Segurança da Informação

Prévia do material em texto

Citados por diversos autores como pilares, estes três aspectos, conforme indica a imagem acima, correspondem à prioridade do que deve ser protegido em relação à informação. Todos os exemplos citados correspondem, portanto, à confidencialidade da informação em três momentos diferentes do seu ciclo de vida.
· Confidencialidade;
· Integridade;
· Disponibilidade.
A segurança da informação pode ser definida como as atividades, os procedimentos e as metodologias que objetivam a proteção da informação, principalmente no que tange à confidencialidade, à integridade e à disponibilidade (CID).
Irretratabilidade
Está relacionada ao emissor negar a autoria de uma informação divulgada.
No tocante à confidencialidade, como os administradores de banco de dados devem fazer para gerenciá-los, uma vez que eles podem manusear quaisquer dados armazenados em um SGBD?
A resposta padrão a este questionamento cada vez mais comum é o uso de criptografia na base de dados sem que a chave (simétrica, pública ou privada) esteja em hard code, tampouco armazenada no BD ou no arquivo de computador.
SEGURANÇA LÓGICA
Em adição às medidas de segurança física, há as de segurança lógica, que são as medidas baseadas em software: senhas, assinatura digital, as listas de controle de acesso, a criptografia, e o firewall.
Repetindo o padrão anterior, esses mecanismos estão justapostos protegendo a informação em camadas como se fosse uma cebola.
simétrica - Utiliza funções matemáticas mais simples e uma única chave para criptografar e decriptografar. Esta classe de algoritmos é composta por, entre outros exemplos, Cifra de César, Blowfish, Twofish e Rijnadel. Graças a esse controle, é possível assegurar a confidencialidade da informação.
assimétrica - Caracteriza-se por algoritmos que normalmente envolvem técnicas matemáticas mais sofisticadas, como a fatoração de números grandes e o logaritmo discreto. Usa duas chaves: uma é utilizada para cifrar; a outra, para decifrar. Essas chaves são conhecidas como pública (fica num servidor de confiança) e privada (posse do usuário). Com a combinação dessas duas chaves, é possível assegurar não somente a confidencialidade, mas também o não repúdio ou irretratabilidade.
controles aplicados às redes, destacam-se os firewalls, os sistemas detectores de intrusão e os VPNs.
v v v v
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Norma ABNT ISO/IEC 27.0002/2013 – boas práticas para gestão em segurança da informação. Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.
BARRETO, J. dos S.; ZANIN, A.; MORAIS, I. S. de; VETTORAZZO, A. de S. Fundamentos de segurança da informação. São Paulo: Sagah, 2018.
BE COMPLIANCE. Ladrão rouba HDs com dados de 29 mil funcionários do Facebook. Publicado em: 19 dez. 2019.
BRASIL. Decreto-lei nº 3.689, de 3 de outubro de 1941. Código de Processo Penal.
FREIRE, A. Notebooks furtados da Petrobras estavam na Bacia de Santos, diz PF. In: G1. Publicado em: 5 fev. 2008.
GUSMÃO, G. Os 15 maiores vazamentos de dados da década. In: Exame. Publicado em: 21 fev. 2014.
MEARIAN, L. Survey: 40% of hard drives bought on eBay hold personal, corporate data. In: Computerworld. Publicado em: 10 fev. 2009.
RODRIGUES, F. N. Segurança da informação – princípios e controles de ameaças. São Paulo: Érica, 2019.
Ameaças e Vulnerabilidades à Segurança da Informação
Um ativo intangível é a imagem de uma organização ou um produto.
Os ativos tangíveis, por sua vez, são aqueles que conseguimos medir. Eles podem ser classificados como: lógicos, quando nos referimos a informações ou softwares; físicos, quando nos referimos a equipamentos ou infraestruturas; e humanos, quando nos referimos a colaboradores e prestadores de serviço.
LÓGICOS - aqueles que envolvem a informação e sua representação em algoritmos, como, por exemplo, uma fórmula química, os detalhes sobre a safra da laranja no mercado norte-americano, o algoritmo principal de busca do Google, os detalhes técnicos das baterias dos carros do Elon Musk.
FÍSICOS - aqueles que conseguimos tocar, como a usina hidrelétrica de Itaipu, a ponte Golden Gate e o Cristo Redentor. Esses são exemplos de infraestruturas cuja ausência poderá provocar uma perda significativa que ficará marcada na memória. Em termos de equipamentos, podemos citar as prensas de papel moeda da Casa da Moeda; o supercomputador Santos Dumont, que permite fazer o sequenciamento do genoma de diversos seres vivos etc.
HUMANOS - são os colaboradores e prestadores de serviço, como, por exemplo, a troca de jogadores de futebol e técnicos nos clubes.
