Atividade de Revisão

Vinicius da Silva Nunes

1. Qual é o papel fundamental da segurança da informação em uma organização?

O papel da segurança da informação em uma organização é avaliar a segurança do

sistema de informação, identificar vulnerabilidades, ameaças e riscos de segurança.

2. Explique a relação entre auditoria de sistemas de informação e segurança, destacando como

a auditoria contribui para a identificação de vulnerabilidades.

A segurança da informação inclui políticas, processos, procedimentos, estruturas

organizacionais e funções de software e hardware que auxiliam na segurança da
organização. Já Auditoria de sistemas da informação é responsável por avaliar e examinar
os sistemas de informação de uma organização para garantir sua segurança, onde uma de
suas principais atividades é a auditoria de segurança que a avalia a segurança dos sistemas
de informação para identificar as vulnerabilidades dos sistemas e aplicar as diretrizes da
segurança de sistemas de informação.

3. Quais são os principais objetivos da auditoria de sistemas de informação?

Verificação da conformidade com políticas, normas e regulamentos de proteção de

dados, identificação e avaliação de riscos de segurança da informação, avaliação da
eficácia do controle de segurança e Detecção de vulnerabilidades e fraquezas no
sistemas .

4. Descreva o processo de auditoria de sistemas de informação, incluindo suas etapas

essenciais.

As etapas dos processos de auditoria são, planejamento, execução, gerar relatórios

e acompanhamento das ações corretivas.

5. Quais são algumas medidas de segurança comumente utilizadas em sistemas de

informação?
Criptografia de dados, controles de acesso, políticas de senha, firewall e
treinamento em conscientização em segurança.

6. Como as normas e regulamentações contribuem para garantir a segurança da informação

em uma organização?
 As normas são diretrizes que devem ser seguidas para garantir a segurança da
informação, essas normas contribuem para que organização não caia em problemas que
podem causar danos futuros.

7. Quais são os benefícios tanto da auditoria quanto da segurança da informação para uma
empresa?

Os benefícios são, uma melhor confiabilidade do cliente na empresa, melhora na

segurança das informações e proteção de dados e na prevenção das ameaças futuras.

8. Por que a segurança da informação é essencial para manter a vantagem competitiva, fluxo
de caixa e rentabilidade de uma organização?

Sim, pois a mesma garante que as outras áreas da organização funcionem levando a
empresa a ter desempenho melhor.

9. Quais são algumas ameaças de segurança que as organizações enfrentam atualmente?

Malware, phishing, ataque de negação de serviço, roubo de identidade, engenharia social.

10. Explique a importância da confidencialidade na segurança da informação, fornecendo

exemplos de medidas de confidencialidade.

A confidencialidade garante que apenas pessoas autorizadas tenham acesso a

informações sensíveis. Um exemplo disso é quando a empresa está produzindo um novo
produto e algum funcionário vaza informações sobre esse produto sem o consentimento
da empresa.

11.Como a integridade dos dados contribui para a segurança da informação e como ela pode
ser mantida?
A integridade dos dados garante que os dados não sejam alterados de maneira não
autorizada ou de forma acidental. Dessa forma a empresa pode gerar rendimento a
empresa e a integridade dos dados é essencial para isso.

12.Quais são as características e medidas relacionadas à disponibilidade na segurança da

informação?
As características de disponibilidade são: oportunidade, continuidade, robustez.
 As medidas de disponibilidade são: Gestão de dados,Dados armazenados em disco,
Procedimentos de backup, Quantidade de tempo que os dados devem ser mantido
armazenados.

13.Descreva o conceito de avaliação de riscos e sua importância na gestão da segurança da

informação.

Avaliação de risco é quando a organização consegue ter uma noção dos riscos da
integridade da empresa ser violada e causar grandes danos na organização, a avaliação
serve para prevenir e destacar ameaças futuras. Esse quesito é muito importante na gestão
da segura da informação já que, mesma possui maneiras de prevenir ameaças que possam
vir a ocorrer dentro da empresa.

