
informação de logon apenas quando todos os dados de entrada estiverem completos.
Caso ocorra algum erro, o sistema não deve indicar qual parte do dado de entrada está
correta ou incorreta, como por exemplo, ID ou senha; limitar o número de tentativas
de logon sem sucesso (é recomendado um máximo de três tentativas), forçar um
tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar
qualquer tentativa posterior de acesso sem autorização específica; encerrar as
conexões com o computador. limitar o tempo máximo para o procedimento de logon.
Se excedido, o sistema deverá encerrar o procedimento.
19.

Justifique suas respostas.

Este sistema pode ser acessado por qualquer pessoa.

20. O que é um vírus de arquivo e um vírus de boot?

Um vírus do setor de boot é um vírus de computador que infecta o setor de boot do

disco rígido de um computador. O sector de arranque é a parte do disco rígido que
contém o carregador de arranque, que é o software que arranca o sistema operativo
quando o computador é ligado.
Um vírus de computador é um tipo de malware que se liga a outros programas, se
autorreplica e se espalha de um computador para outro. Quando um vírus infecta um
computador, ele faz cópias de si mesmo e anexa a outros arquivos ou documentos. Ele
depois modifica esses arquivos e continua a se espalhar.

21. Quais as principais orientações contra os vírus?

1. Instale um software antivírus/malware.

2. Mantenha seu antivírus sempre atualizado.
3. Fala inspeções regularmente com seu antivírus regularmente.
4. Mantenha seu sistema operacional sempre atualizado.
5. Proteja sua rede.
6. Pense bem antes de clicar em qualquer coisa enquanto você navega na Internet ou
em seu e-mail.
7. Mantenha suas informações pessoais bem protegidas.
8. Não use wi-fi aberto.
9. Faça backup dos seus arquivos regularmente.
10. Use senhas fortes!
12. Use um bloqueador de pop-ups em seu navegador da Internet. 

22. O que é backup? Porque ele é tão importante?

Backup é uma cópia de segurança dos seus dados de um dispositivo de
armazenamento (celulares, tablets, computadores) ou sistema (aplicativos, softwares e
jogos) para outro ambiente para que eles possam ser restaurados se você perdeu as
informações originais, trocou de aparelho, entre outros casos.

23. Porque é importante as empresas realizarem testes com os backups?

 Para garantir que as cópias de segurança estejam funcionando em perfeito estado.
24. Existem alguns tipos de sistemas de backups. Quais são?
Backup local.
Backup espelhado.
Backup completo ou full.
Backup incremental.
Backup diferencial.
Backup remoto.
Backup na nuvem (Cloud)

25. O que é criptografia?

Criptografia em segurança virtual é a conversão de dados de um formato legível em
um formato codificado. Os dados criptografados só podem ser lidos ou processados
depois de serem descriptografados.

26. O que é criptografia de chave simétrica e assimétrica? Qual o método

mais seguro? Quando usar cada um desses métodos?
A criptografia simétrica usa a mesma chave para criptografar e descriptografar dados,
facilitando o uso. A criptografia assimétrica usa uma chave pública para criptografar
dados e uma chave privada para descriptografar informações.
Na prática, a mais segura é uma chave simétrica, pois utiliza a mesma chave para
criptografar e descriptografar o conteúdo.

27. O que é criptografia hash? Quando usar?

A função hash criptográfica é um de um grupo de funções hash que são adequadas
para aplicativos criptográficos como SSL /TLS. Como outras funções hash, as
funções hash criptográficas são algoritmos matemáticos unilaterais usados para
mapear dados de qualquer tamanho para uma sequência de bits de tamanho fixo.

28. Por que existem tantos tipos diferentes de criptografia? Por que não é
possível fazer tudo o que é necessário com apenas um?

Os métodos de criptografia e as técnicas de criptografia variam de acordo com a

quantidade de dados que podem manipular de uma só vez e o tipo de chave
necessária para sua descriptografia. Algumas criptografias são mais facilmente
hackeadas do que outras. Enquanto algumas empresas ou indivíduos escolhem o tipo
de criptografia de acordo com os padrões ditados por regulamentos legais ou
industriais, outros podem simplesmente escolher seu tipo de criptografia com base nas
preferências pessoais. É importante levar isso em conta ao proteger os seus dados.
Você provavelmente vai desejar ter e saber qual o melhor tipo de criptografia para os
dados que você está armazenando ou transmitindo.
29. Quais são as principais diferenças entre criptografia simétrica, assimétrica
e de função hash?
Criptografia de chave simétrica. É um sistema de criptografia onde o remetente e o
receptor da mensagem usam uma única chave comum para criptografar e
descriptografar as mensagens. Os sistemas de chave simétrica são mais rápidos e
simples, mas o problema é que o remetente e o destinatário precisam de alguma
forma trocar a chave de maneira segura. O sistema de criptografia de chave simétrica
mais popular é o Data Encryption System (DES) e o Advanced Encryption Standard
(AES);

Funções Hash. Não há uso de nenhuma chave neste algoritmo. Um valor hash com
comprimento fixo é calculado de acordo com o texto simples, o que torna impossível
que o conteúdo do texto simples seja recuperado. Muitos sistemas operacionais usam
funções hash para criptografar senhas;

Criptografia de chave assimétrica. Neste sistema, um par de chaves é usado para

criptografar e descriptografar informações. Uma chave pública é usada para
criptografar e uma chave privada é usada para descriptografar. A chave pública e a
chave privada são diferentes. Mesmo que a chave pública seja conhecida por todos, o
receptor pretendido só pode decodificá-la porque só ele conhece a chave privada.

30. O que é certificado digital? A quem é destinado? O que dever conter num
certificado digital criptografado?
O certificado digital é uma inovação que veio para garantir segurança às transações
virtuais que se multiplicam na sociedade atual. O certificado é como um documento
virtual que permite a identificação incontestável do autor de uma mensagem ou
transação feita em meios eletrônicos. Funciona a partir de um arquivo armazenado em
mídia digital, que pode ser um chip em um cartão, um token USB ou mesmo
diretamente no celular do usuário.

31. O que é Ataque Brute Force?

Os ataques de força bruta são simples e confiáveis. Os invasores permitem que um

computador faça o trabalho – tentando diferentes combinações de nomes de usuário
e senhas, por exemplo – até encontrarem um que funcione.