Revisao RESUMIDAO

Prévia do material em texto

Trabalho / Revisão
Explique os principais pilares (premissas) da Segurança da Informação. Dê 2 exemplos de cada.
Segurança da Informação é a disciplina que visa preservar a confidencialidade, a integridade e a disponibilidade da informação (CID). São estes os três pilares que detalho a seguir.
Confidencialidade significa garantir que a informação não será conhecida por pessoas que não estejam autorizadas para tal. é importante adotar medidas preventivas, como definir o acesso a informações somente para pessoas autorizadas. Implantar sistemas de criptografia de dados, autenticação de dois fatores e verificação biométrica. 
 
Integridade, por sua vez, significa garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta.
Integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida.
 
Disponibilidade, Propriedade de estar acessível e utilizável quando demanda por uma entidade autorizada. Que podem ser garantida de forma mais eficiente por meio da implantação de processos de manutenção rápida de hardwares e eliminação de conflitos de software graças à priorização de programas compatíveis. É essencial utilizar uma infraestrutura tecnológica voltada à manutenção e preservação do acesso aos dados. 
O que são os mecanismos de proteção?
Mecanismos de segurança são ferramentas técnicas e métodos que são utilizados para implementar serviços de segurança. Um mecanismo pode operar por conta própria, ou com outros, para fornecer um serviço especifico.
Ex:
Cryptography
Certificados digitais
Trecho de mensagens e assinatura digitais
Infraestrutura da Chave Publica
 
