Exercicios Capitulo 14 __ ____Farias,Ovídio José

Prévia do material em texto

Exercicios Capitulo 14 Farias,Ovídio José
14.1 Explique como as estratégias complementares de resistência,
reconhecimento, recuperação e restabelecimento podem ser utilizadas para
proporcionar resiliência de sistemas.
R: As estratégias complementares de resistência, reconhecimento, recuperação e
restabelecimento podem ser utilizadas para proporcionar resiliência de sistemas. A
estratégia de resistência se concentra na prevenção de interrupções e falhas, a
estratégia de reconhecimento se concentra na detecção precoce de falhas, a estratégia
de recuperação se concentra na restauração do sistema após uma falha e a estratégia de
restabelecimento se concentra na restauração do sistema para um estado funcional
normal após uma falha. Ao utilizar essas estratégias em conjunto, os sistemas podem
se tornar mais resilientes e capazes de lidar com interrupções e falhas.
14.2 Explique como a redundância e a diversidade podem ser utilizadas para
aumentar a capacidade de um sistema de resistir a ciberataques que possam
corromper ou danificar seus ativos.
R: A redundância e a diversidade são estratégias que podem ser utilizadas para
aumentar a capacidade de um sistema de resistir a ciberataques que possam corromper
ou danificar seus ativos. A redundância envolve a cópia de dados ou recursos em um
ou mais locais, enquanto a diversidade envolve a utilização de componentes diferentes
em um sistema. Ao combinar essas estratégias, o sistema se torna mais resistente a
ciberataques e pode limitar o impacto de possíveis ataques.Além disso, a redundância
e a diversidade podem ser usadas para limitar o impacto de ciberataques em um
sistema. Por exemplo, se um ataque comprometer um componente do sistema, outros
componentes podem ser usados para limitar a extensão do dano e impedir que o
ataque se espalhe por todo o sistema.
14.3 0 que é uma organização resiliente? Explique como o modelo de Hollnagel
exibido na Figura 14.4, é uma base eficaz para melhorar a resiliência das
organizações.
R:
Uma organização resiliente é aquela que é capaz de se adaptar a mudanças, lidar com
interrupções e incertezas, e se recuperar rapidamente de eventos adversos. Em outras
palavras, é uma organização que pode resistir, absorver, adaptar-se e recuperar-se de
perturbações e desafios.
O modelo de Hollnagel enfatiza a importância de considerar os fatores humanos no
projeto de sistemas e processos organizacionais. Ele argumenta que os trabalhadores
devem ser vistos como recursos, e não como fontes de falhas, e que suas habilidades e
experiências devem ser valorizadas e utilizadas para melhorar a resiliência das
organizações.
Em resumo, o modelo de Hollnagel é uma base eficaz para melhorar a resiliência das
organizações, pois enfatiza a importância de projetar sistemas e processos
organizacionais para serem resilientes e de valorizar as habilidades e experiências dos
trabalhadores. Isso pode ajudar as organizações a se adaptar a mudanças, lidar com
interrupções e incertezas, e se recuperar rapidamente de eventos adversos.
14.4 Um hospital propõe introduzir uma política de que qualquer membro da
equipe clínica (médicos ou profissionais de enfermagem) que aja ou autorize
ações que levem um paciente a se machucar estará sujeito a acusações penais.
Explique por que essa é uma má ideia, que provavelmente não vai aumentar a
segurança do paciente, e por que tende a afetar de maneira adversa a resiliência
da organização.
R: Introduzir uma política que ameace a punição dos membros da equipe clínica por
erros que levem a danos aos pacientes pode ser uma má ideia e não aumentar a
segurança do paciente. Essa abordagem pode criar uma cultura de culpa e medo,
inibindo a comunicação aberta e prejudicando o desempenho da equipe. É necessário
adotar uma abordagem mais sistêmica para melhorar a segurança do paciente,
identificando e corrigindo as causas fundamentais dos erros. Isso pode incluir o
incentivo a uma cultura de comunicação aberta, aprendizagem contínua e a
implementação de sistemas e processos organizacionais que apoiem a segurança do
paciente.
14.5 Sugira três camadas defensivas que poderiam ser incluídas em um sistema
de informações para proteger dados de alterações feitas por pessoas não
autorizadas para tal.
R: Autenticação forte: A primeira camada de defesa deve garantir que apenas usuários
autorizados possam acessar o sistema. Isso pode ser feito com a implementação de
autenticação forte, como a combinação de senha forte, autenticação de dois fatores ou
biometria. Autenticação forte torna mais difícil para os invasores comprometerem
credenciais de login e acessar o sistema sem permissão.
Controle de acesso baseado em função: A segunda camada de defesa deve garantir
que os usuários só tenham acesso aos dados que precisam para realizar suas funções.
Isso pode ser alcançado por meio de controle de acesso baseado em função, onde as
permissões de acesso são atribuídas com base nas funções e responsabilidades dos
usuários. Isso ajuda a limitar o acesso não autorizado a dados confidenciais e protege
contra mudanças não autorizadas.
Monitoramento e auditoria: A terceira camada de defesa deve monitorar e registrar
todas as atividades de usuários no sistema. Isso inclui registrar tentativas de login,
acesso a dados e alterações feitas nos dados. O monitoramento e auditoria permitem a
detecção de atividades suspeitas e permitem uma resposta rápida a possíveis
violações. Também ajuda na análise de incidentes de segurança e pode ajudar na
identificação de áreas que precisam de melhorias de segurança.
