seguranca em tecnologia da GA

Prévia do material em texto

das
A
Gabarito
utoatividades
SEGURANÇA EM TECNOLOGIA 
DA INFORMAÇÃO
Centro Universitário Leonardo da Vinci
Rodovia , nº .BR 470 Km 71, 1 040
Bairro Benedito - CEP 89130-000
I daialn - Santa Catarina - 47 3281-9000
Elaboração:
Revisão, Diagramação e Produção:
Centro Universitário Leonardo da Vinci - UNIASSELVI
2017
Prof. Christian Meinecke Gross
Prof. Jan Charles Gross
3UNIASSELVI
NEAD
GABARITO DAS AUTOATIVIDADES
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
GABARITO DAS AUTOATIVIDADES DE
SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO
Centro Universitário Leonardo da Vinci
Rodovia , nº .BR 470 Km 71, 1 040
Bairro Benedito - CEP 89130-000
I daialn - Santa Catarina - 47 3281-9000
Elaboração:
Revisão, Diagramação e Produção:
Centro Universitário Leonardo da Vinci - UNIASSELVI
2017
UNIDADE 1
TÓPICO 1
1 Com o intuito de garantir a disponibilidade da informação no 
ambiente computacional, o usuário poderá realizar backup (cópia 
de segurança) dos arquivos com informações relevantes em mídias 
e locais diferentes.
(x) CERTO. 
( ) ERRADO.
2 Conforme os estudos realizados, verificou-se que a segurança de 
recursos de informação possui três componentes: integridade, 
disponibilidade e confidencialidade. Com relação aos componentes 
citados, assinale a opção CORRETA:
a) ( ) A integridade pode ser obtida a partir do momento em que existe 
confidencialidade.
b) ( ) A integridade estabelece que a informação somente será liberada para 
usuários legítimos.
c) (x) O nível de segurança pode ser elevado ao aditar a integridade a 
um sistema com confidencialidade.
d) ( ) A confidencialidade tem por objetivo garantir que a informação seja 
verdadeira, completa e precisa. 
TÓPICO 2
1 As barreiras de segurança são obstáculos que visam garantir que 
um ativo ou um conjunto de ativos de informação sejam protegidos 
de acessos indevidos. Uma das barreiras que pode ser utilizada 
é o controle de acesso realizado através da utilização de dados 
biométricos.
4 GABARITO DAS AUTOATIVIDADES UNIASSELVI
NEAD
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
(x) CERTO.
( ) ERRADO.
2 Ao selecionar um profissional para ser o Administrador de Segurança, 
algumas características do seu perfil deverão ser analisadas. Entre 
elas estão:
a) ( ) Segurança no ambiente, experiência, espírito inventivo e legitimidade 
emocional.
b) (x) Conhecimento do ambiente informacional, experiência, facilidade 
de relacionamento e responsabilidade.
c) ( ) Controle do ambiente, liderança, estabilidade espiritual e facilidade 
comportamental.
d) ( ) Conhecimento dos recursos, espontaneidade, l iderança e 
responsabilidade.
TÓPICO 3
1 Com os avanços trazidos pela internet, muitas empresas passaram 
a utilizar esta ferramenta para realizar suas transações comerciais. 
Ocorre que atualmente esse meio de comunicação é muito suscetível 
a invasões, podendo acarretar, desta forma, em sérios problemas 
aos seus usuários. A técnica de criptografia é uma das formas de 
anular esta ameaça, que consiste em algoritmos que utilizam chaves 
secretas, impedindo desta forma que a mensagem seja lida por 
alguém que não possua a chave de descriptografia correspondente.
(x) CERTO.
( ) ERRADO.
2 É um tipo de ataque que visa deixar os recursos de um sistema 
indisponíveis para seus usuários, através de inúmeras requisições 
de acesso.
a) ( ) Falsidade.
b) (x) Negação de serviço.
c) ( ) Análise de tráfego.
d) ( ) Repetição.
5UNIASSELVI
NEAD
GABARITO DAS AUTOATIVIDADES
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
UNIDADE 2
TÓPICO 1
1 Cite três atividades de controle que o processo de gestão da 
continuidade deve prover.
R.: Uma das alternativas a seguir.
• Assegurar que um plano formal (escrito) esteja desenvolvido, testado e 
amplamente divulgado (incluindo treinamento).
• Procedimentos de urgência/emergência descritos e testados.
