Material do Aluno
Versão 1.0
PDF Gerado em baixa resolução
para demonstração do material
2
Fundamentos de Segurança da Informação
ISBN: 978-85-66649-01-7
Autor: Fernando Fonseca
Direitos autorais garantidos para:
Antebellum Capacitação Profissional
Todos os direitos reservados. Este manual não pode ser copiado, fotocopiado, re-
produzido, traduzido para outras línguas ou convertido em qualquer forma eletrô-
nica ou legível por qualquer meio, em parte ou no todo, sem a aprovação prévia
por escrito da Antebellum Capacitação Profissional ®
320 Páginas - Editora Antebellum
www.antebellum.com.br
Responsabilidade Social
Este material foi impresso pela Ekofootprint, utilizan-
do papel reciclado e tecnologia de cera (Solid Ink) da
Xerox, que reduz o impacto ambiental das impressões
em 90%, se comparado à tecnologia Laser.
www.ekofootprint.com
3
4
5
6
Sumário
O Programa de Certificação do Exin................................. 6
1 Informação e Segurança................................................... 15 -
1.1 Conceitos Fundamentais.................................................. 15 -
1.2 Valor da Informação......................................................... 58 -
1.3 Aspectos de Confiabilidade.............................................. 65 -
2 Alinhamento Estratégico.................................................. 75 -
2.1 Governança...................................................................... 75 -
2.2 Modelagem de Processos................................................ 91 -
2.3 Classificação da Informação............................................. 96 -
3 Gestão de Riscos.............................................................. 104 -
3.1 Ameaças........................................................................... 104 -
3.2 Tipos de Ameaça.............................................................. 107 -
3.3 - Dano................................................................................. 143
3.4 Análise de Riscos.............................................................. 151 -
4 Abordagem e Organização............................................... 166 -
4.1 Políticas de Segurança...................................................... 166 -
4.2 Organização da Segurança............................................... 172 -
4.3 Gestão de Incidentes........................................................ 178 -
5 Medidas de Segurança..................................................... 190 -
5.1 A Importância das Medidas.............................................. 190 -
5.2 Controles Físicos............................................................... 194 -
5.3 Controles Tecnológicos.................................................... 203 -
5.4 Segurança em Software................................................... 220 -
5.5 Controles Organizacionais................................................ 242 -
5.6 Gestão de Pessoas............................................................ 245 -
5.7 Controle de Acesso........................................................... 253 -
5.8 Continuidade de Negócios............................................... 259 -
7
Sumário
6 Conformidade................................................................ 266 -
6.1 Legislação e Regulamentação........................................ 266 -
6.2 Avaliação....................................................................... 275 -
Anexo A. – Exame Simulado (Oficial Exin)..................... 280
Anexo B— Lista de Conceitos Básicos do Exin............... 301
Anexo C— Referências Bibliográficas............................ 308
Anexo D—Sites .Recomendados................................... 310
Anexo E—Cronograma do Curso................................... 312
8
O EXIN - Examination Institute for Information Science, é uma empresa glo-
bal, prestadora de exame independente de TI que oferece programas de capa-
citação para ISO/IEC 20000, ISO/IEC 27000, ITIL ®, MOF, entre outros. É
missão do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e
os usuários de TI, por meio de testes e certificações.
A tecnologia da informação é a pedra fundamental do competitivo mundo
dos negócios de hoje. Como profissional de TI, você enfrenta o desafio diário
de fornecer serviços de TI confiáveis e acessíveis. Seu mundo é movido pelo
desempenho e está em constante mutação. Muitas novas profissões de TI
continuam a surgir. São mais de 350.000 profissionais certificados em mais
de 125 países exercitando-se em Tecnologia da Informação em todos os ní-
veis. Estes profissionais obtiveram sua valiosa certificação EXIN através de
9
treinamento e exames abrangentes baseados em padrões de TI reconhecidos
internacionalmente
A qualidade dos serviços de TI depende muito do profissionalismo da equi-
pe. O EXIN oferece acompanhamento da aprendizagem, proporcionando
aos profissionais de TIC (Tecnologia da Informação e Comunicação) as
competências e habilidades apropriadas para aprimorar o desempenho do
seu trabalho. A obtenção de um certificado EXIN é uma evidência sólida de
um treinamento bem-s
O programa de certificação do EXIN é dividido em três níveis. O inicial é o
exame de fundamentos, destinado a todos na organização que processam
informações. Seu objetivo é criar a consciência da responsabilidade de cada
indivíduo na manutenção da confiabilidade e do valor dos ativos de infor-
mação da empresa. O módulo também é adequado para pequenas empresas
cujos conhecimentos básicos de Segurança da Informação são necessários.
