Segurança da Informação: Perguntas e Respostas Essenciais

2: Quando a política é utilizada de forma correta, traz algumas vantagens. Cite pelo menos três delas:

R:

• Permite definir controles em sistemas;
• Permite estabelecer os direitos de acesso com base nas funções de cada pessoa;
• Permite a orientação dos usuários em relação à disciplina necessária para evitar violações de segurança;
• Estabelece exigências que pretendem evitar que a organização seja prejudicada em casos de quebra de segurança;
• Permite a realização de investigações de delitos nos computadores;
• É o primeiro passo para transformar a segurança em um esforço comum.

3: Os meios de armazenamento são os suportes físicos ou magnéticos utilizados para armazenar as informações. Cite três fatores de vulnerabilidade dos meios de armazenamento aos quais o analista de segurança da informação deve estar atento:

R:

• Prazo de validade e expiração;
• Defeito de fabricação;
• Uso incorreto;
• Local de armazenamento em locais insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, etc.

4: A falta de capacitação específica de um funcionário para a execução de suas atividades é um fator influente na segurança da informação? Explique:

R: Sim, porque ele pode desconhecer procedimentos de segurança inerentes à sua função. A maior vulnerabilidade, em relação às vulnerabilidades humanas, causadas sem dolo, é o desconhecimento das medidas de segurança adequadas que são adotadas por cada elemento do sistema, principalmente os membros internos da empresa.

5: Sabe-se que uma auditoria é capaz de averiguar fraudes em um sistema. Então, as atividades de auditoria e perícia possuem a mesma finalidade? Explique:

R: A auditoria de sistemas avalia o ambiente de processamento de dados para identificar e avaliar os possíveis riscos (erros, falhas, irregularidades, ineficiência, etc.) que estejam ocorrendo, ou que possam ocorrer, e faz recomendações para correção e melhoria dos controles internos para diminuição dos riscos levantados.

Não se trata aqui de atividade pericial. Uma auditoria revisa processos e verifica sua conformidade com as políticas adotadas pela organização para o controle desses processos; já a perícia atua no descobrimento da causa e/ou autoria de uma ação nesse sistema.

Os processos de auditoria são capazes de descobrir fraudes, porém, o detalhamento delas é feito pela perícia.

9: Durante um ataque de negação de serviço, pode-se afirmar que o computador foi invadido? Explique:

R: Quando um computador ou site sofre ataque DoS (Denial of Service), ele não é invadido, mas sim, sobrecarregado, independente do sistema operacional utilizado.