• Procedimentos corretivos e de recuperação desenhados para trazer os 
negócios de volta à posição em que se encontravam antes do incidente ou 
desastre.
• Ações para salvaguardar e reconstruir o site original.
• Procedimentos para interação com as autoridades públicas; e
• Comunicação com funcionários, clientes, fornecedores, acionistas, alta 
administração, autoridades públicas e imprensa.
2 Cite dois objetivos da auditoria de BCP (Business Continuity 
Planning).
R.: Algumas alternativas:
• Certificar-se da integridade das estratégias mantidas pela alta gestão 
para enfrentar situações de desastre ou de risco de descontinuidade das 
operações.
• Certificar-se das normas de BCP e se as regras contidas nelas são válidas e 
são homogeneamente disseminadas para todos os integrantes da alta cúpula 
e também para as pessoas que precisam saber dos planos da instituição a fim 
de atender vários níveis de estragos que poderiam comprometer a imagem 
da organização.
• Certificar-se das responsabilidades para os processos e ações delineadas 
de forma específica e em equipe.
• Certificar-se de que sistemas de informações, tecnologias e processos de 
comunicação estão preparados para eventuais riscos de continuidades.
• Certificar-se de que os processos de documentação da transação de BCP 
registrados junto ao coordenador de gestão de crises de continuidade e os 
membros que constituem a força-tarefa de continuidade são válidos e íntegros.
6 GABARITO DAS AUTOATIVIDADES UNIASSELVI
NEAD
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
3 Qual é a melhor maneira de desenvolver o plano de continuidade 
de negócios de forma a aumentar a eficácia e o retorno sobre os 
investimentos?
R.: A melhor forma é a partir de uma análise prévia de riscos.
4 Quais itens são recomendados que o BCP (Business Continuity 
Planning) abranja?
R.: • Plano de Reinicialização de Negócios (Business Resumption Planning 
– BRP).
• Gestão de Crises (Crisis Management – CM).
• Plano de Recuperação de Tecnologia e Sistemas de Informação (IT Disaster 
Recovery – DR).
• Teste de emergência e de recuperação (Emergency Preparedness – EP).
5 Quais fatores devem ser considerados na hora de implantar um plano 
de backup?
R.: • A importância da informação.
• O nível de classificação utilizado.
• Sua periodicidade de atualização.
• Sua volatilidade.
TÓPICO 2
1 Cite três avaliações dos planos de contingência de uma empresa.
R.: Três das alternativas a seguir.
• Há planos desenvolvidos que contemplem todas as necessidades de 
contingências.
• Esses planos são suficientemente abrangentes para cobrir aspectos físicos, 
lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, 
entre outros.
• A equipe de contingência está preparada para as eventualidades.
• Esses planos são testados periodicamente.
• Os backups são atualizados.
• Os mesmos backups podem ser recuperados com pouca ou nenhuma 
dificuldade.
• Há relatórios gerenciais que facilitam o acompanhamento dos procedimentos.
• Os relatórios são confiáveis.
7UNIASSELVI
NEAD
GABARITO DAS AUTOATIVIDADES
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
2 Cite três medidas que devem ser tomadas para manter a continuidade 
operacional da empresa.
R.: Três das alternativas a seguir.
• Utilização de servidores da área industrial conforme negociado.
• Capacitação dos servidores nos requerimentos mínimos de hardware, 
conforme o tipo de servidor (rede e banco de dados).
• Substituição dos switches ATM por Ethernet.
• Manutenção da estrutura da rede em padrão Ethernet.
• Restauração dos backupsdos servidores com os dados mais atuais 
conforme política de backup.
• Ativação do CPD temporário na área de informática, ou, em caso da 
indisponibilidade da área, utilização do local disponível mais apropriado.
3 Monte uma matriz de responsabilidade da equipe de contingência da 
empresa na qual você trabalha.
R.: O(A) acadêmico(a) deverá montar uma matriz conforme a matriz da Seção 
5 (Matriz de responsabilidade).
4 Cite alguns dos aspectos que devem ser observados sob a ótica da 
auditoria referentes à avaliação do plano de contingência.
R.: Algumas das alternativas a seguir.
• Identificação do pessoal responsável e predeterminado para aplicação do 
plano de contingência.
• Comunicação aos responsáveis pelo plano de contingência com referência 
a alterações que comprometam a utilização do site alternativo.
• Existência de provisões de facilidades de reserva de tecnologia da 
informação com outros usuários em caso de quebra ou instabilidade de 
equipamentos correspondentes.
