Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIVERSIDADE SALGADO DE OLIVEIRA Professor Celso Cardoso Neto celsocn17@gmail.com 1-1 mailto:celsocn@oi.com.br 2 UNIDADE 4 – POLÍTICA DE SEGURANÇA I - MARQUE COM UM X A RESPOSTA CORRETA 1. A figura abaixo ilustra o ciclo PDCA, relacionado à implementação de política de segurança nas organizações. Os identificadores I, II, III e IV são denominados: ( ) , , e ( ) , , e ( ) , , e ( ) , , e ( ) , , e 2. No que diz respeito às recomendações do Comitê de Padrões da Associação de Controle e Auditoria de Tecnologia de Informação dos Estados Unidos, no que tange aos trabalhos do auditor de TI, assinale V para a afirmativa verdadeira e F para a falsa. ( ) A responsabilidade, a autoridade e a prestação de contas sobre a função de auditor de tecnologia de informação devem ser apropriadamente documentadas numa carta proposta ou de aderência ao escopo. ( ) Em todas as questões relativas a auditoria, o auditor de TI deve ser independente, seja em atitude ou aparência. No relacionamento organizacional a função de auditor de tecnologia de informação deve ser suficientemente independente da área sob auditoria para permitir uma conclusão objetiva da auditoria. ( ) Para o desenvolvimento de suas atividades, não há necessidade do auditor de TI aderir ao código de ética profissional da Associação de Controle e Auditoria de Tecnologia de Informação. ( ) O planejamento das atividades para direcionar os objetivos da auditoria e seguir os padrões profissionais de auditoria é dispensável entre as atribuições do auditor de TI. As afirmativas são, respectivamente, ( ) V, V, F e F ( ) V, F, F e F ( ) F, V, V e V ( ) V, F, V e F ( ) V, F, F e V 3 3. No contexto da Política de Segurança, em particular aos Planos de Segurança, relacione a coluna TIPO com a coluna FOCO. a) TIPO: (I) Plano de Contingência (II) Plano de Continuidade de Negócios (III) Plano de Recuperação de Desastres b) FOCO: ( ) Em ativos de TI e sinistros com efeitos de longo prazo. ( ) Em interrupções nos sistemas de TI com efeitos de curto prazo. ( ) Em processos de negócio: questões relacionadas aos ativos de TI somente abordadas no que se refere à sua importância para os processos críticos do negócio. Assinale a alternativa que mostra a sequência correta, de cima para baixo. ( ) I, III e II ( ) II, I e III ( ) II, III e I ( ) III, I e II ( ) III, II e I 4. De acordo com o Modelo de Planejamento e Desenvolvimento do Plano de Continuidade de Negócios (PCN), uma etapa trata das atividades relacionadas à avaliação e controle de riscos, que definem os possíveis e prováveis cenários que fazem parte do ambiente corporativo e que podem afetar a organização tanto com interrupções quanto com desastres. Nesta etapa serão determinados quais os possíveis danos relacionados a cada evento e quais as medidas necessárias para prevenir e reduzir os efeitos de uma potencial perda. É possível incluir nesta etapa uma análise de ROI - Return of lnvestment - para facilitar a justificativa dos custos no controle de redução de riscos. Essa etapa é denominada ( ) AVALIAÇAO E CONTROLE DOS RISCOS ( ) INÍCIO E ADMINISTRAÇÃO DO PROJETO ( ) DESENVOLVIMENTO E IMPLEMENTAÇÃO DO PCN ( ) IMPLEMENTAÇÃO DOS PROGRAMAS DE TREINAMENTO ( ) DESENVOLVIMENTO DE ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS 4 5. Planos de Contingência são desenvolvidos para cada ameaça considerada em cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes os procedimentos a serem executados em estado de contingência. Nesse contexto, relacione a coluna ESTRATÉGIA DE CONTINGÊNCIA com a coluna DESCRIÇÃO. a) ESTRATÉGICA DE CONTINGÊNCIA: (I) HOT-SITE (II) COLD-SITE (III) WARM-SITE (IV) BUREAU DE SERVIÇOS (V) ACORDO DE RECIPROCIDADE (VI) REALOCAÇÃO DE OPERAÇÃO b) DESCRIÇÃO: ( ) Estratégia conveniente para atividades que demandariam investimentos de contingência inviáveis ou incompatíveis com a importância da mesma, esta estratégia propõe a aproximação e um acordo formal com empresas que mantêm características físicas, tecnológicas ou humanas semelhantes à sua, e que estejam igualmente dispostas a possuir uma alternativa de continuidade operacional. ( ) Estratégia considera a possibilidade de transferir operacionalização da atividade atingida para