Temporada I Segurança da Informação

Prévia do material em texto

1º Desafio - Introdução e Conceitos Básicos de Segurança da Informação
A segurança da informação tem como base os seguintes aspectos, denominados pilares da segurança da informação: confidencialidade, integridade e disponibilidade dos dados; contudo, para que isso seja possível, é necessário se atentar às vulnerabilidades e às ameaças que surgem para os sistemas.
Você foi contratado por uma grande empresa prestadora de serviços em tecnologia da informação para garantir a segurança dos seus dados e informações. Pedro, o contratante, precisa se preocupar com as principais categorias de vulnerabilidades e ameaças, de modo aevitar que qualquer problema impacte no trabalho da empresa.
Analisando esse cenário, descreva as medidas que Pedro deve tomar para prevenir a vulnerabilidade:
- física
- de hardware
- de software
- de comunicação
- de documentação
​​​​​​​- de pessoal
Padrão de resposta esperado
Física: para evitar a vulnerabilidade física, deverá ser verificado se o local no qual as informações estão armazenadas é seguro (se as portas e as janelas fecham corretamente, por exemplo) e protegido do clima (chuva e vento, por exemplo).
Hardware: realizar a manutenção preventiva dos equipamentos, colocando sinalizações a respeito da voltagem e funcionamento, além de adquirir equipamentos adequados.
Software: manter atualizados todos os softwares utilizados, usando apenas as suas versões originais; além de ter cuidado na programação para evitar vulnerabilidades nas aplicações.
Comunicação: adotar estratégias de comunicação eficazes, como, por exemplo, evitar o uso de redes sociais não empresariais para a comunicação.
Documentação: manter a documentação armazenada em local seguro, organizado e de fácil acesso, de modo a evitar ambiguidades.
Pessoal: atentar aos processos de recrutamento e seleção, estabelecendo contratos de sigilo de dados.
2º Desafio - Conceito e Valor da Informação
Em uma empresa, a informação é uma ferramenta-chave que está diretamente associada ao seu sucesso ou insucesso.
Você é gestor de uma grande empresa do setor calçadista e precisa preocupar-se em garantir a manutenção e a rentabilidade de seu negócio.
Assim, analise as seguintes informações e classifique-as de acordo com o seu grau de criticidade, justificando a sua resposta:
1) Design de novos sapatos.
2) Código utilizado para formulação da tinta que colore uma determinada linha de sapatos.
3) Número de funcionários da empresa.
4) CNPJ da empresa.
5) Tecnologia inovadora que está sendo inserida para melhorar o amortecimento de sapatos da linha esportiva.
6) Calendário de datas de lançamentos de novos produtos.
Padrão de resposta esperado
1) Design de novos sapatos: Confidencial, pois caso a concorrência conheça o desenho de um sapato que ainda não foi lançado, poderá lançar um similar e conquistar o mercado.
2) Código utilizado para formulação da tinta que colore uma determinada linha de sapatos: Interna, embora seja uma informação que deveria ser mantida dentro da empresa, não chega a causar impactos caso seja propagada, porque este código pode ser descoberto através de pesquisa e experimentação.
3) Número de funcionários da empresa: pública, a propagação desta informação não gera nenhum tipo de dado.
4) CNPJ da empresa: pública, a propagação desta informação não gera nenhum tipo de dado.
5) Tecnologia inovadora que está sendo inserida para melhorar o amortecimento de sapatos da linha esportiva: secreta, pois, caso a concorrência descubra, pode lançar o produto primeiro ou até patentiar a tecnologia, ganhando o mercado e causando prejuízos.
6) Calendário de datas de lançamentos de novos produtos: interna, embora seja importante que a concorrência não saiba exatamente as datas de lançamento de produtos, mas, caso isto ocorra não causará grandes danos.