• Compatibilidade de sistemas operacionais ou softwares com as instalações 
de outros usuários.
• Clareza nas prioridades de ativação das funções dos sistemas de 
informações em caso de sinistro.
• Verificação da adequação de rotinas para reconstrução de arquivos 
magnéticos.
• Explicação detalhada para a correção e restauração do ambiente de 
tecnologia da informação, em termos de hardware e software.
• Revisão e teste regular e periódico do plano de contingência.
5 Elabore um checklist para auditoria de plano de contingência que 
pode ser aplicado na sua empresa.
8 GABARITO DAS AUTOATIVIDADES UNIASSELVI
NEAD
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
R.: O(A) acadêmico(a) deverá elaborar um checklist baseado no checklist da 
Seção 6 (Avaliação do plano de contingência).
TÓPICO 3
1 Quais camadas da estrutura organizacional são contempladas pelos 
três blocos que compõem a política de segurança, ou seja, diretrizes, 
normas, procedimentos e instruções?
R.: Estratégico, tático e operacional.
2 Quais são os quatro elementos essenciais para a definição da política 
de segurança e para sua implantação, e o que representa cada um 
destes?
R.: Vigilância: significa que todos os membros da organização devem entender 
a importância da segurança para a mesma, fazendo com que atuem como 
guardiões da rede, evitando-se, assim, abusos sistêmicos e acidentais.
Atitude: significa a postura e a conduta quanto à segurança. Sem a atitude 
necessária, a segurança proposta não terá nenhum valor.
Estratégia: diz respeito a ser criativo quanto às definições da política e do plano 
de defesa contra intrusões, além de possuir a habilidade de ser adaptativo a 
mudanças no ambiente, tão comuns no meio cooperativo.
Tecnologia: a solução tecnológica deve ser adaptativa e flexível, a fim de suprir 
as necessidades estratégicas da organização, pois qualquer tecnologia um 
pouco inferior resulta em um falso e perigoso senso de segurança, colocando 
em risco toda a organização.
3 Cite três considerações sobre segurança que são importantes para 
definir uma boa política de segurança.
R.: Três entre as opções a seguir.
• Conheça seus possíveis inimigos: identifique o que eles desejam fazer e 
os perigos que eles representam à sua organização.
• Contabilize os valores: os custos das medidas de segurança devem 
ser compatíveis e proporcionais às necessidades da organização e às 
probabilidades de ocorrerem incidentes de segurança.
• Identifique, examine e justifique suas hipóteses: qualquer hipótese esquecida 
ou não divulgada pode causar sérios problemas de segurança. Uma única 
variável pode mudar completamente a estratégia de segurança de uma 
organização.
9UNIASSELVI
NEAD
GABARITO DAS AUTOATIVIDADES
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
• Controle seus segredos: muitos aspectos de segurança têm como base os 
segredos, que devem ser guardados ‘a sete chaves’.
• Avalie os serviços estritamente necessários para o andamento dos negócios 
da organização: a segurança é inversamente proporcional às funcionalidades 
e pode influir na produtividade dos usuários. Determinar e justificar cada 
serviço permitido é essencial para evitar conflitos futuros com os usuários.
• Considere os fatores humanos: muitos procedimentos de segurança falham, 
pois não se consideram as reações dos usuários a esses procedimentos. Cada 
usuário deve ser convencido da necessidade de cada medida a ser adotada. 
Eles devem entender e aceitar essas exigências de segurança. Minimize a 
chance de sucesso de ataques que usam a engenharia social.
• Conheça seus pontos fracos: todo sistema tem suas vulnerabilidades. 
Conhecer e entender esses pontos fracos permite que o primeiro passo para 
proteger o sistema de maneira eficiente seja definido.
• Limite a abrangência do acesso: barreiras como uma zona desmilitarizada 
(DMZ) fazem com que, caso um sistema seja atacado, o restante da rede 
não seja comprometido. A parte segura de uma rede é tão ‘forte’ quanto a 
sua parte menos protegida.
• Entenda o ambiente: entender o funcionamento normal da rede é importante 
para detectar possíveis comportamentos estranhos, antes que um invasor 
cause prejuízos.
• Limite a confiança: é essencial estar atento e vigilante, principalmente 
quanto a programas de software que tenham muitos bugs e que podem 
comprometer a segurança do ambiente. Não se pode confiar totalmente em 
todos os sistemas e usuários da organização, e é preciso estar sempre atento 
a comportamentos anormais.
