SEGURANÇA DA INFORMAÇÃO - EXERCÍCICOS E DESAFIOS

Prévia do material em texto

Desafio
Imagine que você é responsável pelo departamento de Tecnologia da Informação (TI) de um banco e foi verificada a necessidade de alinhar as estratégias de negócio da empresa, padrões e procedimentos já existentes com as estratégias da área de TI. Tendo com foco principal a proteção das informações pessoais dos clientes, que atualmente estão desprotegidas.
Você deverá sinalizar quais os procedimentos a serem adotados para alinhar as estratégias do negócio e de TI, bem como definir procedimentos para segurança dos dados pessoais dos clientes.
Sua resposta
Inicialmente, empregaria a prática dos três pilares voltados a segurança da informação, que são: Confidencialidade; Integridade; disponibilidade. Por conseguinte, inseriria em conjunto com a política da empresa a utilização das normas contidas no ISO 27000 que é uma das mais utilizadas nas empresas de TI, tornando-se assim, uma boa prática no ambiente de trabalho e atingindo o ambiente externo a este. 
Enviado em: 18/02/2023 19:21
Padrão de resposta esperado
Será necessário criar políticas, normas e procedimentos de segurança da informação para alinhar as diretrizes do departamento de TI com as estratégias de negócio da empresa a fim de proteger os dados dos clientes.
Deverá ser elaborada a Política de Segurança da Informação (PSI), documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o sistema de segurança da informação que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam dessas informações para realizar suas atividades dentro da empresa.
Um sistema de segurança da informação baseia-se em três princípios básicos: confidencialidade, integridade e disponibilidade. Ao se falar em segurança da informação, deve-se levar em consideração esses princípios, pois toda ação que venha a comprometer qualquer um deles, estará atentando contra a segurança da informação.
UNISDADE 1
Desafio
Sendo assim:
a) Cite quais são os primeiros passos para descobrir o que realmente aconteceu. 
b) Esclareça como se deve agir em um caso como esse, em que o ataque partiu da rede interna da empresa, e não de fora.
Padrão de resposta esperado
a) Primeiramente, é necessário correlacionar os logs de firewall, antivírus, IDS e Exchange, para descobrir os caminhos pelos quais esse malware passou. Caso a empresa possua uma ferramenta de gerenciamento integrado, isso facilita a verificação desses logs, pois ela automaticamente correlaciona os eventos de ataque e envia alertas, as vezes até mesmo tomando ações, de acordo com as políticas estabelecidas.
Se as ferramentas são independentes e não possuem gerenciamento integrado e centralizado, essa tarefa passa a ser mais manual. Então, analisam-se os eventos de log do antivírus, do Exchange e do IDS. Como é um ataque interno, o firewall passa a não ser o alvo nesse momento.
Traçando-se o caminho do vírus, torna-se mais fácil descobrir como ele entrou na rede e quando e por que se auto executou.
b) Quando o ataque parte da rede interna da empresa, é necessário agir em algumas frentes:
• possuir ferramentas para analisar o ambiente internamente, como um IDS e um bom antivírus, conforme citado;
•​​​​​​​ entender o que aconteceu e como ele entrou, ou seja, de onde partiu e como, conforme citado anteriormente; 
•​​​​​​​ é muito importante conscientizar e reforçar a conscientização dos colaboradores da empresa. 
Nem sempre as ferramentas, por mais sofisticadas que sejam, serão suficientemente eficientes. Então, a conscientização se torna uma parte fundamental de um ambiente mais seguro.
Então, foi chamado para indicar o que poderia ser feito a fim de que as atitudes dos colaboradores fossem restringidas. Afinal, verificou-se, também, que inúmeros malwares e spywares foram baixados a partir das ações realizadas. Portanto, indique quais serão suas ações a fim de evitar que continuem sendo efetivadas tais práticas.