RELACIONAR UMA AMEAÇA E UMA VULNERABILIDADE?
Para explorar a vulnerabilidade de um ativo pode existir uma ou mais ameaças. Uma defesa serve a um tipo de ameaça e não a todas. 
Por exemplo, um incêndio e uma enchente são ameaças físicas para um servidor em um data center. Mais do que isso, são pesadelos para os melhores administradores de TIC. Um sistema anti-incêndio com sprinklers, detectores de fumaça, extintores e uma brigada contra incêndio com treinamentos periódicos correspondem a bons controles que podem envolver equipamentos, pessoas e processos. Em um incêndio, esses itens são boas formas de proteção. Mas e em uma enchente? Esses controles são totalmente ineficientes. E durante a falta de energia elétrica? Ou mesmo em uma sobrecarga de energia elétrica?. 
A vulnerabilidade trata-se de um erro de procedimento(erros na instalação ou na configuração de softwares ), falha de um agente ou má configuração dos aplicativos de segurança. Quando isso ocorre, há um rompimento de um ou mais princípios da segurança da informação. É uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças” (HINTZBERGEN, 2018).
Ataques Cibernéticos
Colocar introdução … Tipos: 
Negação de Serviço(DOS): Corresponde a um tipo de ataque que tem por objetivo indisponibilizar determinado sistema ou equipamento. Ou seja, o equipamento pode até estar funcionando, mas seu uso fica prejudicado pela impossibilidade de acesso ao serviço prestado. Nesse tipo de ataque, são exploradas vulnerabilidades de softwares, de equipamentos e de algoritmos/protocolos exemplos: o pod (ping of death), syn flood, udp flood e o tcp flood
Engenharia social: O exemplo mais comum desse tipo de ataque é o phishing, comumente utilizado para obter dados de cartões de crédito, visando ao ganho financeiro. O phishing pode acontecer de diversas formas, através de um e-mail semelhante ao de uma instituição financeira, um SMS com um link para regularizar uma situação, uma página (ou post) em uma rede social e até mesmo um site inteiro clonado.
Pichação de Site(defacement): Corresponde à técnica mais utilizada e se caracteriza pela alteração não autorizada de determinado site na internet. São exploradas as vulnerabilidades dos portais e, por meio disso, são realizadas as modificações. Esse ataque é mais popular pela repercussão gerada após a sua realização. 
É relativamente fácil encontrá-lo em ferramentas de gestão de conteúdos (CMS), onde o proprietário do site apenas customiza determinados assuntos no portal, ou faz uso de plug-ins para ofertar novas formas de interação com o usuário.
Botnet: Também conhecido como rede zumbi, é um conjunto de equipamentos que sofreu um ataque, resultando no controle do equipamento pelo hacker. O ataque é realizado através de um software chamado bot, que explora uma vulnerabilidade do equipamento e faz a instalação nele.
Na botnet, existem alguns equipamentos cuja finalidade é orquestrar o ataque, permitindo a manutenção do sigilo do hacker. Esses equipamentos são chamados de centros de comando e controle. Os bots se assemelham aos worms no que se refere à forma de proliferação, porém divergem por acatarem às ordens dos centros de comando e controle. Através de botnets é possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros.
IP SPOOFING: quando o atacante forja o seu endereço IP, colocando outro valor nestecampo, fingindo ser a fonte dos dados de outra origem. É muito comum, por explorar a vulnerabilidade do protocolo.
PHARMING OU DNS CACHE POISONING:
Ocorre quando os servidores de DNS são atacados, visando alterar a troca dos nomes de domínios por endereços IPs e, assim, destinando a vítima para equipamentos e softwares falsos. Explora vulnerabilidades em determinadas implementações e marcas de equipamento. É uma técnica difícil de ser identificada pelo usuário final.
IP SESSION HIJACKING
A conexão entre o cliente e o servidor na internet é realizada através de troca de comandos HTTP de requisição e resposta, por exemplo. Durante esse processo, é comum ter alguma sessão de usuário (HTTP Session) configurada e em execução, visando identificar o usuário que está acessando o portal.
Uma das técnicas utilizadas, seja para quebrar a confidencialidade do usuário, ou para realizar um ataque ao portal, é o sequestro de sessão do usuário. Logo, o invasor captura essa troca de informações e se faz passar por um dos equipamentos. Trata-se de uma técnica com certo grau de sofisticação e difícil de ser identificada por gerentes de rede e usuários finais.
QUEBRA DE SENHAS
