Baixe o app para aproveitar ainda mais
Prévia do material em texto
das A Gabarito utoatividades SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO Centro Universitário Leonardo da Vinci Rodovia , nº .BR 470 Km 71, 1 040 Bairro Benedito - CEP 89130-000 I daialn - Santa Catarina - 47 3281-9000 Elaboração: Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci - UNIASSELVI 2017 Prof. Christian Meinecke Gross Prof. Jan Charles Gross 3UNIASSELVI NEAD GABARITO DAS AUTOATIVIDADES S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O GABARITO DAS AUTOATIVIDADES DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO Centro Universitário Leonardo da Vinci Rodovia , nº .BR 470 Km 71, 1 040 Bairro Benedito - CEP 89130-000 I daialn - Santa Catarina - 47 3281-9000 Elaboração: Revisão, Diagramação e Produção: Centro Universitário Leonardo da Vinci - UNIASSELVI 2017 UNIDADE 1 TÓPICO 1 1 Com o intuito de garantir a disponibilidade da informação no ambiente computacional, o usuário poderá realizar backup (cópia de segurança) dos arquivos com informações relevantes em mídias e locais diferentes. (x) CERTO. ( ) ERRADO. 2 Conforme os estudos realizados, verificou-se que a segurança de recursos de informação possui três componentes: integridade, disponibilidade e confidencialidade. Com relação aos componentes citados, assinale a opção CORRETA: a) ( ) A integridade pode ser obtida a partir do momento em que existe confidencialidade. b) ( ) A integridade estabelece que a informação somente será liberada para usuários legítimos. c) (x) O nível de segurança pode ser elevado ao aditar a integridade a um sistema com confidencialidade. d) ( ) A confidencialidade tem por objetivo garantir que a informação seja verdadeira, completa e precisa. TÓPICO 2 1 As barreiras de segurança são obstáculos que visam garantir que um ativo ou um conjunto de ativos de informação sejam protegidos de acessos indevidos. Uma das barreiras que pode ser utilizada é o controle de acesso realizado através da utilização de dados biométricos. 4 GABARITO DAS AUTOATIVIDADES UNIASSELVI NEAD S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O (x) CERTO. ( ) ERRADO. 2 Ao selecionar um profissional para ser o Administrador de Segurança, algumas características do seu perfil deverão ser analisadas. Entre elas estão: a) ( ) Segurança no ambiente, experiência, espírito inventivo e legitimidade emocional. b) (x) Conhecimento do ambiente informacional, experiência, facilidade de relacionamento e responsabilidade. c) ( ) Controle do ambiente, liderança, estabilidade espiritual e facilidade comportamental. d) ( ) Conhecimento dos recursos, espontaneidade, l iderança e responsabilidade. TÓPICO 3 1 Com os avanços trazidos pela internet, muitas empresas passaram a utilizar esta ferramenta para realizar suas transações comerciais. Ocorre que atualmente esse meio de comunicação é muito suscetível a invasões, podendo acarretar, desta forma, em sérios problemas aos seus usuários. A técnica de criptografia é uma das formas de anular esta ameaça, que consiste em algoritmos que utilizam chaves secretas, impedindo desta forma que a mensagem seja lida por alguém que não possua a chave de descriptografia correspondente. (x) CERTO. ( ) ERRADO. 2 É um tipo de ataque que visa deixar os recursos de um sistema indisponíveis para seus usuários, através de inúmeras requisições de acesso. a) ( ) Falsidade. b) (x) Negação de serviço. c) ( ) Análise de tráfego. d) ( ) Repetição. 5UNIASSELVI NEAD GABARITO DAS AUTOATIVIDADES S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O UNIDADE 2 TÓPICO 1 1 Cite três atividades de controle que o processo de gestão da continuidade deve prover. R.: Uma das alternativas a seguir. • Assegurar que um plano formal (escrito) esteja desenvolvido, testado e amplamente divulgado (incluindo treinamento). • Procedimentos de urgência/emergência descritos e testados. • Procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre. • Ações para salvaguardar e reconstruir o site original. • Procedimentos para interação com as autoridades públicas; e • Comunicação com funcionários, clientes, fornecedores, acionistas, alta administração, autoridades públicas e imprensa. 