Pilares, Ativos e Ameaças na Segurança da Informação

01 – Quais são as dimensões (ou os pilares) da Segurança da Informação?

DICA-N:

• Disponibilidade
• Integridade
• Confidencialidade
• Autenticidade
• Não repúdio

02 – Explique cada um dos itens da questão anterior.

• Disponibilidade – A informação deve estar disponível, sempre que necessário (a quem tem direito de acesso).
• Integridade – A informação deve estar íntegra, exata.
• Confidencialidade – A informação deve estar acessível somente a quem tem permissão de acesso.
• Autenticidade – Garantir a origem da informação (que vem da fonte anunciada).
• Não repúdio – Garantia de que o autor não pode negar a ação.

03 – O que é um ativo? E quanto à classificação (tangível e intangível)?

Qualquer coisa que tenha valor para a organização.

• Tangíveis: Aplicativos, Equipamentos, Usuários.
• Intangíveis: Marca, Imagem, Confiabilidade.

04 – Que medidas podem ser tomadas para a proteção de dados (cite pelo menos 3)?

Prevenção, desencorajamento, monitoramento, detecção, limitação, reação, correção e recuperação.

05 – Nas situações a seguir, defina quais os ativos, qual a vulnerabilidade e quais contramedidas podem ser tomadas para evitar a ameaça.

a) Empresa de embalagens de papelão

Uma empresa de embalagens de papelão está situada em um galpão. Dentro do galpão existem máquinas para a fabricação das embalagens e alguns computadores. O galpão é trancado, por fora, apenas por um cadeado simples.

• Ativos: Máquinas e computadores.
• Vulnerabilidade: Cadeado simples para fechar o galpão.
• Contramedidas: Utilização de tranca mais robusta, instalação de câmeras de segurança.

b) Provedor de internet

Um provedor de internet possui diversos equipamentos, como roteadores, switches, computadores e nobreaks. O provedor está instalado em uma sala de um prédio comercial, com vigilância 24h, sistemas de combate a incêndio e fechaduras biométricas para acesso às instalações. Uma política do provedor é utilizar a mesma senha em todos os equipamentos de rede e deixá-los acessíveis de qualquer ponto em sua rede (inclusive a partir dos clientes) e da internet, para que os funcionários consigam resolver problemas em qualquer parte da infraestrutura.

• Ativos: Reputação, dados dos clientes.
• Vulnerabilidade: Utilização de uma mesma senha, acesso de qualquer local.
• Contramedidas: Política de senhas robusta, acesso controlado e segmentado.

06 – Em um sistema conectado à internet, identifique:

a) Pelo menos 3 Riscos

Roubo de dados, indisponibilidade (sair do ar), perdas financeiras, danos à imagem.

b) Pelo menos 2 tipos de atacantes

Criminosos, vândalos, espionagem industrial, governos.

c) Pelo menos 2 tipos de vulnerabilidades

Defeitos em softwares, falhas na configuração, configuração padrão, uso inadequado, funcionários mal treinados.

07 – Cite 3 maneiras que um computador pode ser infectado ou comprometido por um código malicioso.

• Exploração de vulnerabilidade em softwares instalados.
• Execução de mídias removíveis infectadas.
• Acesso a páginas maliciosas.
• Execução de arquivos infectados.
• Através de outros computadores na rede local.

08 – Explique os seguintes tipos de ataque:

a) Defacement

É usado para categorizar os ataques realizados por defacers e script kiddies para modificar a página de um site na Internet.

b) Força Bruta

Busca exaustiva de chave, é um ataque criptoanalítico que pode, em teoria, ser usado contra quaisquer dados criptografados.

c) Engenharia Social

Refere-se à manipulação psicológica de pessoas para a execução de ações ou divulgar informações confidenciais.

d) Phishing

Uma maneira desonesta que cibercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias.

e) Negação de Serviço (DoS) e Negação de Serviço Distribuído (DDoS)

É uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores.

f) Man in the Middle (MITM)

É uma forma de ataque em que os dados trocados entre duas partes (por exemplo, você e o seu banco) são interceptados.