As senhas nos sistemas de informação ficam codificadas no servidor. A codificação pode ser realizada por meio de técnicas proprietárias do sistema, onde são desenvolvidos algoritmos específicos de codificação, ou por meio de funções de condensação, também conhecidas como hash.
As quebras de senha podem usar conjuntos especiais de tabelas, conhecidas como rainbow tables, ou até mesmo a testagem de todas as combinações possíveis, chamada de força bruta. Nessa técnica, o grau de conhecimento do atacante determinará a eficácia do ataque.
HASH: São algoritmos criados usando manipulações algébricas que transformam os dados de entrada em um conjunto finito de números hexadecimais, chamado de hash do dado. Essas manipulações impedem que os valores iniciais sejam recuperados a partir dos dados gerados.
TRASHING DUMPSTER DIVING
Nessa técnica, são realizadas buscas nos lixos corporativos na expectativa de ter sido realizado algum descarte de forma inapropriada. Isso nos remete ao primeiro módulo, onde tratamos do ciclo de vida da informação. Se o descarte não for feito de forma apropriada, técnicas como essa permitem a recuperação da informação direto do lixo. Em muitos países, não há legislação que torne essa técnica ilegal.
WARDRIVING
Pesquisa de locais físicos contendo sinal de Wi-Fi desprotegido visando à exploração da vulnerabilidade encontrada. Nessa técnica, o invasor percorre os espaços públicos procurando os sinais desprotegidos, podendo ser a pé, de carro ou utilizando drones.
Softwares maliciosos 
Malwares: objetivam a infecção dos ativos de TI. Podemos citar os vírus, cavalos de Tróia relacionados com propaganda, ferramentas de suporte usadas indevidamente, exploits e worms..
Cavalos de Tróia: Inspirado no exemplo histórico que deu origem à técnica, máscara-se um vetor de ataque, normalmente um malware, dentro de um documento ou ferramenta, enganando a vítima do ataque.
PS: Backdoors são tipos específicos de trojans que permitem o acesso ao sistema infectado e seu controle remoto. Eles são especialmente perigosos por permitir que o atacante modifique ou exclua arquivos, execute programas, distribua uma quantidade massiva de e-mails ou instale outras ferramentas maliciosas. São como portas de acesso alternativas a um sistema que podem passar despercebidas por sistemas de proteção e pelos usuários
Exploits e warms: são as aplicações construídas especificamente para explorar determinadas vulnerabilidades existentes e os worms, muitas vezes confundidos com os vírus, utilizam as estruturas de comunicação para sua disseminação.
Há divergências entre as formas de classificação dos tipos de malwares. Porém, de maneira geral, pode-se dizer que os vírus são os malwares que precisam de um ambiente para a sua execução.
Os vírus relacionados com propaganda, como os spywares (por exemplo, aplicações que capturam tudo o que é digitado pelo usuário, conhecidas como keyloggers) e adwares (aplicações que trazem propaganda para o usuário, sem sua autorização) monitoram o usuário de alguma forma, visando explorar o aspecto comportamental humano.
Ainda há o uso mal-intencionado de ferramentas de suporte, como sniffers ( analisar o tráfego de rede) de rede e portscanners(permite verificar quais são as portas de comunicação dos protocolos da camada de transporte que estão disponíveis para conexão.
Ransomware: Software malicioso, com alto poder de reprodutibilidade, que invade a máquina da vítima, criptografa os seus dados e solicita um resgate. Nos últimos anos, esse tipo de ataque tem sido bem frequente, tendo como caso emblemático o WannaCry.
EXERCÍCIOS
1. (IF-MT – 2019 – TÉCNICO EM LABORATÓRIO – INFORMÁTICA) SOBRE OS CONCEITOS E DEFINIÇÕES DE VULNERABILIDADES, AMEAÇAS E RISCOS, JULGUE OS ITENS ABAIXO E ASSINALE A ALTERNATIVA CORRETA.
· Um spyware tem a capacidade de, ao infectar o computador, criptografar os documentos e, posteriormente, solicitar pagamento para liberação dos arquivos.
· Ransomware espiona o que é feito no computador, coleta dados de teclas pressionadas, hábitos de navegação e até informações de login.
· Um Adware tem a finalidade de prejudicar o funcionamento do computador, ele se auto reproduz e apaga arquivos e registros importantes do sistema operacional.
· A propagação de um worm pode ocorrer sem o controle da vítima. Assim que o computador é infectado, o programa malicioso cria cópias de si mesmo.
d
2. (ADAPTADO DE INSTITUTO CONSULPLAN – 2019 – PREFEITURA DE SUZANO-SP – ANALISTA DE SISTEMAS) AS TECNOLOGIAS DE PROTEÇÃO SE TORNARAM CADA VEZ MAIS EFICAZES AO LONGO DO TEMPO. ANTIVÍRUS, FIREWALLS, DENTRE OUTRAS TÉCNICAS FORAM APRIMORADAS VISANDO À PROTEÇÃO DOS USUÁRIOS CONECTADOS À INTERNET. SOBRE CÓDIGOS MALICIOSOS, ASSINALE A ALTERNATIVA CORRETA.
