TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

Tecnologia Da Informação

Pesquisas Acadêmicas: Tecnologia Da Informação. Pesquise 862.000+ trabalhos acadêmicos

Por:   •  17/4/2014  •  1.315 Palavras (6 Páginas)  •  241 Visualizações

Página 1 de 6

Questão 1- (2,5 pontos)

Explique o que seriam as estratégias de segurança privilégio mínimo e defesa em profundidade. Realize uma pesquisa na internet, em jornais, livros, revistas, periódicos, etc., sobre as estratégias de segurança privilégio mínimo e defesa em profundidade para exemplificar a sua explicação. RESPOSTA: Estratégia de segurança privilegio mínimo: São os privilégios que prezam por delegar somente aqueles privilégios necessários para que um determinado objeto possa realizar sua função na organização, esses privilégios realizam o cuidado de cuidar para não atribuir privilégios menores que o necessário.

O principio do privilegio mínimo sugere que se deve explorar meios para reduzir os privilégios necessários para diversas operações, um exemplo é que todo administrador de sistema não precisa conhecer as senhas de root de todos os sistemas de uma empresa.

Defesa em profundidade: é a segurança voltada para prevenção de acidentes e a minimização das respectivas conseqüências para evitar que um problema isolado se alastre pelo sistema, a idéia é instalar vários métodos de defesa instalando vários níveis de proteção, é o método de tornar tentativas de invasão

arriscada ou cansativa demais para os invasores.

Questão 2 - (2,5 pontos)

Em uma Empresa, ocorreu o seguinte diálogo entre João e seu Gerente de TI:

JOÃO: - Vamos colocar criptografia assimétrica aqui na empresa; vai melhorar a vida de todos.

GERENTE DE TI: - Nós já utilizamos a criptografia simétrica e não precisamos de mudanças.

JOÃO: - A criptografia assimétrica faz várias coisas que a simétrica não faz. Seremos mais seguros com ela.

GERENTE DE TI: - Ok, João. Então me mostre as vantagens e o que posso fazer com a criptografia assimétrica.

Por meio deste pequeno diálogo é possível perceber que João recebeu de seu Gerente de TI a incumbência de explicar as vantagens da criptografia assimétrica em relação à simétrica. Desta forma, suponha que você seja o JOÃO nesta situação. Responda, portanto, a questão levantada pelo Gerente de TI.

RESPOSTA: Eu responderia para o Gerente de Ti que uma das principais desvantagens da criptografia simétrica é o uso da mesma chave tanto para criptografar como para descriptografar os dados e que por isso todas as partes que enviam e recebem os dados devem conhecer ou ter acesso à chave de criptografia e que esse requisito cria um problema de gerenciamento de segurança e problemas de gerenciamento de chave que uma organização deve considerar em seu ambiente e que um dos problema de gerenciamento de segurança que existe porque a organização deve enviar essa chave de criptografia a todos que requisitarem acesso aos dados criptografados.

Explicaria que a criptografia assimétrica é considerada mais segura do que a criptografia simétrica porque a chave usada para criptografar os dados é diferente da que é usada para descriptografar, como a criptografia assimétrica usa algoritmos mais complexos do que a simétrica e como a criptografia assimétrica usa um par de chaves o processo de criptografia é muito mais lento quando uma organização usa a criptografia assimétrica do que quando usa a simétrica, com a criptografia assimétrica somente uma parte mantém a chave privada e essa parte é conhecida como o assunto. Todas as outras partes podem acessar a chave pública, os dados criptografadas por meio da chave pública só podem ser descriptografados com o uso da chave privada, por outro lado os dados criptografados por meio da chave privada só podem ser descriptografados com o uso da chave pública. Por tanto esse tipo de criptografia fornece confidencialidade e não-repúdio.

Questão 3 - (2,5 pontos)

De acordo como o que foi abordado na disciplina de Segurança da Informação, na posição de gerência de TI, cite alguns aspectos que podem ser considerados na utilização do IDS como um auxílio na segurança de informação de um sistema computacional. RESPOSTA: IDS é um sistema de software/hardware ao qual automatiza o processo de monitoramento de eventos que ocorrem em sistemas computacionais, analisando com base em assinaturas criadas a partir de problemas de segurança, ou seja, intrusões.

O principal aspecto que pode ser considerado no uso de IDS como auxilio, é que com o uso dele é possível tomar todo o conhecimento do que esta se passando em uma estrutura de rede e auxiliar nas tomadas de decisões quando esta ocorrendo um incidente ou após esse incidente.

Outro aspecto é a detecção de ataques que não previstos pelas demais ferramentas de segurança, ter a documentação da existência de ameaças à organização. As principais características que o IDS deve possuir é ser executada de forma contínua, sem interação humana e ser segura o suficiente, resistir a tentativas de mudança de sua base, ou seja, deve monitorar a si própria de forma a garantir sua segurança, ter o mínimo de impacto no funcionamento do sistema e o principal, ser difícil de ser enganada.

Questão 4- (2,5 pontos)

Cite e explique, de forma sucinta, os elementos que devem ser considerados quando da realização de uma auditoria de segurança em uma empresa. RESPOSTA:A auditoria de sistemas é um processo realizado por profissionais capacitados e consiste em reunir, agrupar e avaliar evidências para determinar se um Sistema de Informação suporta adequadamente um ativo de negócio, mantendo a integridade dos dados, e realiza os objetivos esperados, utiliza eficientemente os recursos e cumpre com as regulamentações e leis estabelecidas.Permite detectar de forma automática o uso dos recursos e dos fluxos de informação dentro de uma empresa e determinar qual informação é crítica para o cumprimento de sua missão e objetivos, identificando necessidades, processos repetidos, custos, valor e barreiras que impactam fluxos de informação eficientes.Deve compreender não somente os equipamentos de processamento de dados ou algum procedimento específico, mas sim suas entradas, processos, controles, arquivos,segurança e extratores de informações, além disso, deve avaliar todo o ambiente envolvido: Equipamentos, CPD (Centro de Processamento de Dados e Software)Auditar consiste principalmente em avaliar mecanismos de controle que estão implantados em uma empresa ou organização, determinando se os mesmos são adequados e cumprem com seus determinados objetivos ou estratégias, estabelecendo as mudanças necessárias para a obtenção dos mesmos. Os mecanismos de controle podem ser de prevenção, detecção, correção ou recuperação após uma contingência.Os objetivos da auditoria de sistemas são a emissão de um parecer (ou uma nota) sobre:

• O controle da Área de Tecnologia;

•A análise da eficiência dos Sistemas de Informação; •A verificação do cumprimento das legislações e normativos a qual estão sujeitos;

•A gestão eficaz dos recursos de informática.A Auditoria de sistemas contribui para a melhoria constante do negócio suportado pela Tecnologia, nos seguintes aspectos:

•Desempenho;

•Confiabilidade;

•Integridade;

•Disponibilidade;

•Segurança;

•Confidencialidade;

•Privacidade.Geralmente pode-se desenvolvê-la em foco ou em combinação entre as seguintes áreas:

•Governança Corporativa;

•Administração do Ciclo de Vida dos Sistemas;

•Serviços de Entrega e Suporte;

•Proteção de Dados e Segurança da Informação;

•Planos de Continuidade de Negócio e Recuperação de Desastres.

...

Baixar como  txt (7.7 Kb)  
Continuar por mais 5 páginas »