O que são os controles lógicos e físicos? Dê 3 exemplos de cada.
Os mecanismos de segurança da informação são responsáveis pela concretização das políticas de segurança nos sistemas computacionais. Desta forma, as políticas de segurança – e os comportamentos que recomendam, expressos através de modelos de segurança –, são implantadas por mecanismos de segurança da informação. Tais mecanismos exercem os controles (físicos e/ou lógicos) necessários para garantir que as propriedades de segurança (confidencialidade, integridade e disponibilidade) sejam mantidas em conformidade com as necessidades do negócio.
Controle de acesso físico: 
Câmeras de vigilância de circuito fechado
Portas de aço trancadas com fechaduras 'dead-bolt'
Crachás e catracas eletrônicas 
Controle de Acesso Logico:
Criptografia
Autenticação de rede
Biométrica (inclui impressão digital, voz, rosto, íris, manuscrito e outros métodos automatizados usados para reconhecer indivíduos)
4) Explique e defina:
a) Política de Segurança; A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa. (FONTES, 2006)
Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de práticas para a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
b) Ameaça; É a possibilidade de um agente, interno ou externo, explorar acidentalmente ou propositalmente uma vulnerabilidade específica.
c) Incidente de segurança; Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação levando a perda de um ou mais princípios básicos de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.
d) Mecanismos de controle; implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos.
e) Vulnerabilidade. A vulnerabilidade é a falha ou brecha da Segurança da Informação que pode ser explorada por ameaças;
5) A imagem abaixo reflete a gestão de segurança da informação e informa o fluxo e ações de cada entidade/autor. Explique e dê exemplos.
Etapas – Identificação de ativos 
 Identificação de vulnerabilidade/ ameaças/ riscos
 Identificação de controles existentes
 Analise / Calculo da probabilidade do risco
 Determinação de consequências/ impacto do risco
 Classificação do risco
 Tratamento do risco	
6) A serie da ISO 27000 mostra como uma organização pode implementar um Sistema de Gestão de Segurança da Informação (SGSI) baseado em um conjunto de diretrizes que tem por objetivo facilitar o gerenciamento da SGSI. Explique as ISOs 27001, 27002, 27003, 27004 e 27005.
A série de normas ISO/IEC 27000, publicadas pelo ABNT no Brasil, são dedicadas à segurança dos sistemas de informação e definem aspectos que devem ser considerados ao se elaborar políticas de segurança nas organizações;
Nessa série se sobressaem as normas ISO/IEC 27001:2006 (ABNT, 2006), que abordam os requisitos para os sistemas de gestão da Segurança da Informação, e a norma ISO/IEC 27002:2005 (ABNT, 2005), que trata das práticas de sistemas de gestão da Segurança da Informação, substituindo a norma anterior ISO/IEC 17799:2005 e estabelecendo diretrizes e princípios gerais para iniciar, programar, manter e melhorar a gestão de Segurança da Informação em uma organização. 
Segunda a ISO/IEC 27002:2005 (ABNT, 2005) a Segurança da Informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados quando e onde for necessário, para garantir que os objetivos de negócio e de segurança da organização sejam atendidos. 
7) Quais os principais tipos de malwares existentes?
1 – Ransomware. Ransomware é um tipo de malware que dá ao hacker o poder de bloquear uma máquina, ou sequestrar dados específicos como DOC's ou PDF's. ...
2 – Spyware é um tipo de software malicioso que pode coletar informações sobre as atividades dos computadores de destino sem o conhecimento de seus usuários.
3 – Worms são programas de computador independentes com uma intenção maliciosa que se espalham a partir de um computador para os outros.
4 – Trojan (Cavalo de Tróia) Um cavalo de Tróia ou Trojan, como também é chamado, é um tipo de malware que se disfarça como algo que é legítimo ou útil. Seu principal objetivo é ganhar a confiança do usuário a partir do front-end, para então poder obter a permissão para ser instalado. A partir de sua instalação, ele entrega o controle da máquina para o hacker.
8) Qual a diferença entre malware e vírus?
Todo vírus de computador é um malware, mas nem todo malware é um vírus.
A grande diferença que permite separar um do outro está em alguns métodos de reprodução e na própria construção do vírus para a arquitetura do computador.
Trabalho / Revisão
1.) O que é ITIL v3? Esse framework pode ser considerado uma metodologia? Por quê?
2.) Qual a diferença entre gestão de ti e governança de ti?
3.) O que é gerenciamento de Serviço de TI?
4.) Quais são as características de um processo.
5.) Qual a função do Livro estratégia de Serviço? Quantos Processos ele tem?Quantas
funções?
6.) O livro de Estratégia de Serviço trouxe o conceito desenvolvido por Mintzberg dos 4 Ps.
Explique-os
a.) Perspectiva b.) Posição c.) Plano d.) Padrão
7.) Quais os tipo de provedores de Serviço Existentes? Explique-os. Diga quais as
vantagens e desvantagens.
8.) Explique todos os processos da Estratégia de Serviço e não esqueça de informar quem
executa o papel de cada Processo.
9.) O que é o SLP? Qual sua utilidade?
10.) Qual a diferença entre catálogo de portfólio e catálogo de serviço? Segundo o ITILv3
quem executa o papel, na gerência de portfólio?
11.) Qual a função do Livro Desenho de Serviço?
12.) Quais são os 4 Ps do Desenho de Serviço? Explique-os.
13.) Quais as Atividades executadas no desenho de serviço?
14.) Quais os cinco aspectos mais importantes do Desenho de Serviço?
15.) Quais as 7 opções de fornecimento de serviço? Explique-os
16.) Quais são os processos do Desenho de Serviço?Explique-os resumidamente (não
esqueça de dizer quem executa o papel). Quais as Funções do Desenho de Serviço?
17.) Qual a diferença entre catálogo de portfólio e catálogo de serviço? Segundo o ITILv3
quem executa o papel, na gerencia do catalogo de serviço?
18.) Explique.
a.) SLA (ANS ) b.) OLA (ANO) c.) SIP (PAS)
19.) Com relação ao processo de gerenciamento de disponibilidade, explique:
a.) Disponibilidade b.) Confiabilidade
c.) Sustentabilidade d.) Funcionalidade
20.) O que é o CPIAM? Explique.
21.) O Desenho de Serviço gera um produto. Qual nome dele.
22.) Qual os objetivos da biblioteca de transição de serviço? Qual o objetivo principal?
23.) Explique:
a.) SGCS b.) BMD
c.) Mudança de Serviço d.) Tipos de Serviços
24.) Explique os 7 Rs do Gerenciamento de Mudanças.
25.) Explique os processos da Transição de Serviço definindo quais permeiam o ciclo de
vida e quais são restritos ao estágio de transição de serviço.
26.) Qual a diferença entre os processos que permeiam o ciclo de vida e os processos que
são restritos ao estágio de transição de serviço.