· O ataque SYN FLOOD consiste em alterar os pacotes IP de saída.
· Hijackers são programas capazes de alterar a página inicial do navegador.
· Phishing visa causar um DoS (Denial of service), ocasionando interrupção do sistema.
· UDP Flood consiste no envio de um datagrama UDP com mais de 1MB para determinado servidor.
b
3. (IF-BA – 2019 – TÉCNICO DE TECNOLOGIA DA INFORMAÇÃO) SOBRE OS SOFTWARES MALICIOSOS, É CORRETO AFIRMAR QUE:
Um ransomware é um software malicioso que disfarça sua verdadeira intenção por meio de um software que aparenta ser útil.
Um trojan horse, ou cavalo de Troia, é um software malicioso que ameaça publicar os dados da vítima ou torná-los inacessíveis, a menos que um resgate seja pago.
Um backdoor é um software malicioso que permite o acesso remoto de um invasor a um sistema comprometido.
Um worm é um programa projetado para enviar as informações coletadas sobre o usuário para terceiros sem o seu consentimento.
Normas de Segurança da Informação (Etapa 3)
International Organization for Standardization (Organização Internacional de Padronização) é uma entidade fundada em 1947, sediada na Suíça e que congrega organismos de normalização nacionais. 
Sua principal atividade é elaborar padrões para especificações e métodos de trabalho nas mais diversas áreas da sociedade. Colabora estreitamente com a International Electrotechnical Commission (IEC) em todos os assuntos de padronização eletrotécnica.
As normas internacionais para sistemas de gerenciamento fornecem um modelo a ser seguido para a configuração e operação de um sistema de gerenciamento.
Por meio do uso da família de padrões de um Sistema de Gestão da Segurança da Informação ‒ SGSI (do inglês Information Security Management System – ISMS), torna-se possível o desenvolvimento e a implementação de uma estrutura visando à gerência da segurança dos ativos de informações.
ISO/IEC 27000 oferece um conjunto de normas relacionadas à Segurança da Informação, e de acordo com a ABNT NBR ISO/IEC 27001:2013:
A norma ISO/IEC 27001 (Information Technology ‒ Information Security Management Systems ‒Requirements foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).
O SGSI preserva a tríade CID (confidencialidade, integridade e disponibilidade) da informação, aplicando um processo de gestão de riscos. Com isso, as partes interessadas (stakeholders) poderão ter uma maior confiança de que os riscos serão convenientemente gerenciados.
Segundo a ABNT (2013), é importante que um SGSI seja parte, e esteja integrado com os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles.
PS: A norma ISO/IEC 27001, em conjunto com a norma ISO/IEC 27002 (Código de Boas Práticas da Gestão da Segurança da Informação), formam as principais referências, atualmente, para quem procura tratar a questão da segurança da informação de maneira eficiente e com eficácia.
PS: A ABNT é reconhecida pelo Estado brasileiro como o Fórum Nacional de Normalização, e as NBRs são reconhecidas formalmente como as normas brasileiras. As nomenclaturas das normas ISO/IEC 27001 e 27002 são, respectivamente, ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002.
Razões para adotar a norma:
Eficácia melhorada da Segurança da Informação.
Diferenciação do mercado.
Satisfazer as exigências dos clientes.
Único padrão com aceitação global.
Responsabilidades focadas na equipe de trabalho.
A Tecnologia da Informação cobre padrões tão bem quanto a organização, pessoal e facilidades.
Mandados e leis
1. Qual palavra é citada frequentemente na norma ISO/IEC 27001, que constitui sua característica marcante?
CONVÉM RECOMENDA DEVE ESPERA
"C".
DEVE ser feito. Os requisitos definidos nesta norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções de 4 a 10 na versão 2013 não é aceitável quando uma organização reivindica conformidade com esta norma.
2. Marque a alternativa correta quanto à afirmação sobre a norma ISO/IEC 27002.
· A palavra-chave que determina a sua principal característica é DEVE.
· A relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta.
· Todos os controles são importantes e devem ser considerados.
· Eventuais controles adicionais e recomendações que a comissão de segurança da organização deseja implementar, mas que não estejam incluídos na norma, devem ser desconsiderados.