Re
14.6 Explique por que a inflexibilidade dos processos pode inibir a capacidade de
um sistema sociotécnico de resistir e se recuperar de eventos adversos, como
ciberataques e falha de software. Se tiver exemplos pessoais de inflexibilidade de
processos, ilustre a sua resposta com exemplos de sua experiência.
R:
A inflexibilidade dos processos pode inibir a capacidade de um sistema sociotécnico
de resistir e se recuperar de eventos adversos, como ciberataques e falha de software,
porque processos inflexíveis não permitem uma resposta ágil e adaptativa a situações
imprevistas. Em sistemas sociotécnicos, a interação entre pessoas e tecnologias é
fundamental para a eficácia e resiliência do sistema. A rigidez dos processos pode
restringir a comunicação e a colaboração entre as partes interessadas, dificultando a
coordenação e a tomada de decisões rápidas em situações de crise. Além disso, a
inflexibilidade pode limitar a capacidade de aprendizado e melhoria contínua do
sistema, o que é crucial para aprimorar a resiliência do sistema. Para lidar com eventos
adversos, como ciberataques e falhas de software, é importante que o sistema seja
flexível e adaptável, capaz de lidar com situações imprevistas e se recuperar
rapidamente. Isso pode ser alcançado por meio da implementação de processos
flexíveis, do desenvolvimento de uma cultura de comunicação aberta e colaboração, e
da adoção de práticas de aprendizado contínuo para melhorar a resiliência do sistema.
14.7 Sugira como a abordagem para a engenharia de resiliência, que propus na
Figura 14.9, poderia ser utilizada em conjunto com um processo de
desenvolvimento ágil para o software no sistema. Quais problemas poderiam
surgir com o uso do desenvolvimento ágil em sistemas nos quais a resiliência é
um fator importante?
R:
A abordagem de engenharia de resiliência pode ser usada em conjunto com um
processo de desenvolvimento ágil de software para aumentar a resiliência do sistema.
A engenharia de resiliência enfoca a prevenção, detecção, recuperação e adaptação a
eventos adversos para garantir que o sistema possa continuar a operar efetivamente,
mesmo diante de falhas ou perturbações. O desenvolvimento ágil de software, por
outro lado, é um processo iterativo e incremental que permite ao desenvolvedor
adaptar rapidamente o software às necessidades do cliente e às mudanças nos
requisitos.
Uma maneira de incorporar a abordagem de engenharia de resiliência em um processo
de desenvolvimento ágil é integrar aengenharia de resiliência no processo de
desenvolvimento em si. Isso pode incluir a realização de testes de resiliência e análise
de impacto de falhas em cada etapa do desenvolvimento do software, bem como a
implementação de técnicas de redundância e diversidade de recursos para garantir que
o sistema possa se recuperar de falhas.
14.9 Na Figura 14.11, sugeri uma série de eventos adversos que poderiam afetar o
sistema Mentcare. Esboce um plano de teste para esse sistema, que estabeleça
como você poderia testar a capacidade do sistema Mentcare para reconhecer,
resistir e se recuperar desses eventos.
R:
Interrupção de energia: Isso pode acontecer devido a falhas no fornecimento de
energia ou problemas com o gerador de backup.
Problemas com o hardware: Isso pode incluir falhas no servidor, disco rígido, rede,
etc.
Ataques cibernéticos: Isso inclui ataques de vírus, malware, phishing, engenharia
social, entre outros.
Problemas de software: Isso pode incluir erros de codificação, problemas de
compatibilidade, problemas com atualizações, entre outros.
Desastres naturais: Isso inclui tempestades, terremotos, incêndios, etc.
Um plano de teste para o sistema Mentcare deve incluir as seguintes etapas:
-Identificação dos eventos adversos: A equipe responsável pelo sistema Mentcare
deve identificar todos os eventos adversos que podem afetar o sistema.
Preparação de cenários de teste: A equipe deve criar cenários de teste para cada evento
adverso identificado.
- Execução dos testes: A equipe deve executar os testes, simulando cada evento
adverso e avaliando como o sistema Mentcare responde.
- Análise dos resultados: A equipe deve avaliar os resultados dos testes e identificar
pontos fracos no sistema.
- Melhoria do sistema: A equipe deve implementar medidas de melhoria para tornar o
sistema Mentcare mais resistente e capaz de reconhecer e se recuperar de eventos
adversos.
Revisão do plano de teste: O plano de teste deve ser revisado regularmente para
garantir que ele esteja atualizado com as últimas ameaças e melhorias no sistema
Mentcare.
É importante que o sistema Mentcare seja testado de maneira rigorosa para garantir
que ele esteja preparado para lidar com eventos adversos e proteger informações
confidenciais dos pacientes.
14.10 Uma gerente sênior em uma empresa está preocupada com ataques
internos aos ativos de TI, perpetrados por funcionários descontentes. Como parte
do programa de melhoria da resiliência, ela propõe a introdução de um sistema
de registro e análise de dados para capturar e analisar todas as ações dos
funcionários, mas sem que eles saibam. Discuta a ética de introduzir esse tipo de
sistema e de fazê-lo sem avisar os usuários do sistema.
R: A implementação de um sistema de registro e análise de dados para monitorar
funcionários sem avisá-los pode ser invasivo e violar a privacidade. A decisão deve
ser cuidadosamente avaliada equilibrando a necessidade de proteger ativos da empresa
e a ética e privacidade dos funcionários. Uma política clara e transparente é
importante, incluindo o tipo de informações coletadas e como os funcionários serão
informados sobre o monitoramento.