um ambiente terceirizado, fora dos domínios da empresa. ( ) Estratégia "quente" ou pronta para entrar em operação assim que uma situação de risco ocorrer. O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas do objeto. ( ) Estratégia que se aplica a objetos com maior tolerância à paralisação, podendo se sujeitar à indisponibilidade por mais tempo, até o retorno operacional da atividade. Por exemplo, o serviço de e-mail dependente de uma conexão de comunicação. ( ) Estratégia objetiva desviar a atividade atingida pelo evento que provocou a quebra de segurança, para outro ambiente físico, equipamento ou link, pertencentes à mesma empresa. Só é possível com a existência de "folgas" de recursos que podem ser alotados em situações de crise. ( ) Estratégia propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recursos de processamento de dados. É aplicável a situações com tolerância de indisponibilidade ainda maior. Assinale a alternativa que mostra a sequência correta, de cima para baixo. ( ) I, III, VI, II, V e IV ( ) III, VI, II, V, IV e I ( ) IV, I, III, VI, II e V ( ) V, IV, I, III, VI e II ( ) VI, II, V, IV, I e III 5 6. Entre as Normas da ISO/IEC 27000, uma define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), sendo a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma internacional que pode ser auditada e que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Essa Norma é conhecida por ( ) ISO/IEC 27001 ( ) ISO/IEC 27002 ( ) ISO/IEC 27003 ( ) ISO/IEC 27004 ( ) ISO/IEC 27005 7. Entre as Normas da ISO/IEC 27000, uma representa um código de boas práticas com um conjunto completo de controles que auxiliam na aplicação do Sistema de Gestão da Segurança da Informação. Essa Norma é conhecida por ( ) ISO/IEC 27001 ( ) ISO/IEC 27002 ( ) ISO/IEC 27003 ( ) ISO/IEC 27004 ( ) ISO/IEC 27005 8. Na atualidade a segurança dos ativos de uma empresa é uma das atividades que mais chamam a atenção e que preocupam os administradores de rede. No que diz respeito aos sistemas operacionais uma palavra é assim definida: • uma técnica de blindagem de sistemas que envolve um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas com foco na infraestrutura. Seu objetivo principal é tornar o sistema preparado para enfrentar tentativas de ataque. • É traduzida como endurecimento. Alguns autores utilizam blindagem e se refere a ajustes finos efetuados no sistema após uma instalação. • O conceito caracteriza-se por medidas e ações que visam proteger um determinado sistema de invasores. • Representa um processo de proteger um sistema contra ameaças desconhecidas. Os administradores de sistema devem endurecer uma instalação contra o que eles acham que poderia ser uma ameaça. Essa palavra é conhecida por ( ) Hardening ( ) Deepening ( ) Shapening ( ) Weakening ( ) Awakening 9. Na atualidade a segurança dos ativos de uma empresaé uma das atividades que mais chamam a atenção e que preocupam os administradores de rede. No que diz respeito aos sistemas operacionais uma palavra é assim definida: No contexto da segurança da informação, um tipo de gestão possui as características listadas a seguir. • Constitui uma abordagem proativa com a finalidade de gerenciar uma rede buscando levantar e analisar os riscos de falhas que possam comprometer a segurança. • Fundamenta-se em práticas e processos, que tem por objetivos a diminuição e eliminação de falhas. • Permite que o gerente de TI possa tomar decisões mais conscientes de posse de informações e dados efetivos e assim encontrar a melhor estratégia para se manter protegido de invasões, ataques e falhas. Esse tipo é conhecido por Gestão de ( ) Riscos ( ) Sinistros ( ) Acidentes ( ) Incidentes ( ) Vulnerabilidades http://www.vert.com.br/blog-vert/o-que-aprender-com-famosos-casos-de-falhas-na-seguranca-da-informacao-empresarial/ 6 10. A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a necessidade, as prioridades e o grau de proteção. Com base nesse objetivo, a norma estabelece diretrizes para essa classificação, entre as quais se inclui a de ( ) atribuir o processo de revisão do nível de confidencialidade de um documento à alta gerência. ( ) manter a responsabilidade pela atribuição do nível de confidencialidade de um documento com o setor de TI. ( ) manter os rótulos de classificação originais nos documentos oriundos de outras organizações. ( ) manter o princípio de equidade que garante aos funcionários com funções similares o mesmo direito de acesso às informações classificadas. ( ) rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais, segundo seu valor e sensibilidade para a organização. 