"B". - A norma contém orientações do que CONVÉM ser feito. Embora todos os controles sejam importantes e devam ser considerados, a relevância de qualquer controle deve ser determinada segundo os riscos específicos a que uma organização está exposta. Nem todos os controles e diretrizes contidos na norma podem ser aplicados, e controles adicionais e recomendações não incluídos podem ser necessários. Ela possui 35 objetivos de controles e 114 controles básicos distribuídos em 14 seções.
Boas Práticas em Segurança da Informação (Tema 4)
GERENCIAMENTO DE SENHAS
O ponto de partida de qualquer sistema de segurança é garantir o acesso a dados, equipamentos, demais sistemas e ambientes físicos e eletrônicos aos indivíduos autorizados. A essa característica dá-se o nome de autenticidade e a forma mais simples de oferecê-la é por meio do login e da senha de acesso.
De acordo com Shay et al. (2010), para criar uma senha segura é recomendável:
· As senhas devem ter, pelo menos, oito caracteres.
· Deve-se alterar as senhas com frequência e nunca as repetir.
· Observar se houve algum tipo de vazamento de dados de determinados serviços. Caso tenha ocorrido, as credenciais de acesso aos sistemas, equipamentos e demais recursos devem ser modificadas para evitar que dados sejam obtidos por indivíduos mal-intencionados.
· Para aumentar a segurança das senhas, elas devem conter letras maiúsculas e minúsculas, números e caracteres não alfanuméricos exemplo: @, $, #. 
· As senhas não devem conter nomes dos usuários e nem o nome da empresa em que trabalham ou qualquer variação desse tipo.
· Não utilizar a mesma senha para todas as contas, em especial nas contas institucionais, pois, caso alguém descubra uma das senhas do usuário, não conseguirá acessar todos os serviços em que ele possui cadastro.
· Nunca informar a senha a terceiros, nem anotar em papel ou em arquivos digitais, ou incluí-las em um processo automático de acesso ao sistema. Senhas devem ser sempre memorizadas e de uso estritamente pessoal, de modo a nunca serem compartilhadas ou acessíveis a terceiros.
Mecanismos de Proteção
Economia de mecanismo (objetividade do mecanismo)- O projeto de um sistema deve ser o mais simples e pequeno possível para que possa ser facilmente analisado, testado e validado. Esse princípio se aplica a qualquer aspecto de um sistema, mas merece ênfase nos mecanismos de proteção, pois erros de processos e de implementação resultam em caminhos de acesso indesejados, ou seja, não serão notados durante o uso normal, uma vez que tentativas para fazer acessos inadequados não fazem parte do uso normal de um projeto.
padrões à prova de falhas - O tipo de acesso que um usuário deve ter em um sistema deve ser feito com base na permissão e não na exclusão. Esse princípio significa que o padrão é a falta de acesso e o esquema de proteção identifica as condições sob as quais o acesso é permitido.
Mediação completa
Todos os acessos a recursos, tanto diretos quanto indiretos, devem ser verificados pelos mecanismos de segurança. Eles devem ser organizados de forma a ser impossível contorná-los
 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013 módulo 1
Criptografia
Hash - garantir a integridade dos dados,porque qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. Usa uma função matemática para criptografar irreversivelmente as informações, fornecendo uma impressão digital delas.
· menos rápida, porém é mais confiável;
· introduzida para fornecer mais segurança;
· média complexidade;
Chave privada ou secreta - é ideal para criptografar mensagens, proporcionando privacidade e confidencialidade. O receptor da informação e o remetente usam uma única chave para criptografar e descriptografar a mensagem.
· mais rápida, porém é menos confiável em termos de segurança;
· se a chave estiver comprometida/violada na rede, haverá perda tanto do remetente como do receptor;
· menos complexa;
Chave pública - Usando duas chaves, o remetente e o destinatário seguem os processos de criptografia e descriptografia. Uma chave privada é armazenada com cada pessoa e a chave pública é compartilhada na rede para que uma mensagem possa ser transmitida através de chaves públicas. Esquemas assimétricos também podem ser usados para não repúdio e autenticação de usuário; se o destinatário puder obter a chave da sessão criptografada com a chave privada do remetente, somente esse remetente poderá ter enviado a mensagem.
· menos rápida, porém é mais confiável
· introduzida para superar o problema da troca de chaves na chave simétrica
· perda apenas do proprietário
· complexa
Gestão de Riscos (Tema 5)
VERIFICANDO O APRENDIZADO
1. O modelo PDCA (Plan-Do-Check-Act) é focado na melhoria contínua dos processos de uma organização. Selecione a opção que apresenta, resumidamente, como ele atinge seu objetivo:
1. Faz um mapeamento minucioso das unidades de negócios e, a partir disso, descreve detalhadamente como os processos devem ser realizados.
2. A partir da análise dos desvios do comportamento de um processo com as suas metas predefinidas, direciona quais medidas corretivas devem ser adotadas.
3. Define as melhores estratégias para o negócio da organização.
4. Faz a documentação dos planos da organização baseado nos melhores padrões de mercado.
2 - é um modelo que considera adinâmica em que os processos estão inseridos e como são compreendidos pelos responsáveis das organizações. A melhoria contínua é obtida a partir do mapeamento dos processos do negócio e da avaliação da sua execução
2. O Plano de Recuperação de Desastres (PRD) é um documento que define os recursos, as ações, as tarefas e os dados requeridos para administrar o processo de recuperação e de restauração dos componentes que suportam os Processos de Negócio. Selecione a opção correta em relação ao PRD:
1. Trata de ações a longo prazo.
2. Como trata de situações emergenciais, não há como medir a efetividade do seu desempenho.
3. O ponto objetivo de recuperação é a quantidade mínima de dados que uma organização está disposta a perder, caso ocorra um desastre.
4. O tempo objetivo de recuperação é o período máximo que uma organização está disposta a permitir até a retomada das suas atividades no caso de um desastre.
4 - Dado um cenário de desastre, a ideia é aumentar as chances de a organização retomar as suas operações dentro de um período mínimo, previamente estabelecido.
Tema 6 módulo 3
A Política de Gestão de Continuidade de Negócios (PGCN) é o conjunto dos processos e das atividades que uma organização deve ter para garantir resistência aos diversos problemas e gerenciar adequadamente os riscos. Além disso, devem ser revisadas periodicamente à medida que as tecnologias evoluem e os riscos comerciais mudam.
Trata-se de um processo vivo que deve ser aperfeiçoado e divulgado constantemente. Destina-se a preparar a organização para agir com ações previamente estabelecidas capazes de reduzir os possíveis prejuízos humanos, materiais e de imagem. O principal resultado da PGCN é o Plano de Continuidade de Negócios.
ITIL -
GCSTI - gerenciar riscos capazes de afetar os serviços de TI.Garante que o prestador de serviços sempre possa fornecer os níveis mínimos de qualidade preestabelecidos. Para isso, aplica a Análise de Impacto nos Negócios e Gerenciamento de Riscos, produzindo o plano de continuidade de serviços de TI, que é um aspecto do Plano Geral de Continuidade de Negócios.
VERIFICANDO O APRENDIZADO
1. Qual o propósito da Política de Gestão de Continuidade de Negócios (PGCN)?
a. Definir funções e responsabilidades das equipes envolvidas com o acionamento das ações de contingência antes, durante e após a ocorrência.
b. Determinar o planejamento para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação.
c. Restabelecer o funcionamento dos principais ativos que suportam as operações de uma organização, reduzindo o tempo de queda e os impactos provocados por um eventual incidente.
d. Fornecer uma base para que se possa entender, desenvolver e implementar a continuidade de negócios em uma organização.
d- A PGCN é o conjunto dos processos e das atividades que uma organização deve ter para poder minimizar as perdas caso ocorra um desastre. Portanto, ela é essencial para garantir a continuidade dos negócios de uma organização.
2. A respeito do Gerenciamento de Continuidade na biblioteca ITIL, é correto afirmar que:
a. Concentra-se no alinhamento de serviços de TI com as necessidades dos negócios.
b. Tem os mesmos objetivos do Plano de Continuidade de Negócios.
c. Concentra-se, principalmente, nos aspectos físicos da organização que são essenciais para dar continuidade aos negócios.
d. Sua eficácia está vinculada ao uso da tecnologia utilizada pela organização.
a- A biblioteca ITIL dá suporte para que as organizações atinjam seus objetivos alinhados com os serviços de tecnologia da informação mediante descrição das diversas etapas do ciclo de vida deles.
Teste de conhecimento 1 
Analise:
I. Segurança física está associada à proteção de recursos através de controles como guardas, iluminação e detectores de movimento.
II. Controle de acesso através de usuário e senha específicos em um determinado software aplicativo pode ser caracterizado como um controle físico.
III. A segurança física está associada ao ambiente e a segurança lógica aos programas.
IV. A segurança lógica deve ocorrer após a segurança física, através de softwares e protocolos.
São corretas as afirmações:
	