Padrão de resposta esperado
Primeiramente, como há caso de determinado funcionário acessando a máquina de um colega sem autorização, o indicado é empregar a política de senhas, indicando quantidade de 8 caracteres numéricos e alfanuméricos que expirará em 3 meses.
Após, todos os colaboradores devem ser conscientizados sobre o acesso ao e-mail por meio da seguinte política:
* Não abram anexos com as extensões .bat e .exe se não tiverem certeza absoluta de que solicitaram este e-mail.
* Desconfiem de e-mails que não são de remetentes confiáveis e conhecidos.
* Não utilizem o e-mail da empresa para assuntos pessoais.
Por fim, apresentar e explicar-lhes o uso da internet nas estações de trabalho:
* O uso recreativo da Internet não deverá se dar no horário de expediente.
* Somente navegação de sites é permitida.
* Acesso a sites com conteúdo pornográfico, jogos e bate-papo não são autorizados.
* É proibido o uso de ferramentas como Kazaa, Morpheus (P2P).
Tendo em vista o objetivo de que essa última política de segurança seja respeitada, será configurado um proxy, permitindo acesso apenas a sites considerados confiáveis para a empresa.
4. 
Um sistema de gerenciamento de confiança consiste em dois componentes principais: linguagem de política e verificador de conformidade. Assinale a alternativa que melhor define o KeyNote.
DESAFIO
Considere uma empresa que recentemente passou por problemas de segurança da informação. Um dos funcionários do setor de produção salvou diversas imagens de um novo produto da empresa, o qual seria divulgado para o mercado apenas na semana seguinte. Em seguida, o funcionário compartilhou as fotos com amigos em um aplicativo de mensagens on-line. Em pouco tempo, as fotos foram postadas em diversas redes sociais, o que fez com que a empresa antecipasse o lançamento do produto para que os concorrentes não se aproveitassem da situação. Se você fosse o diretor da empresa, quais ações implementaria para eliminar ou pelo menos dificultar este tipo de situação? Cite pelo menos três ações práticas. Padrão de resposta esperado
Elaboração e divulgação de uma cartilha de uso dos dispositivos eletrônicos particulares no ambiente organizacional, com regras claras a serem seguidas por todos os funcionários.
• Realização de palestras para os funcionários sobre o uso adequado dos recursos tecnológicos na empresa.
• Monitoramento dos dados trafegados pelos dispositivos eletrônicos pessoais na rede interna da empresa.
UNIDADE 2
Desafio
Os vírus são os principais exemplos de malwares que infectam os computadores de uma rede. O uso do termo “vírus” ocorre porque esses softwares (códigos de computador) têm grande capacidade de se integrar e infectar outros programas sem que o usuário perceba ou esteja ciente desta infecção. Quando o usuário executa o software infectado, o vírus se espalha causando diversos danos. Realize uma pesquisa sobre as seguintes ameaças aos ambientes de Tecnologia de Informação (TI):
- Spyware.
- Adware.
- Spam.
- Phishing.
Para cada ameaça, você deverá apresentar o seu conceito, a forma de infecção e os recursos disponíveis atualmente para evitar ou retirar a contaminação.
Padrão de resposta esperado
Você poderá propor respostas similares a estas:
Spyware: são programas espiões cujo objetivo principal é coletar informações sobre as atividades executadas em um computador e transmiti-las para alguma entidade externa na internet. Sua infecção ocorre normalmente pela instalação em conjunto de programas baixados da internet. Para removê-los, deve-se utilizar algum programa antispyware.
Adware: são programas que mostram na tela do usuário propagandas indesejadas e endereços de sites falsos. Sua infecção também ocorre normalmente em conjunto com a instalação de programas de livre download. Os programas antispyware, em sua maioria, também eliminam os programas Adware.
Spam: são e-mails não solicitados e normalmente enviados para um grandenúmero de destinatários. Sua disseminação ocorre exclusivamente via internet, meio no qual os e-mails trafegam. Existem ferramentas específicas implementadas pelos serviços de e-mail que barram as mensagens identificadas como spam, arquivando-as em uma pasta separada da caixa de entrada do usuário.