O exame avançado é destinado a todos que, através de sua posição, estão
envolvidos com a implementação, avaliação e comunicação de segurança da
informação, tais como o Gerente de Segurança da Informação e o Security
Officer ou o Gerente de Projetos.
O exame de especialista em gerenciamento é destinado aos profissionais de
TI que são responsáveis pelo desenvolvimento e implementação, em parte
ou no todo, das estruturas da Segurança da Informação. Exemplos podem
incluir o Chief Information Security Officer, o Gerente de Segurança da In-
formação, Implementador de Segurança da Informação e Arquitetos de Sis-
temas de Informações.
10
1. Informação e Segurança (10%)
1.1 O conceito de informação (2,5%) - O candidato entende o conceito
de informação. O candidato é capaz de:
1.1.1 Explicar a diferença entre os dados e informações
1.1.2 Descrever o meio de armazenamento que faz parte da infraestrutu-
ra básica
1.2 Valor da informação (2,5%) - O candidato entende o valor da infor-
mação para as organizações. O candidato é capaz de:
1.2.1 Descrever o valor de dados / informação para as organizações
1.2.2 Descrever como o valor de dados / informações pode influenciar as
organizações
1.2.3 Explicar como conceitos aplicados de segurança de informações
protegem o valor de dados / informações
11
1.3 Aspectos de confiabilidade (5%) - O candidato conhece os aspectos
de confiabilidade (confidencialidade, integridade, disponibilidade)
da informação. O candidato é capaz de:
1.3.1 Nome dos aspectos de confiabilidade da informação
1.3.2 Descrever os aspectos de confiabilidade da informação
2. Ameaças e riscos (30%)
2.1 Ameaça e risco (15%) 0 O candidato compreende os conceitos de
ameaça e risco. O candidato é capaz de:
2.1.1 Explicar os conceitos de ameaça, de risco e análise de risco
2.1.2 Explicar a relação entre uma ameaça e um risco
2.1.3 Descrever os vários tipos de ameaças
2.1.4 Descrever os vários tipos de danos
2.1.5 Descrever as diferentes estratégias de risco
2.2 Relacionamento entre ameaças, riscos e confiabilidade das informa-
ções (15%) - O candidato compreende a relação entre as ameaças,
riscos e confiabilidade das informações. O candidato é capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaças
2.2.2 Descrever os efeitos que os vários tipos de ameaças têm sobre a in-
formação e ao tratamento das informações
3. Abordagem e Organização (10%)
3.1 Política de Segurança e organização de segurança (2,5%) - O candida-
to tem conhecimento da política de segurança e conceitos de organi-
zação de segurança. O candidato é capaz de:
3.1.1 enunciar os objetivos e o conteúdo de uma política de segurança
3.1.2 enunciar os objetivos e o conteúdo de uma organização de segurança
12
3.2 Componentes (2,5%) - O candidato conhece as várias componentes
da organização da segurança. O candidato é capaz de:
3.2.1 Explicar a importância de um código de conduta
3.2.2 Explicar a importância da propriedade
3.2.3 Nomear as regras mais importantes na organização da segurança da
informação
3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a im-
portância da gestão de incidentes e escaladas. O candidato é capaz
de:
3.3.1 Resumir como incidentes de segurança são comunicados e as infor-
mações que são necessárias
3.3.2 Dar exemplos de incidentes de segurança
3.3.3 Explicar as consequências da não notificação de incidentes de segu-
rança
3.3.4 Explicar o que implica uma escalada (funcional e hierárquica)
3.3.5 Descrever os efeitos da escalada dentro da organização
3.3.6 Explicar o ciclo do incidente
4. Medidas (40%)
4.1 Importância das medidas de (10%) - O candidato entende a impor-
tância de medidas de segurança. O candidato é capaz de:
4.1.1 Descrever as maneiras pelas quais as medidas de segurança podem