2 Cite dois objetivos da auditoria de BCP (Business Continuity Planning). R.: Algumas alternativas: • Certificar-se da integridade das estratégias mantidas pela alta gestão para enfrentar situações de desastre ou de risco de descontinuidade das operações. • Certificar-se das normas de BCP e se as regras contidas nelas são válidas e são homogeneamente disseminadas para todos os integrantes da alta cúpula e também para as pessoas que precisam saber dos planos da instituição a fim de atender vários níveis de estragos que poderiam comprometer a imagem da organização. • Certificar-se das responsabilidades para os processos e ações delineadas de forma específica e em equipe. • Certificar-se de que sistemas de informações, tecnologias e processos de comunicação estão preparados para eventuais riscos de continuidades. • Certificar-se de que os processos de documentação da transação de BCP registrados junto ao coordenador de gestão de crises de continuidade e os membros que constituem a força-tarefa de continuidade são válidos e íntegros. 6 GABARITO DAS AUTOATIVIDADES UNIASSELVI NEAD S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O 3 Qual é a melhor maneira de desenvolver o plano de continuidade de negócios de forma a aumentar a eficácia e o retorno sobre os investimentos? R.: A melhor forma é a partir de uma análise prévia de riscos. 4 Quais itens são recomendados que o BCP (Business Continuity Planning) abranja? R.: • Plano de Reinicialização de Negócios (Business Resumption Planning – BRP). • Gestão de Crises (Crisis Management – CM). • Plano de Recuperação de Tecnologia e Sistemas de Informação (IT Disaster Recovery – DR). • Teste de emergência e de recuperação (Emergency Preparedness – EP). 5 Quais fatores devem ser considerados na hora de implantar um plano de backup? R.: • A importância da informação. • O nível de classificação utilizado. • Sua periodicidade de atualização. • Sua volatilidade. TÓPICO 2 1 Cite três avaliações dos planos de contingência de uma empresa. R.: Três das alternativas a seguir. • Há planos desenvolvidos que contemplem todas as necessidades de contingências. • Esses planos são suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros. • A equipe de contingência está preparada para as eventualidades. • Esses planos são testados periodicamente. • Os backups são atualizados. • Os mesmos backups podem ser recuperados com pouca ou nenhuma dificuldade. • Há relatórios gerenciais que facilitam o acompanhamento dos procedimentos. • Os relatórios são confiáveis. 7UNIASSELVI NEAD GABARITO DAS AUTOATIVIDADES S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O 2 Cite três medidas que devem ser tomadas para manter a continuidade operacional da empresa. R.: Três das alternativas a seguir. • Utilização de servidores da área industrial conforme negociado. • Capacitação dos servidores nos requerimentos mínimos de hardware, conforme o tipo de servidor (rede e banco de dados). • Substituição dos switches ATM por Ethernet. • Manutenção da estrutura da rede em padrão Ethernet. • Restauração dos backupsdos servidores com os dados mais atuais conforme política de backup. • Ativação do CPD temporário na área de informática, ou, em caso da indisponibilidade da área, utilização do local disponível mais apropriado. 3 Monte uma matriz de responsabilidade da equipe de contingência da empresa na qual você trabalha. R.: O(A) acadêmico(a) deverá montar uma matriz conforme a matriz da Seção 5 (Matriz de responsabilidade). 4 Cite alguns dos aspectos que devem ser observados sob a ótica da auditoria referentes à avaliação do plano de contingência. R.: Algumas das alternativas a seguir. • Identificação do pessoal responsável e predeterminado para aplicação do plano de contingência. • Comunicação aos responsáveis pelo plano de contingência com referência a alterações que comprometam a utilização do site alternativo. • Existência de provisões de facilidades de reserva de tecnologia da informação com outros usuários em caso de quebra ou instabilidade de equipamentos correspondentes. • Compatibilidade de sistemas operacionais ou softwares com as instalações de outros usuários. • Clareza nas prioridades de ativação das funções dos sistemas de informações em caso de sinistro. • Verificação da adequação de rotinas para reconstrução de arquivos magnéticos. • Explicação detalhada para a correção e restauração do ambiente de tecnologia da informação, em termos de hardware e software. • Revisão e teste regular e periódico do plano de contingência. 