14.Explique a abordagem de processo para a gestão da segurança da informação, destacando

suas etapas.
Segundo a ISO 27002:2013 a abordagem de processo baseia-se em, 1 -
compreender os requisitos de segurança da informação da organização e suas
necessidades de estabelecer politicas e objetivos para a segurança da informação. 2
Implementar e operar controles para gerenciar os riscos de segurança da informação
da organização no contexto dos riscos gerais da organização. 3 monitorar e revisar o
desempenho e a eficiência do sistema de gerenciamento de segurança da
informação. 4 melhoria continua baseada em medições objetivas.

15.Quais são os princípios fundamentais da segurança da informação e por que são essenciais
em programas de segurança?
A confidencialidade, integridade e disponibilidade. É essencial que as organizações
atendam esses três quesitos, pois, os riscos de ameaças e vulnerabilidades são medidos
pela capacidade de uma ameaça comprometer um ou todos os três princípios da segurança
da informação.

16.O que representa o Triângulo CIA na segurança da informação e como ele se relaciona com
os princípios de confidencialidade, integridade e disponibilidade?

O triângulo CIA representa a junção desses três princípios de confidencialidade,

integridade e disponibilidade e todos esses fazem parte da gestão da segurança da
informação.
17.Descreva o hexagrama Parkeriano e seus seis elementos de segurança da informação.
É um conjunto de seis elementos da segurança da informação proposto por Donn B. Parker.
O hexagrama Parkeriano soma mais três atributos aos três clássicos de segurança do
 triângulo CIA, Confidencialidade, Integridade, Disponibilidade,Posse ou controle,
Autenticidade e Utilidade.

18.Como as medidas de confidencialidade são aplicadas na proteção de informações

estratégicas em uma organização?[

A confidencialidade assegura que o nível necessário de sigilo seja aplicado em cada

elemento de processamento de dados e impede a divulgação não autorizada. Esse nível de
confidencialidade deve prevalecer enquanto os dados residirem em sistemas e dispositivos
na rede, quando forem transmitidos e quando chegarem ao seu destino.

19.Explique como a auditoria de conformidade contribui para garantir a conformidade com

regulamentações externas, como leis de proteção de dados.
A auditoria de conformidade garante que as políticas de proteção de dados das organizações
atendam às regulamentações cumprindo legislação nacional e local.

20.Por que a ética profissional é crucial para os auditores de sistemas de informação durante o
processo de auditoria?
Para os auditores de sistemas de informação é crucial os exercer a ética profissional pois o mesmo
terá acesso a dados sensíveis das organizações.

21.Qual é a importância de documentar procedimentos operacionais e atribuir

responsabilidades nas operações de TI de uma organização?
Porque muitas vezes é necessário retornar a algum procedimento em caso de erro na execução do
procedimento, e também porque em alguns casos os procedimentos tem que ser revisados para que
não tenha ocorrido nenhum erro.

22.Por que é crucial ter instruções de trabalho detalhadas, especialmente em relação ao

desligamento e inicialização de computadores?

É importante realizar instruções sobre o uso dos sistemas operacionais, pois a maioria dos
funcionários não possui o conhecimento do funcionamento desses sistemas e podem acabar
fazendo alguma besteira.

23.Explique como os procedimentos operacionais podem variar para computadores com

diferentes sistemas operacionais, como Windows e Unix.

Os procedimento podem variar de sistemas para sistema desde a forma de interação com a
interface com a utilização de ferramentas que auxiliam os usuários em suas tarefas.
24.Qual é a finalidade principal de um procedimento operacional em relação à operação de
equipamentos em uma organização?

A principal finalidade de um procedimento operacional é assegurar que não haja mal-

entendidos acerca da forma na qual o equipamento deve ser operado. Não importa se for um
robô de solda, um programa que controla uma estação elétrica ou um programa de
contabilidade.

25.Cite exemplos de informações abordadas em procedimentos operacionais, incluindo

backups, manutenções e processamento de correspondências.

PC executando Windows pode ser tolerante se desligado incorretamente, enquanto

um PC Unix tende a responder de forma um pouco diferente. É por isso que procedimentos
para iniciar após uma falha de sistema são tão importantes.

26.Por que os procedimentos operacionais são essenciais para evitar mal-entendidos na

operação de equipamentos, independentemente de serem robôs, programas de controle ou
programas de contabilidade?