11. Um profissional de segurança da informação deve compreender detalhadamente a norma NBR ISO/IEC 27002 para aplicá-la corretamente na sua organização. Sobre o tema, analise as afirmativas a seguir. (I) A norma foi originalmente publicada como NBR ISO/IEC 27001, sendo atualizada com o objetivo de fornecer recomendações básicas e mínimas para a gestão de segurança da informação nas organizações. (II) Para que o processo de segurança da informação de uma organização tenho sucesso, é necessário que os regulamentos estejam alinhados com os objetivos do negócio e a forma de implementação seja coerente com a cultura organizacional. (III) Para proteger adequadamente a informação, é necessário que se tenha a identificação dos ativos de informação, seus responsáveis, sua forma de uso e classificação em termos de sigilo. Está correto somente o que se afirma em: ( ) I ( ) II ( ) III ( ) I e II ( ) II e III 12. Em relação a normativas de segurança da informação, analise as afirmativas abaixo: (I) A norma que trata de boas práticas de segurança da informação é a ISO/IEC 27002. (II) Para conhecer as diretrizes de um SGSI, deve-se utilizar a norma ISO/IEC 27001. (III) A recente norma ISO/IEC 27006 é uma evolução da norma ISO/IEC 27002, absorvendo os conceitos usados na norma ISO/IEC 27001. Está correto somente o que se afirma em: ( ) I ( ) II ( ) III ( ) I e II ( ) II e III II – QUESTÕES DISCURSIVAS 13. No que diz respeito à Norma ISO/IEC 27002, responda: a) O que é a ISO 27002? b) Quais os objetivos da ISO 27002? c) Quais os benefícios da ISO 27002 para as empresas? Resposta: 7 14. Indique os principais itens que compõem a ISO 27002, detalhando cada seção. Resposta: 8 GABARITO 1. , , e 2. V, V, F e F 3. III, I e II 4. AVALIAÇAO E CONTROLE DOS RISCOS 5. V, IV, I, III, VI e II 6. ISO/IEC 27001 7. ISO/IEC 27002 8. Hardening 9. Vulnerabilidades 10. rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais, segundo seu valor e sensibilidade para a organização. 11. II e III 12. I e II II – QUESTÕES DISCURSIVAS 13. No que diz respeito à Norma ISO/IEC 27002, responda: a) O que é a ISO 27002? b) Quais os objetivos da ISO 27002? c) Quais os benefícios da ISO 27002 para as empresas? Resposta: a) O que é a ISO 27002? Em 1995, as organizações internacionais ISO (The International Organization for Standardization) e IEC (International Electrotechnical Commission) deram origem a um grupo de normas que consolidam as diretrizes relacionadas ao escopo de Segurança da Informação, sendo representada pela série 27000. Neste grupo, encontra-se a ISO/IEC 27002 (antigo padrão 17799:2005), norma internacional que estabelece código de melhores práticas para apoiar a implantação do Sistema de Gestão de Segurança da Informação (SGSI) nas organizações. Por meio do fornecimento de um guia completo de implementação, essa Norma descreve como os controles podem ser estabelecidos. Estes controles, por sua vez, devem ser escolhidos com base em uma avaliação de riscos dos ativos mais importantes da empresa. Ao contrário do que muitos gestores pensam, a ISO 27002 pode ser utilizada para apoiar a implantação do SGSI em qualquer tipo de organização, pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos; e não apenas em empresas de tecnologia. b) Quais os objetivos da ISO 27002? O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa. c) Quais os benefícios da ISO 27002 para as empresas? As vantagens proporcionadas pela certificação ISO 27002 são representativas para as empresas, principalmente pelo fato de serem reconhecidas mundialmente. São alguns benefícios associados a aplicação da norma: ▪ Melhor conscientização sobre a segurança da informação; ▪ Maior controle de ativos e informações sensíveis; ▪ Oferece uma abordagem para implantação de políticas de controles; ▪ Oportunidade de identificar e corrigir pontos fracos; 9 ▪ Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos; ▪ Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação; ▪ Melhor organização com processos e mecanismos bem desenhados e geridos; ▪ Promove redução de custos com a prevenção de incidentes de segurança da informação; ▪ Conformidade com a legislação e outras regulamentações. 