Phishing: esta é uma forma de fraude eletrônica que tenta adquirir dados pessoais dos usuários, tais como senhas e números de cartão de crédito. Muitas vezes, essa fraude ocorre por meio de sites falsos que se parecem bastante com os sites verdadeiros, enganando as pessoas que os acessam. Existem ferramentas on-line que permitem fazer a varredura de um site e analisar se ele realmente é verdadeiro.
DESAFIO
Assim, analise as seguintes informações e classifique-as de acordo com o seu grau de criticidade, justificando a sua resposta:
1) Design de novos sapatos.
2) Código utilizado para formulação da tinta que colore uma determinada linha de sapatos.
3) Número de funcionários da empresa.
4) CNPJ da empresa.
5) Tecnologia inovadora que está sendo inserida para melhorar o amortecimento de sapatos da linha esportiva.
6) Calendário de datas de lançamentos de novos produtos.
Padrão de resposta esperado
1) Design de novos sapatos: Confidencial, pois caso a concorrência conheça o desenho de um sapato que ainda não foi lançado, poderá lançar um similar e conquistar o mercado.
2) Código utilizado para formulação da tinta que colore uma determinada linha de sapatos: Interna, embora seja uma informação que deveria ser mantida dentro da empresa, não chega a causar impactos caso seja propagada, porque este código pode ser descoberto através de pesquisa e experimentação.
3) Número de funcionários da empresa: pública, a propagação desta informação não gera nenhum tipo de dado.
4) CNPJ da empresa: pública, a propagação desta informação não gera nenhum tipo de dado.
5) Tecnologia inovadora que está sendo inserida para melhorar o amortecimento de sapatos da linha esportiva: secreta, pois, caso a concorrência descubra, pode lançar o produto primeiro ou até patentiar a tecnologia, ganhando o mercado e causando prejuízos.
6) Calendário de datas de lançamentos de novos produtos: interna, embora seja importante que a concorrência não saiba exatamente as datas de lançamento de produtos, mas, caso isto ocorra não causará grandes danos.
3. 
As empresas classificam as informações conforme suas necessidades e prioridades. Assinale a alternativa que contém a classificação correta das informações
Desafio
Seu colega de trabalho precisava escrever um algoritmo para cifrar um texto. Para isso, utilizou o seguinte código:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void cifraCesar(char *texto, int chave) ｛
    int i;
    int tam = strlen(texto);
    for (i = 0; i <= tam-1; i++) {
       char letra = texto[i];
        char letraCifrada = letra + chave;
        if (letra >= 65 && letra <= 90) { // trata letras maiusculas
            if (letraCifrada > 91) {
                letraCifrada = 65 + (letraCifrada - 91);
            ｝
        } else if (letra >= 97 && letra <= 122) { //trata letras minusculas
            if (letraCifrada > 123) {
                letraCifrada = 97 + (letraCifrada - 123);
            }
        }
        printf("%c",letraCifrada);
    }
}
int main() {
    cifraCesar("Adriana", 3);
    return 0;
}
No entanto, nas férias desse colega, seu chefe lhe chamou e pediu que melhorasse tal algoritmo, pois não ficara satisfatório. Então, você precisa analisá-lo e refazê-lo para que ele cifre e decifre o texto.
Padrão de resposta esperado
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void cifraCesar(char *texto, int chave, int tipo) ｛
    int i;
    int tam = strlen(texto);
    for (i = 0; i <= tam-1; i++) {
        char letra = texto[i];
        char letraCifrada;
        if (tipo == 0) {
            letraCifrada = letra + chave;
        ｝ else {
            letraCifrada = letra - chave;
        }
        if (letra >= 65 && letra <= 90) { // trata letras maiusculas
            if (letraCifrada > 91) {
                letraCifrada = 65 + (letraCifrada - 91);
            }
        } else if (letra >= 97 && letra <= 122) { //trata letras minusculas
            if (letraCifrada > 123) {
                letraCifrada = 97 + (letraCifrada - 123);
            }
        }
        printf("%c",letraCifrada);
​​​​​​​    }
}
int main() {
    cifraCesar("Dguldqd", 3,1);
    //cifraCesar("Adriana", 3,0);
    return 0;
} 
1. 
