Segurança e Auditoria em SI

 Segurança e Auditoria em SI

1) Conceitue Segurança da Informação.

R - Proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Proteção da informação e dos sistemas de informação do acesso não autorizado, do uso, da divulgação, da interrupção, da modificação ou da destruição.

2) Relacione e conceitue as características básicas da Segurança da Informação.

R - Confidencialidade: limita o acesso a informação àqueles autorizadas pelo proprietário da informação. Integridade: garante que a informação mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e descarte). Disponibilidade: garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles autorizados pelo proprietário da informação.

3) Qual a finalidade da Política de Segurança da Informação?

R- Visa garantir o nível de segurança desejado, levando-se em conta:

 Os riscos associados à falta de segurança;

 Os benefícios obtidos;

 Os custos de implementação dos mecanismos de segurança.

4) O que são os Mecanismos de Segurança? Quais são os tipos existentes?

R - São os suportes para as recomendações de segurança. Podem ser do tipo Lógico e do tipo Físico.

5) Qual a relação entre acesso físico ao computador e a segurança da informação nele guardada?

R – Se há possibilidade de acesso físico não autorizado ao computador não há como garantir a segurança das informações deste computador.

6) Para que servem os controles lógicos?

R - Para impedir ou limitar o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a ameaças.

7) Cite pelo menos três estratégias de segurança, e explique, com suas palavras, o objetivo destas.

 Princípio do menor privilégio

 Defesa em profundidade

 Ponto de estrangulamento

 O elo mais fraco

 Posição à prova de falhas

 Permissão ou negação padrão

 Participação universal

 Diversidade da defesa

 Simplicidade

 Obscuridade

Turma AI3DS_A Segurança e Auditoria em SI 1ª Etapa/2014-II Profº. Luis Gonzaga de Paulo Respostas do Questionário

- 2 Tua palavra, Senhor, será a luz para meus passos!

8) Cite alguns focos de problemas de segurança em nível pessoal e relacione possíveis vulnerabilidades associadas a estes.

 E-mail: captura de senhas e de informações confidenciais

 Redes de relacionamento/sociais: engenharia social, contas de e-mail, informações pessoais

 Wi-Fi / Wireless: captura de senhas e tráfego

 Equipamentos de uso coletivo: captura de senhas e de informações confidenciais

9) O que o ITIL – Information Technology Infrastructure Library?

R - É um padrão para o Gerenciamento de Serviços e Infra-Estrutura de TI.

10) Como o ITIL ajuda na segurança da informação?

R – O ITIL ajuda a conhecer e administrar os serviços e ativos de TI, e assim permite a correta identificação dos riscos a que estes estão submetidos.

11) O que é o COBIT - Control Objectives for Information and Related Technology?

R – O COBIT é um “kit de ferramentas” para a excelência na gestão de TI, e é fundamental para a gestão dos processos de TI.

12) O COBIT ajuda no processo de obtenção de segurança da informação? Como?

R – O COBIT, ao promover um controle efetivo das atividades de TI, auxilia na identificação de processos-chave e das vulnerabilidades das operações.

13) Comente a afirmação: “Crimes por computador são motivados pelo dinheiro”

R – É uma afirmação incorreta, pois diversos crimes cometidos com o uso do computador ou através dele têm motivações diversas, como passional, desafio, vingança e busca de notoriedade.

14) Comente a afirmação: “O plano de recuperação (BCP) é prioritário”

R – É uma afirmação inadequada do ponto de vista da Segurança da Informação – visando uma ação reativa, privilegiando a recuperação da perda ao invés de buscar evitar ou reduzir o dano – a ação proativa.

15) Comente a afirmação: “Segurança da informação é um assunto tecnológico”

R – É uma afirmação incorreta, posto que a segurança da informação é de responsabilidade de todos e somente assim pode ser efetiva.

16) No que consiste um ataque de intrusão?

R - Consiste no uso indevido do computador de outra pessoa passando-se por um usuário legítimo.

17) Qual o objetivo de um ataque de negação de serviço (DoS/DDoS)?

R - Interromper a utilização dos recursos computacionais da vítima.

18) O que é um Proxy?

R - Dispositivo de rede que atua como um “procurador” para um ou mais serviços, como e-mail ou navegação web. Turma AI3DS_A Segurança e Auditoria em SI 1ª Etapa/2014-II Profº. Luis Gonzaga de Paulo Respostas do Questionário

- 3 Tua palavra, Senhor, será a luz para meus passos!

19) Qual a finalidade de um Firewall?

R - Controlar o fluxo de informações entre a rede interna – considerada segura – e a rede externa – considerada insegura.

20) Quais informações um IDS – Intrusion Detection System – é capaz de prover?

R - Quantas tentativas de ataque foram identificadas? Quais tipos de ataques foram utilizados? Qual a origem dos ataques?

21) Quais são os principais tipos de auditoria?

Primeira parte: realizada por uma organização sobre si mesma – Ex: Controle Interno.

Segunda parte: conduzida por uma organização sobre uma outra –Ex: Banco Central, CVM, Entidades de Classe.

...