14. Indique os principais itens que compõem a ISO 27002, detalhando cada seção. Resposta: A parte principal da norma se encontra distribuída em seções, que correspondem a controles de segurança da informação, cabendo destacar que há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma, a partir da Seção 5. Vale lembrar que a organização pode utilizar essas diretrizes como base para o desenvolvimento do SGSI. ❖ Seção 5 – Política de Segurança da Informação ✓ Deve ser criado um documento sobre a política de segurança da informação da empresa, que deve conter os conceitos de segurança da informação, uma estrutura para estabelecer os objetivos e as formas de controle, o comprometimento da direção com a política, entre tantos outros fatores. ❖ Seção 6 – Organização da Segurança da Informação ✓ Para implementar a Segurança da Informação em uma empresa, é necessário estabelecer uma estrutura para gerenciá-la da maneira adequada. Para isso, as atividades de segurança da informação devem ser coordenadaspor representantes da organização, que devem ter responsabilidades bem definidas e proteger as informações de caráter sigiloso. ❖ Seção 7 – Gestão de ativos ✓ Ativo, segundo a norma, é qualquer coisa que tenha valor para a organização e que precisa ser protegido. Mas para isso, os ativos devem ser identificados e classificados, de tal forma que um inventário possa ser estruturado e posteriormente mantido. Além disso, eles devem seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos. ❖ Seção 8 – Segurança em recursos humanos ✓ Antes de realizar a contratação de um funcionário – ou mesmo de fornecedores – é importante que ele seja devidamente analisado, principalmente se for lidar com informações de caráter sigiloso. A intenção desta seção é mitigar o risco de roubo, fraude ou mau uso dos recursos. E quando o funcionário estiver trabalhando na empresa, ele deverá estar ciente das ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações. ❖ Seção 9 – Segurança física e do ambiente ✓ Os equipamentos e instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção contra ameaças físicas e ambientais. ❖ Seção 10 – Segurança das operações e comunicações ✓ É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Isso inclui o gerenciamento de serviços terceirizados, o planejamento dos recursos dos sistemas para minimizar 10 o risco de falhas, a criação de procedimentos para a geração de cópias de segurança e sua recuperação e a administração segura de redes de comunicações. ❖ Seção 11 – Controle de acesso ✓ O acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e na segurança da informação. Deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação, a fim de evitar danos a documentos e recursos de processamento da informação que estejam ao alcance de qualquer um. ❖ Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas ✓ Os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação, para que assim possam ser protegidos visando a manutenção de sua confidencialidade, autenticidade ou integridade por meios criptográficos. ❖ Seção 13 – Gestão de incidentes de segurança da informação ✓ Procedimentos formais de registro e escalonamento devem ser estabelecidos, e os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos eventos de segurança da informação, para assegurar que eles sejam comunicados o mais rápido possível e corrigidos em tempo hábil. ❖ Seção 14 – Gestão da continuidade do negócio ✓ Planos de continuidade do negócio devem ser desenvolvidos e implementados, visando impedir a interrupção das atividades do negócio e assegurar que as operações essenciais sejam rapidamente recuperadas. ❖ Seção 15 – Conformidade ✓ É importante evitar a violação de qualquer lei criminal ou civil, garantindo estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Caso necessário, a empresa pode contratar uma consultoria especializada, para que verifique sua conformidade e aderência a requisitos legais e regulamentares.
Compartilhar