lista auditoria jose gabriel da silva cin08s1 Copia

Prévia do material em texto

Nome: José Gabriel da Silva Setubal / matricula – 15364356
Lista De Exercícios de Auditoria de Sistemas 03.
1 – Conceitue disponibilidade, confidencialidade, integridade, autenticidade e não repudio.
R= confidencialidade garante que as informações sejam acessadas por somente pessoas autorizadas impedido de pessoas não autorizadas tenham o acesso ao conteúdo uma da principal forma de garantir e através da autenticação de senhas.
Disponibilidade garante que a informação estará disponível quando for requisitada em algum momento.
Integridade quando a informação não foi violada, ou seja, alterada indevidamente.
Autenticidade garante que a informação é proveniente da fonte anunciada, ou seja, não sofreu nenhuma alteração durante o processo.
Não repudio uma pessoa ou entidade não pode negar autoria da informação.
2 – Descreva e conceitue a formação da área de verificação de auditoria.
R= A importância da gestão da segurança da informação é hoje um fato fundamental de qualquer organização independente do seu tamanho ou negócio. Em paralelo, a aplicação de boas práticas de segurança da informação, conforme citadas na ISO 27002, também deve ser adotada no projeto de segurança de informação da organização.
O sucesso da implantação e manutenção do SGSI está baseado na verificação constante das suas atividades. A auditoria dos seus componentes possibilita que o SGSI esteja sempre alinhado às necessidades de segurança da informação do negócio da organização. Esse fato torna a auditoria, de forma ampla, uma ferramenta fundamental à manutenção e adequação do SGSI à estratégia do negócio.
Conceituar auditoria pode ser considerado um tanto quanto fácil, pois existem algumas definições em torno desse assunto. Todavia a NBR ISO 19011 define auditoria como um processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente de modo a determinar a extensão na qual os critérios de auditoria são atendidos.
3 – Cite e conceitue as metodologias de auditoria.
R=
Entrevista: apresentar o plano de auditoria, coletar dados, identificar falhas e apresentar os resultados de trabalho.
Uso de ferramentas de apoio CAATS : são técnicas de análise de dados os dados do auditor podem ser coletados e analisados com o auxílio de um software.
4 – Conceitue vulnerabilidade, ameaças e riscos.
R= 
 Ameaça é um evento ou atitude indesejável que potencialmente remove, desabilita ou destrói um recurso. As ameaças normalmente aproveitam das falhas de segurança da organização possibilidade de um agente (ou fonte de ameaça) explorar acidentalmente ou propositalmente uma vulnerabilidade especifica.
Riscos qualquer evento que possa causar impacto na capacidade de empresas atingirem seus objetivos de negócio. 
Vulnerabilidade Falha de um sistema que possa ser acidentalmente ou propositalmente explorada.
5 – Diferencie ataques de interceptação, interrupção, modificação e fabricação.
R=
 O ataque de interrupção consiste em para um serviço impedido que a informação chegue até o receptor, na modificação consiste no desvio de informação e o seu posterior reenvio ficando até disponível para usuários não autorizados no ataque de fabricação consiste no envio de dados incorretos ou falsos o que afeta a integridade da informação por fim na interceptação consiste na captura de uma cópia da informação possibilitado para usuários não autorizados.
6 – O que é um método não intrusivo?
R= 
É um método de ataque que não é um acesso forçado, por exemplo, s e o DDOS (NEGAÇÃO DE SERVIÇO DISTRIBUIDO) , quando um hacker tem um controle de várias maquinas, conhecidas como maquinas zumbis, ele manda um comando e centenas de maquinas infectadas controladas por ele, para atacarem o alvo e com tanta maquina tentando se conectar ao servidor não dá conta. 
7 – O que é Dos e DDoS?
R= 
Dos- Denial of service: consistem em fazer que os servidores web por exemplo tenham dificuldade ou até sejam impedidos de executar suas tarefas para isso o hacker não infectar a máquina com vírus ou malwares o autor faz que a máquina receba várias requisições fazendo a máquina travar assim não conseguir antedê nenhuma solicitação.
DDos- é um tipo de ataque que utilizar milhares de maquinas para realizar o ataque distribuindo suas ações entre elas.
8 – Diferencie vírus, Worms e cavalos de troia.
R= 
Vírus é um código malicioso que se aloja e se espalha pelo computador e infetar outros computadores já o Worms e um programa que auto se copia utilizado a lista de contatos dos e-mails o cavalo de troia como o próprio nome já diz se apresenta como uma programa indefeso mas dentro dele traz alguma supressas que na verdade e um impostor. 
9 – O que é engenharia social? Cite técnicas.
 Engenharia social e um termo utilizado para descrever um método de ataque pelo modo de persuasão utilizado a ingenuidade da pessoa ou confiança do usuário.
Através das técnicas: analise de lixo o lixo é uma das fontes mais ricas de informações para os Engenheiros Sociais. Existem muitos relatos e matérias publicadas na Internet abordando este tipo de ataque, visto que através das informações coletadas no lixo podem conter nome de funcionários, telefone, e-mail, senhas, contato de clientes, fornecedores, transações efetuadas, entre outros, ou seja, este é um dos primeiros passos para que se inicie um ataque direcionado à empresa. Abordagem Pessoal: Está técnica consiste de o Engenheiro Social realizar uma visita na empresa alvo, podendo se passar por um fornecedor, terceiro, amigo do diretor, prestador de serviço, entre outros, no qual através do poder de persuasão e falta de treinamento dos funcionários, consegue sem muita dificuldade convencer um segurança, secretária, recepcionista a liberar acesso ao datacenter onde possivelmente conseguirá as informações que procura. Phishing: Sem dúvidas esta é a técnica mais utilizada para conseguir um acesso na rede alvo. O Phishing pode ser traduzido como “pescaria” ou “e-mail falso”, que são e-mails manipulados e enviados a organizações e pessoas com o intuito de aguçar algum sentimento que faça com que o usuário aceite o e-mail e realize as operações solicitadas.