5 Elabore um checklist para auditoria de plano de contingência que pode ser aplicado na sua empresa. 8 GABARITO DAS AUTOATIVIDADES UNIASSELVI NEAD S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O R.: O(A) acadêmico(a) deverá elaborar um checklist baseado no checklist da Seção 6 (Avaliação do plano de contingência). TÓPICO 3 1 Quais camadas da estrutura organizacional são contempladas pelos três blocos que compõem a política de segurança, ou seja, diretrizes, normas, procedimentos e instruções? R.: Estratégico, tático e operacional. 2 Quais são os quatro elementos essenciais para a definição da política de segurança e para sua implantação, e o que representa cada um destes? R.: Vigilância: significa que todos os membros da organização devem entender a importância da segurança para a mesma, fazendo com que atuem como guardiões da rede, evitando-se, assim, abusos sistêmicos e acidentais. Atitude: significa a postura e a conduta quanto à segurança. Sem a atitude necessária, a segurança proposta não terá nenhum valor. Estratégia: diz respeito a ser criativo quanto às definições da política e do plano de defesa contra intrusões, além de possuir a habilidade de ser adaptativo a mudanças no ambiente, tão comuns no meio cooperativo. Tecnologia: a solução tecnológica deve ser adaptativa e flexível, a fim de suprir as necessidades estratégicas da organização, pois qualquer tecnologia um pouco inferior resulta em um falso e perigoso senso de segurança, colocando em risco toda a organização. 3 Cite três considerações sobre segurança que são importantes para definir uma boa política de segurança. R.: Três entre as opções a seguir. • Conheça seus possíveis inimigos: identifique o que eles desejam fazer e os perigos que eles representam à sua organização. • Contabilize os valores: os custos das medidas de segurança devem ser compatíveis e proporcionais às necessidades da organização e às probabilidades de ocorrerem incidentes de segurança. • Identifique, examine e justifique suas hipóteses: qualquer hipótese esquecida ou não divulgada pode causar sérios problemas de segurança. Uma única variável pode mudar completamente a estratégia de segurança de uma organização. 9UNIASSELVI NEAD GABARITO DAS AUTOATIVIDADES S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O • Controle seus segredos: muitos aspectos de segurança têm como base os segredos, que devem ser guardados ‘a sete chaves’. • Avalie os serviços estritamente necessários para o andamento dos negócios da organização: a segurança é inversamente proporcional às funcionalidades e pode influir na produtividade dos usuários. Determinar e justificar cada serviço permitido é essencial para evitar conflitos futuros com os usuários. • Considere os fatores humanos: muitos procedimentos de segurança falham, pois não se consideram as reações dos usuários a esses procedimentos. Cada usuário deve ser convencido da necessidade de cada medida a ser adotada. Eles devem entender e aceitar essas exigências de segurança. Minimize a chance de sucesso de ataques que usam a engenharia social. • Conheça seus pontos fracos: todo sistema tem suas vulnerabilidades. Conhecer e entender esses pontos fracos permite que o primeiro passo para proteger o sistema de maneira eficiente seja definido. • Limite a abrangência do acesso: barreiras como uma zona desmilitarizada (DMZ) fazem com que, caso um sistema seja atacado, o restante da rede não seja comprometido. A parte segura de uma rede é tão ‘forte’ quanto a sua parte menos protegida. • Entenda o ambiente: entender o funcionamento normal da rede é importante para detectar possíveis comportamentos estranhos, antes que um invasor cause prejuízos. • Limite a confiança: é essencial estar atento e vigilante, principalmente quanto a programas de software que tenham muitos bugs e que podem comprometer a segurança do ambiente. Não se pode confiar totalmente em todos os sistemas e usuários da organização, e é preciso estar sempre atento a comportamentos anormais. • Nunca se