Segurança e Auditoria em SI
Por: princesadolly • 13/4/2015 • Relatório de pesquisa • 1.623 Palavras (7 Páginas) • 896 Visualizações
Segurança e Auditoria em SI
1) Conceitue Segurança da Informação.
R - Proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Proteção da informação e dos sistemas de informação do acesso não autorizado, do uso, da divulgação, da interrupção, da modificação ou da destruição.
2) Relacione e conceitue as características básicas da Segurança da Informação.
R - Confidencialidade: limita o acesso a informação àqueles autorizadas pelo proprietário da informação. Integridade: garante que a informação mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e descarte). Disponibilidade: garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles autorizados pelo proprietário da informação.
3) Qual a finalidade da Política de Segurança da Informação?
R- Visa garantir o nível de segurança desejado, levando-se em conta:
Os riscos associados à falta de segurança;
Os benefícios obtidos;
Os custos de implementação dos mecanismos de segurança.
4) O que são os Mecanismos de Segurança? Quais são os tipos existentes?
R - São os suportes para as recomendações de segurança. Podem ser do tipo Lógico e do tipo Físico.
5) Qual a relação entre acesso físico ao computador e a segurança da informação nele guardada?
R – Se há possibilidade de acesso físico não autorizado ao computador não há como garantir a segurança das informações deste computador.
6) Para que servem os controles lógicos?
R - Para impedir ou limitar o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a ameaças.
7) Cite pelo menos três estratégias de segurança, e explique, com suas palavras, o objetivo destas.
Princípio do menor privilégio
Defesa em profundidade
Ponto de estrangulamento
O elo mais fraco
Posição à prova de falhas
Permissão ou negação padrão
Participação universal
Diversidade da defesa
Simplicidade
Obscuridade
Turma AI3DS_A Segurança e Auditoria em SI 1ª Etapa/2014-II Profº. Luis Gonzaga de Paulo Respostas do Questionário
- 2 Tua palavra, Senhor, será a luz para meus passos!
8) Cite alguns focos de problemas de segurança em nível pessoal e relacione possíveis vulnerabilidades associadas a estes.
E-mail: captura de senhas e de informações confidenciais
Redes de relacionamento/sociais: engenharia social, contas de e-mail, informações pessoais
Wi-Fi / Wireless: captura de senhas e tráfego
Equipamentos de uso coletivo: captura de senhas e de informações confidenciais
9) O que o ITIL – Information Technology Infrastructure Library?
R - É um padrão para o Gerenciamento de Serviços e Infra-Estrutura de TI.
10) Como o ITIL ajuda na segurança da informação?
R – O ITIL ajuda a conhecer e administrar os serviços e ativos de TI, e assim permite a correta identificação dos riscos a que estes estão submetidos.
11) O que é o COBIT - Control Objectives for Information and Related Technology?
R – O COBIT é um “kit de ferramentas” para a excelência na gestão de TI, e é fundamental para a gestão dos processos de TI.
12) O COBIT ajuda no processo de obtenção de segurança da informação? Como?
R – O COBIT, ao promover um controle efetivo das atividades de TI, auxilia na identificação de processos-chave e das vulnerabilidades das operações.
13) Comente a afirmação: “Crimes por computador são motivados pelo dinheiro”
R – É uma afirmação incorreta, pois diversos crimes cometidos com o uso do computador ou através dele têm motivações diversas, como passional, desafio, vingança e busca de notoriedade.
14) Comente a afirmação: “O plano de recuperação (BCP) é prioritário”
R – É uma afirmação inadequada do ponto de vista da Segurança da Informação – visando uma ação reativa, privilegiando a recuperação da perda ao invés de buscar evitar ou reduzir o dano – a ação proativa.
15) Comente a afirmação: “Segurança da informação é um assunto tecnológico”
R – É uma afirmação incorreta, posto que a segurança da informação é de responsabilidade de todos e somente assim pode ser efetiva.
16) No que consiste um ataque de intrusão?
R - Consiste no uso indevido do computador de outra pessoa passando-se por um usuário legítimo.
17) Qual o objetivo de um ataque de negação de serviço (DoS/DDoS)?
R - Interromper a utilização dos recursos computacionais da vítima.
18) O que é um Proxy?
R - Dispositivo de rede que atua como um “procurador” para um ou mais serviços, como e-mail ou navegação web. Turma AI3DS_A Segurança e Auditoria em SI 1ª Etapa/2014-II Profº. Luis Gonzaga de Paulo Respostas do Questionário
- 3 Tua palavra, Senhor, será a luz para meus passos!
19) Qual a finalidade de um Firewall?
R - Controlar o fluxo de informações entre a rede interna – considerada segura – e a rede externa – considerada insegura.
20) Quais informações um IDS – Intrusion Detection System – é capaz de prover?
R - Quantas tentativas de ataque foram identificadas? Quais tipos de ataques foram utilizados? Qual a origem dos ataques?
21) Quais são os principais tipos de auditoria?
Primeira parte: realizada por uma organização sobre si mesma – Ex: Controle Interno.
Segunda parte: conduzida por uma organização sobre uma outra –Ex: Banco Central, CVM, Entidades de Classe.
...