Gestão de Segurança da Informação

Prévia do material em texto

Exercício 02
Questão 1
Correta
Questão com problema?
A empresa RentWeb S/A, que atua no ramo de Internet Data Center comercializando serviços em nuvem, possui um sistema de segurança da informação e comunicações (SIC) até que bem estruturado e com certa eficiência. Entretanto, vem enfrentando problemas de ataques a seus clientes, sendo que a maioria foi por falta de avaliação na implementação da política de segurança ou por falta de ação corretiva em algum mecanismo de defesa.
Interpretando a situação da RentWeb S/A, verifica-se que a empresa necessita melhorar a gestão de seus processos de SIC. Marque a alternativa que contém uma medida que a empresa poderia adotar para resolver suas questões.
Sua resposta
Correta
Empregar um Sistema de Gestão da Segurança da Informação (SGSI), conforme previsto na norma ABNT ISO/IEC 27001:2013.
Comentário
Como o problema da RentWeb S/A é na gestão de sua estrutura de SIC, pode ser empregado um Sistema de Gestão da Segurança da Informação (SGSI), conforme previsto na norma ABNT ISO/IEC 27001:2013, visando justamente estabelecer um padrão de gestão da SIC.
Questão 2
Correta
Questão com problema?
Buscando obter vantagem competitiva no mercado, várias empresas vêm adotando soluções baseadas em sistemas de informação para aprimorar seus processos de tomada de decisão no nível estratégico, visando optar por decisões mais rápidas e objetivas, baseadas em fatos concretos, com análise de uma grande quantidade de dados, com um mínimo de risco e custo e com o máximo de aproveitamento.
Imaginando que você fosse responsável, na empresa em que trabalha, por adotar uma solução que atingisse os objetivos citados no texto acima, qual sistema de informação você empregaria?
Sua resposta
Correta
Sistema de Inteligência de Negócio (BI).
Comentário
Essa é uma situação muito comum nas empresas atualmente, porque todos sentem necessidade de tomar decisões estratégicas muito precisas, com pouco custo e muito lucro. Então, além de seus Sistemas de Informações Gerenciais (SIG) e Sistemas de Apoio a Decisão (SAD), as organizações precisam empregar Sistemas de Inteligência de Negócio ou Business Intelligence (BI).
Questão 3
Correta
Questão com problema?
Realizar a Segurança da Informação e Comunicações (SIC) envolve reconhecer exatamente o valor da informação e como está sendo feita a sua gestão (GI), para identificar possíveis vulnerabilidades ou fragilidades nesse processo; como essas vulnerabilidades podem ser exploradas; e quais ameaças podem investir sobre a informação, valendo-se dessas vulnerabilidades, podendo causar consequências e impactos para a organização.
No caso da realização de um ataque de negação de serviço a um site de comércio eletrônico, interrompendo propositalmente as vendas pela Internet e gerando prejuízos a empresa, em relação à Segurança da Informação e Comunicações (SIC), ocorreu um(a):
Sua resposta
Correta
Incidente de SIC.
Comentário
Uma ocorrência que viola um ou mais princípios da SIC, via de regra, intencionalmente e que compromete o negócio ou atividade da empresa gerando consequências indesejáveis e prejudiciais, como é o caso do ataque de negação de serviço a um site de comércio eletrônico, é denominado incidente de segurança da informação.
Questão 4
Correta
Questão com problema?
Para minimizar o impacto do ataque do WannaCry e tranquilizar os internautas, os órgãos governamentais de diversos países anunciaram as medidas que estavam tomando para normalizar a situação e retomar suas rotinas; ao passo que as empresas privadas anunciaram que disponibilizariam atualizações para eliminar a vulnerabilidade explorada pelo vírus e patches de soluções para reparar os danos causados pelo ataque, permitindo aos usuários vitimados pelos hackers acessarem seus arquivos novamente.
Interpretando o que foi exposto no texto acima, em relação ao caso WannaCry, podemos afirmar que:
Sua resposta
Correta
Tanto o setor público, quanto o setor privado cumpriram exatamente os seus papéis.
Comentário
A cibersegurança envolve uma preocupação tanto do setor público, como do setor privado, uma vez que é encarado como um fenômeno global e que afeta todos os ramos da sociedade. Cabendo ao setor público convergir órgãos de sua estrutura para combater o crime cibernético, praticando a cibersegurança e garantindo um ciberespaço protegido. De igual maneira, cabe ao setor privado realizar parcerias e investimentos para combater as ameaças cibernéticas e contribuir com o setor público na construção da cibersegurança. Assim sendo, no caso WannaCry, tanto o setor público, quanto o setor privado cumpriram muito bem os seus papéis em relação à manutenção da cibersegurança.
Questão 5
Correta
Questão com problema?
Segundo o gráfico de estatísticas abaixo, elaborado pelo Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil (CERT.br), as ameaças mais comuns, em 2015, foram os worms, os DoS, as invasões, os scan e as fraudes, responsáveis, logicamente, pela maioria dos ataques provenientes da internet no Brasil.Gráfico – Incidentes Reportados ao CERT.br por tipos de ataque
Com base nas estatísticas do CERT.br, analise as afirmativas abaixo:I – O firewall deve ser o principal mecanismo de defesa de uma rede.II – A integridade das informações é atacada por quase ¼ das ameaças.III – As páginas dos sites na internet são os principais alvos dos atacantes. IV – Embora a busca por um alvo seja intensa, as invasões propriamente ditas não são expressivas.Assinale a alternativa que contém somente as assertivas corretas.
Sua resposta
Correta
I e IV.
Comentário
Como o scan é mais da metade dos ataques, o firewall passa a ser o principal mecanismo de defesa de uma rede; as fraudes são responsáveis por quase ¼ das ameaças e visam lesar as pessoas e não violar a integridade das informações; os ataques às páginas web são menos de 10% do total, não se configurando como os principais alvos dos atacantes; e, por fim, embora a busca por um alvo seja intensa, mais da metade das ocorrências são scans, as invasões propriamente ditas não são expressivas, ficando abaixo de 1% dos ataques. Portanto, está correto o que se afirma em I e IV.
image1.png