a. I, II, III e IV.	
b. II, III e IV, somente;	
c. I, III e IV, somente	
d. I, II e IV, somente	
e. I, II e III, somente;
c-
 	
2.Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:
I. Se um usuário não mais faz parte da lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes.
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto.
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number).
 
Está correto o que se afirma em
	
a. I e III, apenas.	
b. II e III, apenas.	
c. I, II e III.	
d. I e II, apenas.	
e. III, apenas.
b-
 	
3. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização:
	
a. Mecanismo para eliminar o sucesso do sistema	
b. Fornece insegurança a todas as partes interessadas	
c. Não participação da gerência na Segurança da Informação
d. Oportunidade de identificar e eliminar fraquezas	
e. Isola recursos com outros sistemas de gerenciamento
d-
 	
4. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio.
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas:
	
a. Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.
b. Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada.
c. Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio.
d. Estabelecer uma política informal proibindo o uso de softwares autorizados.
e. Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas.
a-
5. O link de acesso à internet de uma instituição encontra-se muito instável porque o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de risco, isso deve ser considerado como evidência de:
	
Resiliência	BYOD.	Ameaça.	Vulnerabilidade	Negação de serviço.
resposta correta é: Vulnerabilidade.
 	
6. É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para que seja enviada a solução de descriptografia dos dados da vítima. O scareware é seu tipo mais comum e usa táticas ameaçadoras ou intimidadoras para induzir as vítimas a pagar.
O texto se refere ao:
	Spyware Spam Botnet DDoS Ransomware
A resposta correta é: Ransomware
7. Em relação ao backup incremental, selecione a opção correta:
	
a. É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo.
b. Faz cópias de todos dados, inclusive dos logs de transações associados, para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD.c. É a cópia dos dados criados e modificados desde o último backup.
d. Também é chamado de backup incremental cumulativo.
e. É exatamente igual ao backup diferencial.
a-
8.
Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque ..."
	
a. Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente.	
b. Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública.	
c. Fazem a troca de chaves na chave simétrica.	
d. Utilizam algoritmos de criptografia de chave pública.	
e. Usam chave única para criptografar e descriptografar a mensagem.
a- 
9.
Um membro da comissão de segurança precisa saber informações sobre cada um dos processos da GR. Ele consultará uma dentre as normas da família ISO/IEC 27000, que definem uma série de normas relacionadas à segurança da informação. Ele precisa obter a norma:
ISO/IEC 27005	ISO/IEC 31000	ISO/IEC 27000	ISO/IEC 27001	
ISO/IEC 27002
a-
10. O PDCA é um instrumento muito importante para desenvolver um plano de continuidade de negócios (PCN). Selecione a opção que é responsável por realizar a melhoria contínua do plano de continuidade de negócios:
	
a. C - Checar
b. D - Executar.	
c. O PDCA não é adequado para o PCN.	
d. A - Agir.	
e. P - Planejar.
 
d - Agir
Simulado
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:
6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
(...)
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação.
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"?
	
Sim	
Não se aplica a esta norma
Indica uma simples observação a ser feita
Falta informação nessa checagem para classificar
Não
A resposta correta é: Sim.
2a
Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização:
	
Isola recursos com outros sistemas de gerenciamento
Oportunidade de identificar e eliminar fraquezas	
Não participação da gerência na Segurança da Informação	
Mecanismo para eliminar o sucesso do sistema	
Fornece insegurança a todas as partes interessadas
A resposta correta é: Oportunidade de identificar e eliminar fraquezas.
3a
 "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio, quando aplicado sistematicamente, é o principal fundamento do sistema de proteção". Selecione a opção que se refere a esse mecanismo de proteção:
	
Separação de privilégios.
Padrões à prova de falhas.	
Compartilhamento mínimo.	
Privilégio mínimo.
Mediação completa.
Explicação:
A resposta correta é: Mediação completa.
4 Em relação ao backup incremental, selecione a opção correta:
· Faz cópias de todos dados, inclusive dos logs de transações associados, para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD.
· É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo.
· Também é chamado de backup incremental cumulativo.
· É a cópia dos dados criados e modificados desde o último backup.
· É exatamente igual ao backup diferencial.
Explicação:
A resposta correta é: É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo.
5a Um membro da comissão de segurança precisa saber informações sobre cada um dos processos da GR. Ele consultará uma dentre as normas da família ISO/IEC 27000, que definem uma série de normas relacionadas à segurança da informação. Ele precisa obter a norma:
 
ISO/IEC 27005	
ISO/IEC 31000	
ISO/IEC 27002	
ISO/IEC 27000	
ISO/IEC 27001
Explicação: A resposta correta é: ISO/IEC 27005
6a O PDCA é um instrumento muito importante para desenvolver um plano de continuidade de negócios (PCN). Selecione a opção que é responsável por realizar a melhoria contínua do plano de continuidade de negócios:
A - Agir.
P - Planejar.	
O PDCA não é adequado para o PCN.	
D - Executar.	
C - Checar.
Explicação: A resposta correta é: A - Agir.
7a Redes de computadores conectadas à internet são alvos de invasões por parte de hackers. A ferramenta para permitir o acesso à rede apenas por endereços autorizados é:
Firewall.	Modem. Antivírus. Criptografia. Certificado digital.
Explicação: A resposta correta: Firewall.
8a Na questão que avalia conhecimento de informática, a menos que seja explicitamente informado o contrário, considere que: todos os programas mencionados estejam em configuração‐padrão, em português; o mouse esteja configurado para pessoas destras; expressões como clicar, clique simples e clique duplo refiram‐se a cliques com o botão esquerdo do mouse; e teclar corresponda à operação de pressionar uma tecla e, rapidamente, liberá‐la, acionando‐a apenas uma vez. Considere também que não haja restrições de proteção, de funcionamento e de uso em relação aos programas, arquivos, diretórios, recursos e equipamentos mencionados.
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações.
	
a. não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições
b. conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização
c. realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação
d. descartar o inventário dos ativos, caso a organização possua
e. direcionar os funcionários apenas para o exercício de suas funções diárias; pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados
c - realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação.
9a Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade:
	
a. Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente.
b. Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção.
c. Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.	
d. Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.
e. Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável.
Explicação: A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.
10a Indique a alternativa que pode conter um relacionamento mais apropriado entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE tratados pela Gestão de Riscos na Tecnologia da Informação.
a	
b	
c	
d
	
e
e -