• Nunca se esqueça da segurança física: o acesso físico indevido a 
equipamentos ou roteadores pode destruir todas as medidas de segurança 
adotadas. O controle de acesso físico e o plano de contingência devem fazer 
parte da política de segurança da organização.
• A segurança é complexa: qualquer modificação em qualquer peça do 
ambiente pode causar efeitos inesperados no nível de segurança. Entender 
as implicações de segurança em cada aspecto envolvido é importante para 
a manipulação e o gerenciamento correto de todas as variáveis envolvidas.
• A segurança deve ser aplicada de acordo com os negócios da organização: 
entender os objetivos de negócios da organização é importante para a 
definição de sua estratégia de segurança.
4 Cite três exemplos de formas de divulgação da política de segurança 
que podem ser utilizadas pelas organizações.
10 GABARITO DAS AUTOATIVIDADES UNIASSELVI
NEAD
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
R.: Três das opções a seguir.
• Comunicação interna (e-mails, painéis, páginas na intranet).
• Reuniões de divulgação e conscientização.
• Treinamento específico ou inclusão em programas vigentes.
• Dramatização de exemplos práticos em curtas peças teatrais.
• Incorporação ao programa de recepção a novos funcionários.
• Pôsteres, protetores de tela e mouse pads podem ser utilizados para oferecer 
dicas de segurança, lembrando a todos da importância da segurança de 
informações.
5 Comente dois obstáculos que podem surgir durante o projeto da 
política de segurança.
R.: Os obstáculos podem ser encontrados na Seção 8 do Tópico 3.
UNIDADE 3
TÓPICO 1
1 Quais são as três abordagens de auditoria de sistemas de 
informações?
R.: Abordagem ao redor do computador.
Abordagem através do computador.
Abordagem com o computador.
2 Quais são as estratégias normalmente adotadas para constituir uma 
equipe de auditoria de TI?
R.: • Treinar um número de auditores internos ou independentes em conceitos 
e práticas de tecnologia de informações e métodos para a aplicação das 
técnicas e ferramentas de auditoria em ambiente computadorizado.
• Treinar alguns analistas de sistemas em prática e princípios de auditoriageral e no uso de técnica e ferramentas de auditoria.
• Contratar e treinar auditores, fornecendo-lhes tanto conhecimento de 
auditoria como de tecnologia de informações para compor a equipe desde 
o início.
• Contratar auditores com larga experiência com objetivo de torná-los auditores 
de tecnologia de informações.
11UNIASSELVI
NEAD
GABARITO DAS AUTOATIVIDADES
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
3 Cite três objetivos de um sistema geral de Controle Interno.
R.: Três das alternativas a seguir:
• Salvaguardar o ativo de uma organização.
• Manter a integridade.
• Correção e confiabilidade dos registros contábeis.
• Promover a eficiência operacional.
• Encorajar o cumprimento dos procedimentos e políticas da gerência.
4 Cite três vantagens proporcionadas pelas técnicas de auditoria.
R.: Três das opções a seguir:
• Produtividade.
• Custo.
• Qualidade assegurada.
• Valor agregado.
5 Comente sobre duas técnicas de auditoria que você utilizaria e o 
motivo.
R.: O(A) acadêmico(a) deverá escolher duas técnicas descritas na Seção 9 
e dizer o motivo da escolha destas técnicas.
TÓPICO 2
1 Cite três controles de documentação utilizados na auditoria de 
aquisição, desenvolvimento e manutenção de sistemas.
R.: O(A) acadêmico(a) deverá citar três dentre as opções a seguir:
• A documentação deveria ser guardada em uma biblioteca que tenha um 
controle de acesso.
• A documentação deveria estar sujeita a padrões uniformes relativos a 
técnicas de flowcharting, codificação e procedimentos de modificação 
(incluindo própria autorização).
• A documentação de sistema inclui narrativas, flowcharts, que a definição 
de sistema usou para seu desenvolvimento, contribuição e formas de 
produção, arquivo e planos de registro, controles, autorizações de mudança 
e procedimentos posteriores.
• A documentação de programas contém descrição, flowcharts de programa e 
mesas de decisão, listings de programa de fonte, dados de teste, contribuição 
e produção, arquivos detalhados e planos de registro, pedidos de mudança, 
instruções de operador e controles.