ser estruturadas ou organizadas
4.1.2 Dar exemplos de cada tipo de medida de segurança
4.1.3 Explicar a relação entre os riscos e medidas de segurança
4.1.4 Explicar o objetivo da classificação das informações
4.1.5 Descrever o efeito da classificação
13
4.2 Medidas de segurança física (10%) - O candidato tem conhecimento
tanto da criação e execução de medidas de segurança física. O candi-
dato é capaz de:
4.2.1 Dar exemplos de medidas de segurança física
4.2.2 Descrever os riscos envolvidos com medidas de segurança física
insuficientes
4.3 medidas de ordem técnica (10%) - O candidato tem conhecimento
tanto da criação quanto da execução de medidas de segurança técni-
ca. O candidato é capaz de:
4.3.1 Dar exemplos de medidas de segurança técnica
4.3.2 Descrever os riscos envolvidos com medidas de segurança técnica
insuficientes
4.3.3 Compreender os conceitos de criptografia, assinatura digital e cer-
tificado
4.3.4 Nome das três etapas para serviços bancários online (PC, web site,
pagamento)
4.3.5 Nomear vários tipos de software malicioso
4.3.6 Descrever as medidas que podem ser usados contra software mali-
cioso
4.4 Medidas organizacionais (10%) - O candidato tem conhecimento
tanto da criação quanto da execução de medidas de segurança orga-
nizacional. O candidato é capaz de:
4.4.1 Dar exemplos de medidas de segurança organizacional
4.4.2 Descrever os perigos e riscos envolvidos com medidas de segurança
organizacional insuficientes
4.4.3 Descrever as medidas de segurança de acesso, tais como a segrega-
ção de funções e do uso de senhas
4.4.4 Descrever os princípios de gestão de acesso
4.4.5 Descrever os conceitos de identificação, autenticação e autorização
4.4.6 Explicar a importância para uma organização de um Gerenciamen-
to da Continuidade de Negócios estruturado
14
4.4.7 Tornar clara a importância da realização de exercícios
5. Legislação e regulamentação (10%)
5.1 Legislação e regulamentos (10%) - O candidato entende a importân-
cia e os efeitos da legislação e regulamentações. O candidato é capaz
de:
5.1.1 Explicar porque a legislação e as regulamentações são importantes
para a confiabilidade da informação
5.1.2 Dar exemplos de legislação relacionada à segurança da informação
5.1.3 Dar exemplos de regulamentação relacionada à segurança da infor-
mação
5.1.4 Indicar as medidas possíveis que podem ser tomadas para cumprir
as exigências da legislação e da regulamentação
Vantagens da certificação IFSF
Redução de riscos do negócio;
Investimento em controles de segurança da informação frente aos ris-
cos do negócio (racionalidade);
Aumento da efetividade da segurança da informação (conceito de me-
lhoria contínua);
Aumento de confiança nas relações comerciais;
Proteção dos ativos da informação em todas as suas formas
(tecnologia, pessoas e processos);
O exame ISO/IEC 27002 do EXIN é composto de 40 perguntas em in-
glês, sendo necessário acertar 26 questões para ser aprovado. A taxa do
exame é de US$ 165,00.
O Formato do exame é do tipo múltipla escolha e sua duração máxima
é de 60 minutos.
Uma vez aprovado no exame, você receberá dentro de 45 dias o certifi-
cado da EXIN pelo correio.
15
Envolvimento e comprometimento da direção da empresa na seguran-
ça da informação;
Padrão aceito no mundo, com mais de 2500 certificações;
Aumento da conscientização dos funcionários para assuntos referen-
tes à segurança da informação;
Conformidade com requisitos legais;
Reconhecimento, por parte de terceiros, da importância da segurança
da informação para a empresa
Formato do Exame
Literatura: O material do aluno cobre todos os requisitos do exame, in-
clusive com questãoes ao final de cada capítulo e respostas comentadas
no apêndice A.