esqueça da segurança física: o acesso físico indevido a equipamentos ou roteadores pode destruir todas as medidas de segurança adotadas. O controle de acesso físico e o plano de contingência devem fazer parte da política de segurança da organização. • A segurança é complexa: qualquer modificação em qualquer peça do ambiente pode causar efeitos inesperados no nível de segurança. Entender as implicações de segurança em cada aspecto envolvido é importante para a manipulação e o gerenciamento correto de todas as variáveis envolvidas. • A segurança deve ser aplicada de acordo com os negócios da organização: entender os objetivos de negócios da organização é importante para a definição de sua estratégia de segurança. 4 Cite três exemplos de formas de divulgação da política de segurança que podem ser utilizadas pelas organizações. 10 GABARITO DAS AUTOATIVIDADES UNIASSELVI NEAD S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O R.: Três das opções a seguir. • Comunicação interna (e-mails, painéis, páginas na intranet). • Reuniões de divulgação e conscientização. • Treinamento específico ou inclusão em programas vigentes. • Dramatização de exemplos práticos em curtas peças teatrais. • Incorporação ao programa de recepção a novos funcionários. • Pôsteres, protetores de tela e mouse pads podem ser utilizados para oferecer dicas de segurança, lembrando a todos da importância da segurança de informações. 5 Comente dois obstáculos que podem surgir durante o projeto da política de segurança. R.: Os obstáculos podem ser encontrados na Seção 8 do Tópico 3. UNIDADE 3 TÓPICO 1 1 Quais são as três abordagens de auditoria de sistemas de informações? R.: Abordagem ao redor do computador. Abordagem através do computador. Abordagem com o computador. 2 Quais são as estratégias normalmente adotadas para constituir uma equipe de auditoria de TI? R.: • Treinar um número de auditores internos ou independentes em conceitos e práticas de tecnologia de informações e métodos para a aplicação das técnicas e ferramentas de auditoria em ambiente computadorizado. • Treinar alguns analistas de sistemas em prática e princípios de auditoriageral e no uso de técnica e ferramentas de auditoria. • Contratar e treinar auditores, fornecendo-lhes tanto conhecimento de auditoria como de tecnologia de informações para compor a equipe desde o início. • Contratar auditores com larga experiência com objetivo de torná-los auditores de tecnologia de informações. 11UNIASSELVI NEAD GABARITO DAS AUTOATIVIDADES S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O 3 Cite três objetivos de um sistema geral de Controle Interno. R.: Três das alternativas a seguir: • Salvaguardar o ativo de uma organização. • Manter a integridade. • Correção e confiabilidade dos registros contábeis. • Promover a eficiência operacional. • Encorajar o cumprimento dos procedimentos e políticas da gerência. 4 Cite três vantagens proporcionadas pelas técnicas de auditoria. R.: Três das opções a seguir: • Produtividade. • Custo. • Qualidade assegurada. • Valor agregado. 5 Comente sobre duas técnicas de auditoria que você utilizaria e o motivo. R.: O(A) acadêmico(a) deverá escolher duas técnicas descritas na Seção 9 e dizer o motivo da escolha destas técnicas. TÓPICO 2 1 Cite três controles de documentação utilizados na auditoria de aquisição, desenvolvimento e manutenção de sistemas. R.: O(A) acadêmico(a) deverá citar três dentre as opções a seguir: • A documentação deveria ser guardada em uma biblioteca que tenha um controle de acesso. • A documentação deveria estar sujeita a padrões uniformes relativos a técnicas de flowcharting, codificação e procedimentos de modificação (incluindo própria autorização). • A documentação de sistema inclui narrativas, flowcharts, que a definição de sistema usou para seu desenvolvimento, contribuição e formas de produção, arquivo e planos de registro, controles, autorizações de mudança e procedimentos posteriores. • A documentação de programas contém descrição, flowcharts de programa e mesas de decisão, listings de programa de fonte, dados de teste, contribuição e produção, arquivos detalhados e planos de registro, pedidos de mudança, instruções de operador e controles. 