12 GABARITO DAS AUTOATIVIDADES UNIASSELVI
NEAD
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
• A documentação operacional (manual de operação do computador) 
provê informação sobre organização, arquivos necessários e dispositivos, 
procedimentos de contribuição, mensagens do console e ações de operador 
responsável, tempos necessários, procedimentos de recuperação, disposição 
de produção e controles.
• A documentação processual inclui o plano-mestre do sistema e operações a 
serem executados, padrões de documentação, procedimentos para controlar 
arquivos e padrões para análise de sistemas, programação, operações, 
segurança e definição de dados;
• A documentação de usuário descreve o sistema e procedimentos para 
entrada de dados, conferência e correção de erros, formatos e usos de 
relatórios.
2 Quais os dois aspectos que são importantes para avaliação dos 
controles de acesso?
R.: • Acesso físico – controle sobre o acesso físico ao hardware, incluindo a 
CPU, unidade de disco, terminais e arquivos de dados.
• Acesso lógico – controle sobre acessos aos recursos do sistema, incluindo 
a possibilidade de acesso aos dados ou ao processamento de programas e 
transações.
3 Cite algumas operações comuns na auditoria de operação do 
computador.
R.: O(A) acadêmico(a) deve citar algumas das operações a seguir:
• Planejamento, controle e monitoramento das operações.
• Planejamento da capacidade.
• Monitoramento de todos os sistemas e as redes.
• Inicialização do sistema e do desligamento.
• Gravação, rastreamento dos problemas e monitoramento de tempo de 
respostas;
• Gerenciamento de mudanças estruturais e pessoais.
• Gestão das unidades, dos periféricos e inclusive dos equipamentos remotos.
• Gerenciamento de bibliotecas.
• Programação dos processamentos e acompanhamento das operações.
• Automação da produção.
• Backup de sistemas, programas, dados e banco de dados.
• Gerenciamento de help desk.
• Coordenação e programação de upgrades dos equipamentos.
• Gestão de restart/recovery.
13UNIASSELVI
NEAD
GABARITO DAS AUTOATIVIDADES
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
4 Cite três funções rotineiras e três funções esporádicas na auditoria 
de controles de suporte técnico.
R.: O(A) acadêmico(a) deve citar três das funções rotineiras e três das funções 
esporádicas a seguir:
• Funções rotineiras:
- Gerenciamento de help desk.
- Socorro aos problemas de instalação de redes.
- Monitoramento das ocorrências de problemas.
- Treinamento dos usuários dos softwares.
- Revisão preventiva dos equipamentos.
- Substituição dos equipamentos antigos.
- Segurança de informações quando não há administrador de segurança de 
informações.
• Funções esporádicas:
- Dimensionamento do banco de dados.
- Instalação de softwares utilitários.
- Manutenção dos sistemas operacionais.
- Instalação de upgrades.
- Avaliação de softwares para fins de compras.
- Padronização dos recursos de TI.
- Ativação de redes (estações etc.).
5 Quais os itens que normalmente são apresentados nos relatórios 
finais de auditoria?
R.: • Observação – constatação do processo de auditoria. 
• Consequências – risco em que a empresa incorre em decorrência das 
fraquezas apontadas.
• Recomendações – sugestões e medidas de correção. 
• Comentários da gerência – concordância ou não com o ponto levantado e 
apontamento de prazo para implementação das medidas.
TÓPICO 3
1 Explique o que vem a ser o ITIL e qual é seu objetivo.
R.: É um conjunto de documentos desenvolvidos pelo governo do Reino 
Unido para registrar as melhores práticas na área de gestão de serviços de TI.
14 GABARITO DAS AUTOATIVIDADES UNIASSELVI
NEAD
S
E
G
U
R
A
N
Ç
A
 
E
M
 
T
E
C
N
O
L
O
G
I
A
 
D
A
 
I
N
F
O
R
M
A
Ç
Ã
O
2 Cite os quatro domínios do COBIT.
R.: Os quatro domínios são Planejamento e Organização, Aquisição e 
Implementação, Entrega e Suporte, e Monitoração e Avaliação.
3 Qual é a versão mais atual da norma NBR ISO/IEC 17799?
R.: É a norma NBR ISO/IEC 27002.
4 O que vem a ser a norma ISO/IEC 13335?
R.: É um conjunto de diretrizes de gestão de segurança voltadas 
especificamente para a tecnologia da informação.
5 O que motivou a criação da Lei Sarbanes-Oxley?
R.: Os escândalos financeiros das empresas Enron, Worldcom e outras, que 
acabaram com as economias pessoais de muitos norte-americanos.