O aluno também pode utilizar como literatura auxiliar o seguinte livro:
Hintzbergen, J., Baars, H., Hintzbergen, K. and Smulders, A. - The Basics of Information
Security - A practical handbook - The Netherlands, 2009 - disponível gratuitamente,
no formato PDF (em inglês), no sítio internet do EXIN:
http://www.exin-exams.com/exams/exam-program/iso-iec-27000/isfs.aspx
Características
Tipo de exame múltipla escolha
Número de questões 40
Duração do exame 60 minutos
Taxa para aprovação 65%
16
Requisito de exame Especificação de exame
ao nível de maestria
Peso
(%)
Número
de ques-
tões
1 Informação e segurança
O conceito de informação 1.1 Entendimento 2.5 1
Valor da informação 1.2 Entendimento 2.5 1
Aspectos de confiabilidade 1.3 Lembrança 5 2
Subtotal 10 4
2 Ameaças e riscos
Ameaças e riscos 2.1 Entendimento 15 6
Relacionamento entre amea-
ças, riscos e confiabilidade da
informação
2.2 Entendimento 15 6
Subtotal 30 12
3 Abordagem e organização
Política de segurança e organi-
zação de segurança
3.1 Lembrança 2.5 1
Componentes 3.2 Lembrança 2.5 1
Gerenciamento de incidentes 3.3 Entendimento 5 2
Subtotal 10 4
4 Medidas
Importância de medidas 4.1 Entendimento 10 4
Medidas físicas 4.2 Lembrança 10 4
Medidas técnicas 4.3 Lembrança 10 4
Medidas organizacionais 4.4 Lembrança 10 4
Subtotal 40 16
5 Legislação e regulamentação
Legislação e regulamentação 5.1 Entendimento 10 4
Subtotal 10 4
Total 100 40
17
18
Conforme visto anteriormente, devido à sua natureza abstrata, as informa-
ções precisam de uma mídia para serem transmitidos e armazenados, essas
mídias no entanto precisam de um cuidado especial quanto a seu manuseio,
armazenamento, transporte e descarte. O critério utilizado varia de acordo
com a classificação da informação que armazenam
As boas práticas recomendam que, ao se classificar uma informação se espe-
cifique o tempo e as condições do armazenamento considerando sempre que
quanto maior a sensibilidade de uma informação, mais rígidos devem ser os
controles de prazo e condições de guarda.
É importante destacar que as informações podem ser reclassificadas a qual-
quer tempo, o que pode ocasionar uma revisão do prazo e das condições de
armazenamento das mesmas.
19
Quando uma informação não é mais necessária, é necessário estabelecer pro-
cedimentos na Política de Segurança da organização para o seu descarte, ava-
liando se a mídia utilizada para guardar aqueda informação, assim como as
que receberam suas cópias, pode ser sanitizada para receber novas informa-
ções (ex: HD, Fita, Cartão de Memória, DVD-RW), ou deve ser descartada
(Ex: papel, fita no final da vida útil, DVD-ROM).
As fases abaixo, representam o ciclo de vida da informação:
Criação – Início do ciclo onde a informação é gerada, pode ser o ponto
onde uma foto é tirada, uma filmagem é feita, um documento ou e-mail é
escrito, etc.
Transporte – Esta parte do ciclo consiste no momento do envio ou trans-
porte, onde a informação é encaminhada por correio, correio eletrônico,
fax, falada ao telefone ou através de alto-falantes públicos e outros. Nor-
malmente ocorre antes e depois do armazenamento.
Armazenamento – Momento em que a informação é armazenada, seja em
uma base da dados de um banco de dados, em papel, mídia (CD, DVD,
Fita, disquete, memória USB)
Descarte – A parte final do ciclo é o momento em que a informação é des-
cartada, ou seja, eliminada, apagada, “deletada”, destruída de forma defi-
nitiva. Pode ocorrer com a simples destruição de um papel, CD, ou DVD,
ou pode ocorrer de forma que sua mídia hospedeira seja reutilizada poste-
riormente.
20
Os processos definidos na política de segurança são fundamentais para a
manutenção da segurança do ambiente, pois eles definem o comportamen-
to esperado dos colaboradores em relação à segurança da informação, e as
tecnologias a serem utilizadas para assegurar a segurança da informação
na organização.
As pessoas, colaboradores da organização, aparecem como segundo com-
ponente dessa tríade fundamental, e necessitam de orientação para que
possam desempenhar suas obrigações quanto à segurança da informação
da melhor forma possível.
Por último temos a tecnologia, que fornece ferramentas para forçar com
que as políticas sejam seguidas monitorar o uso dos recursos de informa-
ção, e alertar de diversas formas quanto a incidente e desvios no cumpri-
mento da política.
