Exercícios e Perguntas sobre Segurança da Informação

01 - Quais são as dimensões (ou os pilares) da segurança da informação?

DICA-N

• Disponibilidade
• Integridade
• Confidencialidade
• Autenticidade
• Não Repúdio

02 - Explique cada um dos itens da questão anterior.

Disponibilidade: A informação deve estar disponível sempre que necessário (para quem tem direito de acesso).

Integridade: A informação deve estar intacta, exata.

Confidencialidade: A informação deve ser acessível somente para quem tem permissão de acesso.

Autenticidade: Garante a origem da informação (que vem da fonte anunciada).

Não Repúdio: Garante que o autor não pode negar a ação.

03 - O que é um ativo? E quanto à classificação (tangível e intangível)?

Qualquer coisa que tenha valor para uma organização.

Tangíveis: Aplicações, Equipamentos, Usuários.

Intangíveis: Marca, Imagem, Confiabilidade.

04 - Que medidas podem ser tomadas para proteger os dados (citar pelo menos 3)?

• Prevenção
• Desencorajamento
• Monitoramento
• Detecção
• Limitação
• Reação
• Correção
• Recuperação

05 - Nas situações a seguir, definir quais são os ativos, qual a vulnerabilidade e quais contramedidas podem ser adotadas para evitar ameaças.

a) Uma empresa de embalagens de papelão está localizada em um galpão. Dentro do galpão existem máquinas para fabricação de embalagens e alguns computadores. O galpão é trancado, por fora, apenas por um simples cadeado.

Ativos: máquinas e computadores.

Vulnerabilidade: cadeado simples e a segurança física do galpão.

Contramedidas: utilização de tranca reforçada, instalação de câmeras de segurança.

b) Um provedor de internet possui diversos equipamentos, como roteadores, switches, computadores e nobreaks. O provedor está instalado em uma sala de edifício comercial, com vigilância 24h, sistemas de combate a incêndios e portas biométricas de acesso às instalações. O provedor não possui uma política de segurança, utiliza a MESMA senha em TODOS os equipamentos de rede, deixa-os acessíveis de QUALQUER ponto em sua rede (inclusive para clientes) e fornece internet para que os funcionários consigam resolver problemas em QUALQUER parte da infraestrutura.

Ativos: reputação, dados dos clientes, equipamentos de rede.

Vulnerabilidade: utilização de uma mesma senha para todos os equipamentos, acesso irrestrito de qualquer local na rede, falta de política de segurança.

Contramedidas: política de senhas robusta, controle de acesso segmentado, implementação de política de segurança da informação.

06 - Em um sistema conectado à internet, identifique:

a) Pelo menos 3 Riscos

• Roubo de dados
• Indisponibilidade do serviço
• Perdas financeiras
• Danos à imagem/reputação

b) Pelo menos 2 tipos de atacantes

• Criminosos cibernéticos
• Vândalos
• Espionagem industrial
• Governos

c) Pelo menos 2 tipos de vulnerabilidades

• Defeitos em softwares
• Falhas na configuração
• Credenciais padrão (default)
• Uso inadequado do sistema
• Funcionários mal treinados

07 - Cite 3 formas de um computador ser infectado ou comprometido por um código malicioso.

• Exploração de vulnerabilidades em softwares instalados
• Execução de mídias removíveis infectadas
• Acesso a páginas web maliciosas
• Execução de arquivos infectados (ex: anexos de e-mail)
• Propagação através de outros computadores em uma rede local

08 - Explique os seguintes tipos de ataques:

a) Defacement

É usado para categorizar os ataques feitos por defacers e script kiddies para modificar a página principal de um site na Internet.

b) Força Bruta

Uma busca exaustiva por chave ou senha. É um ataque criptoanalítico que pode, em teoria, ser usado contra dados criptografados ou sistemas de autenticação.

c) Engenharia Social

Refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgação de informações confidenciais.

d) Phishing

Uma maneira desonesta que os cibercriminosos usam para enganar usuários a revelar informações pessoais, tais como senhas, dados de cartão de crédito, CPF e números de contas bancárias.

e) Negação de Serviço (DoS) e Negação de Serviço Distribuído (DDoS)

É uma tentativa de tornar os recursos de um sistema indisponíveis para seus usuários legítimos.

f) Ataque Man-in-the-Middle (Homem no Meio)

É uma forma de ataque onde o invasor intercepta e possivelmente altera a comunicação entre duas partes (por exemplo, você e seu banco).