12 GABARITO DAS AUTOATIVIDADES UNIASSELVI NEAD S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O • A documentação operacional (manual de operação do computador) provê informação sobre organização, arquivos necessários e dispositivos, procedimentos de contribuição, mensagens do console e ações de operador responsável, tempos necessários, procedimentos de recuperação, disposição de produção e controles. • A documentação processual inclui o plano-mestre do sistema e operações a serem executados, padrões de documentação, procedimentos para controlar arquivos e padrões para análise de sistemas, programação, operações, segurança e definição de dados; • A documentação de usuário descreve o sistema e procedimentos para entrada de dados, conferência e correção de erros, formatos e usos de relatórios. 2 Quais os dois aspectos que são importantes para avaliação dos controles de acesso? R.: • Acesso físico – controle sobre o acesso físico ao hardware, incluindo a CPU, unidade de disco, terminais e arquivos de dados. • Acesso lógico – controle sobre acessos aos recursos do sistema, incluindo a possibilidade de acesso aos dados ou ao processamento de programas e transações. 3 Cite algumas operações comuns na auditoria de operação do computador. R.: O(A) acadêmico(a) deve citar algumas das operações a seguir: • Planejamento, controle e monitoramento das operações. • Planejamento da capacidade. • Monitoramento de todos os sistemas e as redes. • Inicialização do sistema e do desligamento. • Gravação, rastreamento dos problemas e monitoramento de tempo de respostas; • Gerenciamento de mudanças estruturais e pessoais. • Gestão das unidades, dos periféricos e inclusive dos equipamentos remotos. • Gerenciamento de bibliotecas. • Programação dos processamentos e acompanhamento das operações. • Automação da produção. • Backup de sistemas, programas, dados e banco de dados. • Gerenciamento de help desk. • Coordenação e programação de upgrades dos equipamentos. • Gestão de restart/recovery. 13UNIASSELVI NEAD GABARITO DAS AUTOATIVIDADES S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O 4 Cite três funções rotineiras e três funções esporádicas na auditoria de controles de suporte técnico. R.: O(A) acadêmico(a) deve citar três das funções rotineiras e três das funções esporádicas a seguir: • Funções rotineiras: - Gerenciamento de help desk. - Socorro aos problemas de instalação de redes. - Monitoramento das ocorrências de problemas. - Treinamento dos usuários dos softwares. - Revisão preventiva dos equipamentos. - Substituição dos equipamentos antigos. - Segurança de informações quando não há administrador de segurança de informações. • Funções esporádicas: - Dimensionamento do banco de dados. - Instalação de softwares utilitários. - Manutenção dos sistemas operacionais. - Instalação de upgrades. - Avaliação de softwares para fins de compras. - Padronização dos recursos de TI. - Ativação de redes (estações etc.). 5 Quais os itens que normalmente são apresentados nos relatórios finais de auditoria? R.: • Observação – constatação do processo de auditoria. • Consequências – risco em que a empresa incorre em decorrência das fraquezas apontadas. • Recomendações – sugestões e medidas de correção. • Comentários da gerência – concordância ou não com o ponto levantado e apontamento de prazo para implementação das medidas. TÓPICO 3 1 Explique o que vem a ser o ITIL e qual é seu objetivo. R.: É um conjunto de documentos desenvolvidos pelo governo do Reino Unido para registrar as melhores práticas na área de gestão de serviços de TI. 14 GABARITO DAS AUTOATIVIDADES UNIASSELVI NEAD S E G U R A N Ç A E M T E C N O L O G I A D A I N F O R M A Ç Ã O 2 Cite os quatro domínios do COBIT. R.: Os quatro domínios são Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte, e Monitoração e Avaliação. 3 Qual é a versão mais atual da norma NBR ISO/IEC 17799? R.: É a norma NBR ISO/IEC 27002. 4 O que vem a ser a norma ISO/IEC 13335? R.: É um conjunto de diretrizes de gestão de segurança voltadas especificamente para a tecnologia da informação. 5 O que motivou a criação da Lei Sarbanes-Oxley? R.: Os escândalos financeiros das empresas Enron, Worldcom e outras, que acabaram com as economias pessoais de muitos norte-americanos.
Compartilhar