Leia as opções abaixo e indique o tipo de criptografia no qual a chave para cifrar e decifrar é compartilhada entre remetente e destinatário.
2. 
Analise as alternativas a seguir e marque a que corresponde ao modo de utilização das chaves na criptografia assimétrica.
3. 
A criptografia assimétrica utiliza de chaves e algoritmos para criptografar e descriptografar.
A seguir, temos opções de algoritmos que podem ser empregados. Verifique as alternativas e marque a que corresponde aos algoritmos usados na criptografia assimétrica.
4. 
Analise o texto a seguir.
"O usuário Carlos deseja enviar um e-mail para Adriana de modo seguro. Para isso, ele utilizará a criptografia assimétrica a fim de cifrar o conteúdo da mensagem."
Marque a alternativa que descreve o processo a ser efetuado por ambos a fim de realizar a operação. 
DESAFIO
Você é o profissional responsável pela segurança da informação da empresa onde trabalha, que, atualmente, tem sofrido com ataques constantes de engenheiros sociais. Os gestores da empresa perguntaram a você o que pode ser feito para evitar esse tipo de ataque, e agora você precisa pensar em algo que diminua sua incidência. O que você faria?
Padrão de resposta esperado
Deve ser elaborado um conjunto de boas práticas na utilização da estação de trabalho de cada funcionário para evitar que os próprios usuários permitam as invasões às máquinas da rede.
Além disso, é necessária a instalação de programas antivírus em cada uma das máquinas da rede e que, no mínimo, sejam ativadas as funções de firewall disponibilizadas pelo sistema operacional.
Os usuários devem ser estimulados a negar o fornecimento de qualquer informação por telefone, não expor informações da vida profissional nas redes sociais nem abrir ou interagir com e-mails que recebam de remetentes desconhecidos.
1. 
Quais são os pilares da segurança da informação?
2. 
Quais são os tipos de mecanismos de segurança utilizados na segurança da informação?
3. 
O que é phishing?
4. 
O que são ataques do tipo scan?
5. 
Assinale a alternativa que contém técnicas de defesa para ataques a informações.
UNIDADE 3
DESAFIO
Diante desse cenário, você, como funcionário da área de segurança da informação da empresa, foi chamado para auxiliar na resolução do problema. Informe qual será a sua decisão frente à situação exposta.
Padrão de resposta esperado
Como profissional de segurança da informação, propõe o uso de um servidor proxy, muito comum para prevenir ataques de negação de serviço, atuando como ponte entre a Internet e as máquinas da rede. Além disso, filtra o tráfego indesejado e deixa passar o verdadeiro.
Esse servidor deve ser configurado com bloqueio de acesso às redes sociais e a sites de vídeos, como o YouTube. Além disso, é ideal que se configure também restrição a outras páginas de conteúdo indevido dentro do contexto empresarial, como as de pornografia.
1. 
Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da informação?
3. 
Quais são os 2 tipos gerais de ataques de negação de serviço?
4. 
São formas de ataque ou subdivisões dos ataques de negação de serviço:
5. 
Uma das medidas mais comuns para prevenir um ataque de negação de serviço é a utilização de servidores proxy. Como ele funciona?
DESAFIO
Somente em 2018, diversas notícias foram disseminadas na rede, ou seja, foram acessadas de maneira incorreta, sobre o vazamento e o acesso a dados confidenciais de usuários de redes sociais, aplicativos e empresas que utilizavam a coleta de informações de seususuários.
