• Nenhum resultado encontrado

19-04-2012- ERA-SI-1 Lista de Exercícios

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "19-04-2012- ERA-SI-1 Lista de Exercícios"

Copied!
6
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 6 páginas )

Texto

(1)

DISCIPLINA: 238S – SEGURANÇA DA INFORMAÇÃO

TURMAS: TI2P18 / TI3P18 (NOTURNO) Prof. Evandro Raphaloski

1ª LISTA DE EXERCÍCIOS

EXERCÍCIO 1: Assinale com “C” (Certo) ou “E” (Errado) as questões a seguir.

( ) Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

( ) São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

( ) Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

( ) Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

( ) É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

( ) O acesso físico e lógico de terceiros aos recursos de processamento da informação da organização devem ser controlados. Um exemplo de acesso lógico é o acesso aos bancos de dados da organização.

( ) A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.

( ) Recomenda-se que as responsabilidades de segurança sejam atribuídas nas fases de seleção de pessoal, incluídas em acordos informais de trabalho e monitoradas durante a vigência de cada contrato de trabalho.

( ) Acordos de confidencialidade fazem parte de uma política de pessoal cujo objetivo é assegurar que não haja acesso a sistemas sensíveis por pessoas não autorizadas.

( ) O documento da política de controle de acesso contém as políticas para autorização e distribuição de controle de acesso. É recomendável a existência de um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços, com exceção dos sistemas multiusuários.

( ) Privilégio é qualquer característica ou facilidade de um sistema de informação multiusuário que permita ao usuário sobrepor controles do sistema ou aplicação. A concessão e uso de privilégios deve ser restrito e controlado, e sua utilização inadequada é considerada fator de vulnerabilidade de sistemas.

( ) As senhas fornecem um meio de validação da autoridade do usuário e o estabelecimento dos direitos de acesso para os recursos ou serviços de leitura da informação.

(2)

aos serviços de informação. Também busca utilizar mecanismos de autenticação apropriados para usuários e equipamentos.

( ) Conexões externas que utilizam métodos dial-up devem ser validados conforme o nível estabelecido por avaliações de risco. Controles e procedimentos de discagem reversa, conhecidos por call forwarding, expõem e fragilizam a organização, uma vez que utilizam dispositivos roteadores com discagem reversa e levam o usuário a manter a linha aberta com a pretensão de que a verificação da chamada reversa tenha ocorrido.

( ) Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.

( ) O documento da política de segurança da informação estabelece as suas linhas mestras, expressa as preocupações da administração e é por ela aprovado e comunicado a todos os funcionários. ( ) São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.

( ) Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.

( ) Alguns controles deverão salvaguardar sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. O escopo de verificação deve ser acordado e controlado.

( ) Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.

( ) Controles de ambiente e software devem se corretamente implementados para que a validação da conformidade técnica e científica assegure que os sistemas de informação sejam verificados em conformidade com as normas de segurança implementadas.

( ) Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado. Para obter admissibilidade da evidência, recomenda-se que as organizações garantam que seus procedimentos operacionais estejam em conformidade com qualquer norma ou código de conduta publicado para produção de evidência admissível.

( ) Gerenciamento de risco refere-se à análise das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência. Análise de risco é o processo de identificação, controle e maximização ou eliminação dos riscos de segurança que possam, a um custo aceitável, afetar os sistemas de informação.

( ) A análise crítica periódica dos riscos de segurança e dos controles implementados deve, entre outros, confirmar que os controles permanecem eficientes e adequados.

( ) Análises críticas devem ser executadas em níveis de profundidade distintos e se apóiam nas análises de riscos anteriormente realizadas. As probabilidades de falhas são embasadas, entre outros, nas ameaças e vulnerabilidades mais frequentes e nos controles implementados.

( ) A relevância de qualquer controle é determinada pelos riscos específicos a que os patrocinadores estão expostos.

(3)

EXERCÍCIO 2: Defina o que é propriedade, privacidade, informação e segurança da informação. EXERCÍCIO 3: Lista todas a medidas de seguranças apresentadas em aula e defina cada uma delas (o que são, para que servem etc).

EXERCÍCIO 4: Sobre segurança da informação, analise:

I. É obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

II. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado.

III. Os controles de segurança precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

IV. É importante para os negócios, tanto do setor público como do setor privado, e para proteger as infraestruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.