Porque os procedimentos operacionais asseguram que não aja mal-entendido acerca

da forma na qual o equipamento deve ser operado.

27.Como as trilhas de auditoria e os arquivos de log contribuem para a segurança e resolução

de problemas em sistemas e redes?

As trilhas de auditoria e os arquivos de log do sistema mantêm um registrode todos

os eventos e ações que ocorrem no sistema e na rede. Esses arquivos são armazenados em
um local seguro e não podem, em teoria, sermodificados.

28.Explique a importância de armazenar os arquivos de log em um local seguro e como eles

podem ser cruciais em situações de incidentes.

No caso de problemas, esses arquivos são muitas vezes cruciais para a descoberta do
que deu errado. Pois o mesmo contém informações de erros e guardam informações
importantes ajudando a descobrir de onde veio a falha.

29.Faça uma analogia entre os arquivos de log do sistema e a caixa preta de um avião em
termos de registro de eventos críticos.
 Considere a caixa preta de um avião, a qual pode estabelecer o que ocorreu nos
últimos minutos antes do acidente. Com base nessa informação, medidas podem ser tomadas
para garantir que o incidente não ocorra novamente.

30.Qual é a principal finalidade do gerenciamento de mudanças em relação à implementação

de mudanças em uma organização?
O gerenciamento de mudanças coordena e monitora as alterações em sistemas. São
frequentemente mudanças que foram planejadas de forma antecipada.

31.Explique a situação de "beco sem saída" mencionada no texto em relação à implementação

ou não de uma mudança e os riscos envolvidos.

Essa situação pode ocorrer, por exemplo, no caso de uma vulnerabilidade conhecida.
Não instalar uma atualização necessária é um risco, à medida que a vulnerabilidade pode ser
explorada e levar a interrupções na infraestrutura.

32.Como o gerenciamento de mudanças aborda a necessidade de diferentes papéis, como o

Encarregado de Segurança da Informação (ISO) e o gerente do sistema?

Risco potencial de não instalar uma atualização de segurança é determinado pelo

Encarregado de Segurança da Informação (Information Security Officer – ISO), enquanto
os riscos associados à mudança devem ser avaliados pelo gerente do sistema.

33.Por que a implementação de mudanças pode envolver riscos e como esses riscos podem ser
avaliados antes da implementação?
Por que a mesma pode afetar negativamente o desempenho dos sistemas causando
uma desordem na empresa.
34.Qual é a importância de definir diferentes papéis no caso de mudanças, e como isso
contribui para uma abordagem mais controlada?

35.Explique a necessidade de considerar cuidadosamente e antecipadamente as mudanças em

serviços de TI e sistemas de informação.

36.Como o Gerenciamento de Serviços de TI e a estrutura do ITIL estão relacionados ao

gerenciamento de mudanças?
No Gerenciamento de Serviços de TI e também na estrutura do ITIL, este processo é
chamado de gerenciamento de mudanças. O gerenciamento de mudanças coordena e
 monitora as alterações em sistemas. São frequentemente mudanças que foram planejadas de
forma antecipada.

37.Quais são os potenciais riscos de não instalar uma atualização de segurança, e quem é
responsável por determinar esses riscos?
Se todos fossem capazes de implementar suas próprias modificações, poderia surgir
uma situação incontrolável em que as pessoas não estariam cientes das mudanças
implementadas pelos outros. Ainda mais importante, ficaria rapidamente impossível
identificar qual mudança foi responsável por um problema ocorrido e, portanto, qual
mudança deve ser desfeita.

38.Destaque a importância de avaliar os riscos associados a mudanças, especialmente no

contexto da estabilidade dos sistemas.

É importante avaliar os riscos das mudanças feitas no sistema pois o mesmo pode causar
problemas no sistema trazendo mais dificuldade no gerenciamento das mudanças futuras.

39.Explique por que mudanças em serviços de TI devem ser conduzidas de forma cuidadosa e
controlada.
Todas as mudanças devem ser aprovadas antes de ir para a produção e um
procedimento de restauração deve ser parte do procedimento de mudança, a fim de permitir
a recuperação de uma modificação mal sucedida.

40.Como o gerenciamento de mudanças contribui para a prevenção de interrupções na

infraestrutura de uma organização?