Considerando que esse tipo de notícia se tornou recorrente, bem como o uso dos recursos tecnológicos em conjunto com os benefícios trazidos pelo acesso à rede de Internet, cite, no mínimo, cinco cuidados que devem ser tomados para que os usuários não sejam vítimas desse tipo de situação dentro de um ambiente corporativo ou pessoal.
Padrão de resposta esperado
De acordo com Fontes (2006, p. 134), a informação da organização é um bem valioso, motivo pelo qual necessita ser protegido e bem gerenciado. Cada usuário (funcionário, prestador de serviço) tem a obrigação profissional de cuidar da informação que utiliza. No dia a dia, é possível executar pequenas ações que proporcionam uma melhor proteção. Para isso, o autor destaca o seguinte:
1. Suspenda a sessão de trabalho toda vez que se ausentar do local onde se encontra o computador que você está utilizando. Para o ambiente Windows, digite ao mesmo tempo as três teclas: Ctrl Alt Delete.
2. Programe o computador que você utiliza para entrar em modo proteção de tela com exigência de senha após dez minutos (tempo sugerido) de não utilização.
3. Para documento classificado como confidencial ou que você considere de nível equivalente, guarde-o trancado em armário ou gaveta ,quando você não estiver utilizando nem estiver no local. Destrua-o fisicamente antes de colocá-lo no lixo.
4. Após cada reunião, não deixe nenhum tipo de informação no ambiente da sala: apague o quadro, retire as folhas de flip chart e destrua o mate- rial utilizado como rascunho.
5. Ao falar ao telefone ou por e-mail com pessoas externas à organização, certifique-se de que ela realmente é a pessoa que diz ser. Não forneça informação particular de outro usuário. Se necessário, faça você o contato com o usuário.
6. Ao receber um visitante, garanta que ele estará sempre acompanhado por alguém da organização durante sua estadia nas instalações físicas. Ao final, acompanhe a pessoa até a portaria.
1. 
É notório que, com o passar dos tempos, a tecnologia evoluiu significantemente e nos trouxe diversos benefícios. Em contrapartida, estamos susceptíveis a diversos tipos de ataques. Selecione, dentre as opções a seguir, os conceitos referentes ao ataque denominado ativo.​​​​​​​
2. 
Alguns ataques são extremamente difíceis de serem detectados, pois o tráfego de mensagens ocorre, aparentemente, de maneira normal. A análise do tráfego é uma ação que pode exemplificar esse tipo de ataque. Assinale a alternativa que se enquadra nas definições aqui citadas.​​​​​​​
3. 
Todos nós já passamos por uma situação em que, quando acessamos a nossa conta de e-mail, nos deparamos com mensagens indesejadas. Esse tipo de ação recebe um nome. Qual é?
	
4. 
Existem diversos tipos de ataques, dentre eles os direcionados às organizações, sempre com o intuito de obter informações pessoais. Nesse caso, destacam-se os que envolvem transações financeiras. Assinale a alternativa que traz a expressão definida para ataques com esse tipo de perfil.​​​​​​​
DESAFIO
Padrão de resposta esperado
Deve ser indicado ao analista desenvolvedor a certificação Certified Secure Programmer (CSP), pois ela atesta que o profissional tem a capacidade de desenvolver código de programação com alta qualidade, utilizando as melhores práticas de programação existentes, com o intuito de proteger as informações contra vulnerabilidades, uma vez que a maior parte das ameaças aos softwares são provenientes de erros de programação e códigos mal escritos.
1. 
1.    Por que os clientes podem vir a exigir, para fechar um negócio, que as organizações sejam certificadas ou demonstrem sua vinculação a uma norma ou padrão internacional?