Está correto o que consta em: a) I, II, III e IV.

b) I, III e IV, apenas c) I e IV, apenas. d) III e IV, apenas. e) I e II, apenas.

EXERCÍCIO 5: Quais são as possíveis atitudes de segurança de informações possíveis e a que se referem?

EXERCÍCIO 6: Quais são os 4 principais conceitos abordados em segurança de informação. Explique cada um deles.

EXERCÍCIO 7: Quais são as principais carreiras de um profissional de segurança de TI ? Explique cada uma delas.

EXERCÍCIO 8: Quais são as principais regras se segurança na internet? EXERCÍCIO 9: Defina ética da informação e suas classificações.

EXERCÍCIO 10: Com relação à segurança da informação, assinale a opção correta.

a) A política de segurança da informação define o que deve ser protegido, por quê, e também quem será o responsável pela proteção, provendo uma base para decisões futuras.

b) A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar em consideração o esforço, o tempo e os recursos necessários.

(4)

d) O risco de um ataque é proporcional à sua facilidade de execução. e) A ameaça é o produto do risco pelo custo da proteção.

EXERCÍCIO 11: Após um incidente de segurança da informação convém que evidências sejam exigidas e coletadas para assegurar

a) respostas rápidas, efetivas e ordenadas ao incidente. b) conformidade com as exigências legais.

c) que todas as ações de emergência sejam documentadas em detalhe. d) que as ações de emergência sejam relatadas para a direção.

e) a integridade dos sistemas do negócio e que seus controles sejam validados na maior brevidade.

EXERCÍCIO 12: Defina cada um dos itens a seguir de acordo com os conceitos envolvidos em segurança da informação: a) Autenticidade. b) Integridade. c) Irretratabilidade. d) Confidenciabilidade. e) Privacidade. f) Integridade. g) Disponibilidade. h) Consistência.

EXERCÍCIO 13: Defina os seguintes termos: hacking (ou hackers), crackers, ciber-roubo e negação de serviço (DoS – Denial of Service).

EXERCÍCIO 14: Defina e descreva os principais crimes de informática e suas leis acometidos contra pessoas, patrimônios, propriedade, costumes etc ?

EXERCÍCIO 15: Em relação à segurança da informação, considere:

I. Capacidade do sistema de permitir que alguns usuários acessem determinadas informações, enquanto impede que outros, não autorizados, sequer as consultem.

II. Informação exposta, sob risco de manuseio (alterações não aprovadas e fora do controle do proprietário da informação) por pessoa não autorizada.

III. O sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.

Os itens I, II e III, associam-se, direta e respectivamente, aos princípios de: a) confidencialidade, integridade e autenticidade.

b) autenticidade, confidencialidade e irretratabilidade. c) confidencialidade, confidencialidade e irretratabilidade. d) autenticidade, confidencialidade e autenticidade. e) integridade, confidencialidade e integridade.

(5)

EXERCÍCIO 16: Em relação à vulnerabilidades e ataques a sistemas computacionais, é correto afirmar:

a) Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.

b) O vazamento de informação e falha de segurança em um software constituem vulnerabilidades. c) Roubo de informações e perda de negócios constitui ameaças.

d) Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

e) Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.

EXERCÍCIO 17: De acordo com a NBR ISO/IEC 27002:

a) A análise/avaliação de riscos não deve ser feita periodicamente para não impactar nos custos dos projetos de software ou hardware.

b) A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para ignorar o risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização. Convém que esteja sujeito apenas às legislações e regulamentações nacionais relevantes.

c) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos e a comunicação de riscos. Não inclui aceitação de riscos.

d) Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).

e) O escopo de uma análise/avaliação de riscos deve ser sempre em toda a organização, pois todas as áreas estão sujeitas aos riscos.

EXERCÍCIO 18: Segundo a Norma 27002, o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido, dentre outros, pelo controle

a) Remoção de propriedade. b) Manutenção dos equipamentos. c) Entrega de serviços.

d) Segregação de funções. e) Gestão de capacidade.

EXERCÍCIO 19: Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 17799:2005 é correto afirmar:

a) Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

b) b) Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da

(6)

c) Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

d) A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.

e) Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência

EXERCÍCIO 20: Com relação à backups de dados considere:

I. A política de segurança deve fornecer as diretrizes necessárias para orientar o desenvolvimento de procedimentos de backup e restore.

