Prova Discursiva SSI Resolvida

Prévia do material em texto

Prova Discursiva - Segurança em Sistemas de Informação 
Questão 1/5 - Segurança em Sistemas de Informação 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetiva. O que significa uma política de segurança da informação compliance? 
Significa atuar em conformidade com a lei, alinhar com as boas práticas de governança corporativa e adequar-se as normas e regulamentos.
 Questão 2/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização às estratégias de segurança da informação e de defesa. Estas estratégias, ou grande parte delas, são oriundas de estratégias militares de defesa, e foram validadas por sua aplicação no decorrer da história da humanidade. O que é a estratégia de permissão ou negação padrão? 
É uma estratégia ligada ao controle de acesso e privilégios. 
Trata do uso de listas conhecidas como black list ou white list , 
uma black list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a white list, é a lista sem restrições ou com as permissões, isto é, do que pode, normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar. Um exemplo de black list é o código de trânsito, que estabelece os comportamentos passíveis de punição. Já uma white list pode ser uma lista de convidados para um evento, quer seja, as pessoas que podem participar do evento. 
 Questão 3/5 - Segurança em Sistemas de Informação 
Em uma definição simplificada, um banco de dados é um conjunto organizado de dados com características comuns, que tem por objetivo possibilitar o armazenamento, a recuperação e a modificação da maneira mais rápida possível. E, obviamente, preservar estes dados de maneira confiável e segura. O que é necessário para que a segurança da informação seja obtida, em um sistema gerenciador de banco de dados – SGBD?
Os mecanismos e componentes do SGBD devem prover a segurança por meio de controle de acesso e permissões, registro de atividades, histórico de modificações (logs) e a preservação por meio de cópias de segurança(backups e redundância).
 Questão 4/5 - Segurança em Sistemas de Informação 
As falhas decorrentes da interação – ou operacionais – ocorrem durante o uso do sistema e em função da interação deste com o ambiente e com os usuários, de problemas na configuração ou da mudança de parâmetros operacionais, da instalação, da manutenção ou da atualização do sistema. Geralmente essas falhas ocorrem devido a uma vulnerabilidade. O que é uma vulnerabilidade? E como pode ser classificada?
Vulnerabilidade são pontos fracos nos ativos da informação que podem ser explorados ou apresentar falhas, gerando incidentes de segurança da informação. As vulnerabilidades podem ser de desenvolvimento, operacionais ou fisicas, podem ser maliciosas ou não, tal como podem ser os agentes que as exploram.
 Questão 5/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o compliance: o ITIL e o COBIT. O que são estes frameworks e qual a relação destes com a segurança da informação?
O ITIL orienta para um gerenciamento mais eficiente da área de TI bem como prestar serviços de maneira otimizada e eficaz. O COBIT é um conjunto de ferramentas que propõe o nível de excelência na gestão de TI, a traves dele os gestores podem avaliar os riscos e controlar os investimentos. Esses dois elementos podem prover condições para que a organização esteja atuando em conformidade com as leis, boas práticas e recomendações de governança, isto é, esteja em compliance.