2.    São exemplos de macroáreas estabelecidas na Norma 17799
 
4.    Para um profissional, para que serve uma certificação em segurança da informação?
 
5.    Qual é a certificação mais adequada para quem está começando como profissional de segurança da informação?
DESAFIO
Considere que você é um profissional que trabalha na área de segurança de informação de uma empresa desenvolvedora de software para lojas virtuais que vendem vestuário e calçados pela Internet. Você foi escolhido para participar, juntamente com colegas desenvolvedores e testadores de softwares, dos testes relativos à segurança de um sistema novo, que vai cuidar do cadastro e do controle das vendas e entregas dos produtos adquiridos pelos clientes, e que deverá ser implantado em breve. 
Sua tarefa é indicar o método de teste de segurança mais adequado para ser utilizado na avaliação do novo sistema, considerando que ele é dotado de várias telas de entrada de dados que deverão ser inseridos pelos usuários.
Padrão de resposta esperado
Você, como profissional da área de segurança de informação, deve indicar o método de testes de segurança chamado injeção de código, que tem como propósito principal a identificação de códigos de sistemas que apresentem vulnerabilidades quando os usuários informam algo e não existe tratamento adequado para a informação inserida. 
1. 
São problemas reais de segurança da informação:
3. 
Por que o fator humano é tão importante para a segurança da informação?
4. 
O que é engenharia social?
5. 
São métodos de testes de segurança da informação:
Pergunta 1
0/10
O certificado digital que contém um conjunto de dados criptografados, garantindo a integridade e a autenticidade do documento associado, mas não a sua total confidencialidade é a descrição de:
Ocultar opções de resposta 
1. 
Hashing
2. 
Honeypot
3. 
Assinatura digital
Resposta correta
4. Incorreta:
Algoritmo de criptografia
1. Pergunta 2
0/10
É importante ter a noção de que nenhum tipo de barreira ou proteção vai fazer com que a segurança da informação seja 100% garantida. Das opções abaixo, não é um mecanismo de defesa muito conhecido:
Ocultar opções de resposta 
1. 
Criptografia.
2. Incorreta:
Honeypot.
3. 
Biometria.
4. 
Scanner.
Resposta correta
2. Pergunta 3
0/10
Qual o pilar da segurança que garante que a informação seja alterada somente de forma autorizada, sendo mantida correta e completa:
Ocultar opções de resposta 
1. Incorreta:
Confidencialidade.
2. 
Autenticidade.
3. 
Disponibilidade.
4. 
Integridade.
Resposta correta
3. Pergunta 4
0/10
A forma mais comum de fazer uso do acesso remoto é por meio de uma rede privada virtual, ou Virtual Private Network (VPN). Sobre as VPNs, está incorreto afirmar que:.
Ocultar opções de resposta 
1. 
A VPN conecta dispositivos para que eles possam compartilhar conteúdo entre si, por meio da criptografia e da codificação de informações
2. 
Os dados chegam ao seu destinatário criptografados e assim são acessados pelo usuário autorizado.
Resposta correta
3. Incorreta:
A VPN tem um custo menor do que se for utilizada outra opção de acesso remoto, como a aquisição de equipamentos wireless ou a conexão por cabo de rede.
4. 
a VPN estabelece uma ligação entre o dispositivo e o servidor requerido, como se fosse um caminho protegido.
4. Pergunta 5
10/10
Certificado digital e Assinatura digital é a mesma coisa? Explique.
Sua resposta
são diferentes, visto que, o certificado digital são como documentos físicos que usamos como RG, CPF ou CNH, porém para o uso de forma digital. Já a assinatura digital é como se fosse uma assinatura autenticada. O que ambas coisas tem em comum é que servem para autenticar ou validar documentos criados em plataformas digitais.
5. Pergunta 6
10/10
Qual a relação do valor da informação com a segurança da informação?
Sua resposta
Como a informação é bem mais valioso de uma empresa, pois, dados são valiosos, e em um mundo totalmente conectado, os dados que podem ser transformados em informações, podem ocasionar grandes prejuízos e até mesmo o fim da empresa. logo, a Segurança da Informação (SI) tem o papel de proteção assim como, a confiabilidade. Garantindo que a empresa mais segura.