II. Para a implementação do backup, deve-se levar em consideração a importância da informação, o nível de classificação utilizado, sua periodicidade de atualização e também sua volatilidade.

III. Os backups devem ser mantidos no mesmo local físico de armazenamento dos dados originais para possibilitar sua rápida restauração.

IV. Além dos backups realizados por empresas terceiras, como, por exemplo, provedores de sites de contingência, deve-se produzir uma cópia adicional de segurança dos backups, considerados mais críticos para ser armazenada nas instalações da organização independentemente das cláusulas contratuais estabelecidas, que visam proteger a organização.

Está correto o que se afirma em a) I, II, III e IV.

b) I e IV, apenas. c) I, II e IV, apenas. d) I e II, apenas. e) III e IV, apenas.

EXERCÍCIO 21: Com relação ao Plano de Continuidade de Negócio é INCORRETO afirmar:

a) Deve ser elaborado um Plano de Continuidade de Negócio que possibilite que a organização funcione em um nível aceitável para sua sobrevivência e absorva possíveis impactos financeiros, operacionais e de imagem

b) O desenvolvimento do Plano de Continuidade de Negócio deve ser específico para cada organização, pois deve ser baseado em uma análise de impacto no negócio caso ocorra uma indisponibilidade dos recursos de informação.

c) A alta administração e os acionistas da organização não precisam conhecer e aprovar as ameaças e riscos que estão fora de cada versão do Plano de Continuidade de Negócio, pois esses aspectos são definidos e homologados pela gerência de TI.

d) O Plano de Continuidade de Negócio deve ser eficiente/eficaz, mantido atualizado e testado periodicamente com a participação de todos os envolvidos.

e) Seu objetivo é o planejamento de ações para serem executadas quando da ocorrência de uma situação de contingência, de maneira a garantir que a organização mantenha suas atividades críticas em um nível previamente definido pela área de negócio e direção como aceitável.

Referências

Descarregar agora ( PDF - 6 páginas - 108.51 KB )

Documentos relacionados

CATALAGO RETESP RETENTOR

[r]

Ranking das linguagens de programação mais utilizadas. TIOBE Index PyPL Index Redmonk IEEE Spectrum

• Quando o navegador não tem suporte ao Javascript, para que conteúdo não seja exibido na forma textual, o script deve vir entre as tags de comentário do HTML. <script Language

A acessibilidade do sujeito com deficiência física na escola : problematização de uma realidade acompanhada

Por volta dos anos de 1960, teve inicio o movimento para a integração social, que planejava “inserir as pessoas com deficiências nos sistemas sociais gerais, como a

2ª Feira, 1 de fevereiro Ser misericordioso

Jesus arrisca noventa e nove ovelhas para ir atrás da ovelha perdida, mostrando-nos o nosso dever misericordioso de acolher a todos e indica-nos qual deve ser o nosso modo de ser e de

Edital nº 005/2016. Processo Seletivo Simplificado Enfermagem (Enfermeiros e Técnicos de Enfermagem)

Processo Seletivo Simplificado Enfermagem (Enfermeiros e Técnicos de Enfermagem) Convocação para 3ª etapa. Avaliação Psicológica e Dinâmica de Grupo Técnicos

A Lista de Fauna Ameaçada de Extinção e os Entraves para a Inclusão de Espécies – o Exemplo dos Peixes Troglóbios Brasileiros

A Lista de Fauna Ameaçada de Extinção e os Entraves para a Inclusão de Espécies – o Exemplo dos Peixes Troglóbios Brasileiros.. The List of Endangered Fauna and Impediments

FERROGRÃO: FRAGILIDADES E LIÇÕES PARA A IMPLEMENTAÇÃO DE UMA AGENDA DE INFRAESTRUTURA SUSTENTÁVEL

Para esse fim, analisou, além do EVTEA, os Termos de Referência (TR) do EVTEA e do EIA da Ferrogrão, o manual para elaboração de EVTEA da empresa pública Valec –

FERROGRÃO: WEAKNESSES AND LESSONS LEARNED IN IMPLEMENTING A SUSTAINABLE INFRASTRUCTURE AGENDA

Requiring a realignment of the EVTEA with its ToR, fine-tuning it to include the most relevant socio-environmental components and robust methodologies for assessing Ferrogrão’s impact