Segurança em Sistemas de Informação

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação 
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do perímetro de segurança da organização. Quais são os meios pelos quais se pode completar o processo de 
identificação? 
Nota: 20.0 
Resposta: 
O processo de identificação pode ser completado com a verificação, com base em: 
? Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
? Um token, cartão, chave física ou criptográfica, alguma coisa que o solicitante possui no momento da autorização. 
? Informações biométricas como a impressão digital ou o mapa da íris, ou seja, que se refere à biometria estática do solicitante. 
? Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação. 
Questão 2/5 - Segurança em Sistemas de Informação 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. 
E, atenção: é de primordial importância que todos , na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetiva. O que significa uma política de segurança da informação compliance? 
Nota: 20.0 
Resposta: 
Compliance ou conformidade refere-se ao fato dessa política de segurança da informação estar submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita.
Questão 3/5 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Quais são os principais dispositivos da infraestrutura de segurança da informação, e quais são 
as finalidades desses dispositivos? 
Nota: 20.0 
Resposta: 
O Proxy, que funciona como intermediário entre usuários de uma rede interna e outra externa – normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, log de acessos e tradução de endereços internos para externos (NAT). O firewall, que atua entre a rede de computadores interna da organização - geralmente considerada como um ambiente conhecido e seguro – e a rede ex terna, 
geralmente considerada como um ambiente desconhecido e inseguro. O IDS – Intrusion Detection System, utilizado para monitorar o uso dos recursos para identificar e inibir ações indesejadas ou danosas à informação e aos sistemas.
Questão 4/5 - Segurança em Sistemas de Informação 
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em ocorrências, podem causar impactos indesejados em suas características. Quais são as características básicas da informação do ponto de vista da segurança, e o que significam? 
Nota: 20.0 
Resposta: 
A confidencialidade diz respeito ao uso autoriza do da informação, isto é, decorre da classificação da informação e do controle do acesso à mesma. A integridade refere-se à manutenção do valor e da s características originais da informação ou sua atualização por meio de alterações permiti das, controladas e identificadas, evitando -se a alteração indevida ou a perda de valor. A disponibilidade implica em prover a informação a tempo, no meio adequado e no local em que for necessária.
Questão 5/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PS I e estabelecer os controles corretos é necessário conhecer e adequar a organização à s estratégias de segurança da informação e de defesa. Estas estratégias, ou grande parte delas, são oriundas d e estratégias militares de defesa, e foram validadas por sua aplicação no decorrer da história da humanidade. O que é a estratégia de permissão ou negação padrão? 
Nota: 20.0 
Resposta: 
Permissão ou negação padrão é uma estratégia ligada ao controle de acesso e privilégios, ao monitoramento e ao processo de auditoria. Trata do uso de listas conhecidas como black list ou white list. Uma black list é a relação de indivíduos, entidades, ações ou recursos com restrição ou proibição, isto é, do que não se pode¸ devido ao conhecimento 
do risco em potencial que representam. Já a white list é a lista sem restrições ou com as permissões, isto é, do que se pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar.
Questão 3/5 - Segurança em Sistemas de Informação 
Em uma definição simplificada, um banco de dados é um conjunto organizado de dados com características comuns, que tem por objetivo possibilitar o armazenamento, a recuperação e a modificação da maneira mais rápida possível. E, obviamente, preservar estes dados de maneira confiável e segura. O que é necessário para que a segurança da informação seja obtida, em um sistema gerenciador de banco de dados – SG BD? 
Os mecanismos e componentes do SGBD devem prover a segurança por meio de controle de acesso e permissões, registro de atividades, histórico de modificações (logs) e a preservação por meio de cópias de segurança(backups e redundância).
Questão 4/5 - Segurança em Sistemas de Informação 
As falhas decorrentes da interação – ou operacionais – ocorrem durante o uso do sistema e em função da interação deste com o ambiente e com os usuários, de problemas na configuração ou da mudança de parâmetros operacionais, da instalação, da manutenção ou da atualização do sistema. Geralmente essas falhas ocorrem devido a uma vulnerabilidade. O que é uma vulnerabilidade? E como pode ser classificada? 
Vulnerabilidade são pontos fracos nos ativos da informação que podem ser explorados ou apresentar falhas, gerando incidentes de segurança da informação. As vulnerabilidades podem ser de desenvolvimento, operacionais ou físicas, podem ser maliciosas ou não, tal como podem ser os agentes que as exploram.
Questão 5/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o compliance: o ITIL e o COBIT. O que são estes frameworks e qual a relação destes com a segurança da informação? 
O ITIL orienta para um gerenciamento mais eficiente da área de TI bem como prestar serviços de maneira otimizada e eficaz. O COBIT é um conjunto de ferramentas que propõe o nível de excelência na gestão de TI, a traves dele os gestores podem avaliar os riscos e controlar os investimentos. Esses dois elementos podem prover condições para que a organização esteja atuando em conformidade com as leis, boas práticas e recomendações de governança, isto é, esteja em compliance.