_____________________________________________________________________________
3º Desafio - Criptografia Assimétrica
Seu colega de trabalho precisava escrever um algoritmo para cifrar um texto. Para isso, utilizou o seguinte código:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void cifraCesar(char *texto, int chave) ｛
    int i;
    int tam = strlen(texto);
    for (i = 0; i <= tam-1; i++) {
       char letra = texto[i];
        char letraCifrada = letra + chave;
        if (letra >= 65 && letra <= 90) { // trata letras maiusculas
            if (letraCifrada > 91) {
                letraCifrada = 65 + (letraCifrada - 91);
            ｝
        } else if (letra >= 97 && letra <= 122) { //trata letras minusculas
            if (letraCifrada > 123) {
                letraCifrada = 97 + (letraCifrada - 123);
            }
        }
        printf("%c",letraCifrada);
    }
}
int main() {
    cifraCesar("Adriana", 3);
    return 0;
}
No entanto, nas férias desse colega, seu chefe lhe chamou e pediu que melhorasse tal algoritmo, pois não ficara satisfatório. Então, você precisa analisá-lo e refazê-lo para que ele cifre e decifre o texto.
Padrão de resposta esperado
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void cifraCesar(char *texto, int chave, int tipo) ｛
    int i;
    int tam = strlen(texto);
    for (i = 0; i <= tam-1; i++) {
        char letra = texto[i];
        char letraCifrada;
        if (tipo == 0) {
            letraCifrada = letra + chave;
        ｝ else {
            letraCifrada = letra - chave;
        }
        if (letra >= 65 && letra <= 90) { // trata letras maiusculas
            if (letraCifrada > 91) {
                letraCifrada = 65 + (letraCifrada - 91);
            }
        } else if (letra >= 97 && letra <= 122) { //trata letras minusculas
            if (letraCifrada > 123) {
                letraCifrada = 97 + (letraCifrada - 123);
            }
        }
        printf("%c",letraCifrada);
​​​​​​​    }
}
int main() {
    cifraCesar("Dguldqd", 3,1);
    //cifraCesar("Adriana", 3,0);
    return 0;
} 
4º Desafio - Planejamento e Anatomia de Ataques
McClure et al (2014, p. 323) relata que, em 2009, empresas do setor de tecnologia e defesa dos Estados Unidos foram alvo de invasões em suas redes e em sistemas de gerenciamento de configuração de software comprometidos, resultando no roubo de informações altamente privilegiadas.
​​​​​​​
Somente em 2018, diversas notícias foram disseminadas na rede, ou seja, foram acessadas de maneira incorreta, sobre o vazamento e o acesso a dados confidenciais de usuários de redes sociais, aplicativos e empresas que utilizavam a coleta de informações de seus usuários.
Considerando que esse tipo de notícia se tornou recorrente, bem como o uso dos recursos tecnológicos em conjunto com os benefícios trazidos pelo acesso à rede de Internet, cite, no mínimo, cinco cuidados que devem ser tomados para que os usuários não sejam vítimas desse tipo de situação dentro de um ambiente corporativo ou pessoal.
Padrão de resposta esperado
De acordo com Fontes (2006, p. 134), a informação da organização é um bem valioso, motivo pelo qual necessita ser protegido e bem gerenciado. Cada usuário (funcionário, prestador de serviço) tem a obrigação profissional de cuidar da informação que utiliza. No dia a dia, é possível executar pequenas ações que proporcionam uma melhor proteção. Para isso, o autor destaca o seguinte:
1. Suspenda a sessão de trabalho toda vez que se ausentar do local onde se encontra o computador que você está utilizando. Para o ambiente Windows, digite ao mesmo tempo as três teclas: Ctrl Alt Delete.
2. Programe o computador que você utiliza para entrar em modo proteção de tela com exigência de senha após dez minutos (tempo sugerido) de não utilização.
3. Para documento classificado como confidencial ou que você considere de nível equivalente, guarde-o trancado em armário ou gaveta ,quando você não estiver utilizando nem estiver no local. Destrua-o fisicamente antes de colocá-lo no lixo.
4. Após cada reunião, não deixe nenhum tipo de informação no ambiente da sala: apague o quadro, retire as folhas de flip chart e destrua o mate- rial utilizadocomo rascunho.
5. Ao falar ao telefone ou por e-mail com pessoas externas à organização, certifique-se de que ela realmente é a pessoa que diz ser. Não forneça informação particular de outro usuário. Se necessário, faça você o contato com o usuário.
6. Ao receber um visitante, garanta que ele estará sempre acompanhado por alguém da organização durante sua estadia nas instalações físicas. Ao final, acompanhe a pessoa até a portaria.