21
A ISO 27002:2005 é dividida em 11 seções e 39 categorias, que listamos
a seguir:
Política de segurança da informação
Política de Segurança da Informação - Objetivo: Prover uma orientação
e apoio da direção para a segurança da informação de acordo com os
requisitos do negócio e com as leis e regulamentações relevantes
Organizando a Segurança da Informação
Infraestrutura da Segurança da Informação - Objetivo: Gerenciar a se-
22
gurança da informação dentro da organização
Partes externas - Objetivo: Manter a segurança dos recursos de proces-
samento da informação e da informação da organização, que são aces-
sados, processados, comunicados ou gerenciados por partes externas
Gestão de ativos
Responsabilidade sobre os ativos - Objetivo: Alcançar e manter a pro-
teção adequada dos ativos da organização
Classificação da Informação - Objetivo: Assegurar que a informação
receba nível adequado de proteção.
Segurança em Recursos Humanos
Antes da contratação - Objetivo: Assegurar que os funcionários, forne-
cedores e terceiros entendam suas responsabilidades, e estejam de
acordo com os papéis, e reduzir o risco de roubo, fraude ou mau uso de
recursos
Durante a contratação - Objetivo: Assegurar que os funcionários, for-
necedores e terceiros estão conscientes das ameaças e preocupações
relativas à segurança da informação, suas responsabilidades e obriga-
ções, e estão preparados para apoiar a política de segurança da infor-
mação da organização durante os seus trabalhos normais, e para redu-
zir o risco de erro humano.
23
Encerramento ou mudança da contratação - Objetivo: Assegurar que
funcionários, fornecedores e terceiros deixem a organização ou mudem
de trabalho de forma ordenada.
Segurança Física e do Ambiente
Áreas seguras - Objetivo: Prevenir o acesso físico não autorizado, da-
nos e interferências com as instalações e informações da organização.
Segurança de equipamentos - Objetivo: Impedir perdas, danos, furto
ou comprometimento de ativos e interrupção das atividades da organi-
zação.
Gerenciamento das Operações e Comunicações`
Procedimentos e responsabilidades operacionais - Objetivo: Garantir a
operação segura e correta dos recursos de processamento da informa-
ção
Gerenciamento de serviços terceirizados - Objetivo: Implementar e
manter o nível apropriado de segurança da informação e de entrega de
serviços em consonância com acordos de entrega de serviços terceiri-
zados
Planejamento e aceitação dos sistemas - Objetivos: Minimizar o risco
de falhas nos sistemas
Proteção contra códigos maliciosos e códigos móveis - Objetivos: Pro-
teger a integridade do software e da informação.
Cópias de segurança - Objetivo: Manter a integridade e disponibilida-
de da informação e dos recursos de processamento de informação.
24
Manuseio de mídias - Objetivo: Prevenir contra a divulgação não auto-
rizada, modificação, remoção ou destruição aos ativos e interrupções
das atividades do negócio.
Troca de informações - Objetivo: Manter a segurança na troca de infor-
mações e software in ternamente à organização e com quaisquer enti-
dades externas
Serviços de comércio eletrônico - Objetivo: Garantir a segurança de
serviços de comércio eletrônico e sua utilização segura
Monitoramento - Objetivo: Detectar atividades não autorizadas de
processamento da informação
Controle de acesso
Requisitos de negócio para controle de acesso - Objetivo: Controlar o
acesso à informação
Gerenciamento de acesso do usuário - Objetivo: Assegurar acesso de
usuário autorizado e prevenir acesso não autorizado a sistemas de in-
formação.
Responsabilidades dos usuários - Objetivo: Prevenir o acesso não au-
torizado dos usuários e evitar o comprometimento ou roubo da infor-
mação e dos recursos de processamento da informação.
Controle de acesso à rede - Objetivo: Prevenir acesso não autorizado
aos serviços de rede
Controle de acesso ao sistema operacional - Objetivo: Prevenir acesso
não autorizado aos sistemas operacionais
Controle de acesso à aplicação e à informação - Objetivo: Prevenir
acesso não autorizado à informação contida nos sistemas de aplicação
25
Computação móvel e trabalho remoto - Objetivo: Garantir a segurança
da informação quando a computação móvel e recursos de trabalho re-
moto
Aquisição, desenvolvimento e manutenção de sistemas de informa-
ção
Requisitos de segurança de sistemas de informação – Objetivo: Garan-
tir que segurança é parte integrante de sistemas de informação
Processamento correto de aplicações – Objetivo: Prevenir a ocorrência
de erros, perdas, modificação não autorizada ou mau uso de informa-
ções em aplicações.
Controles criptografados – Objetivo: Proteger a confidencialidade, a
autenticidade ou a integridade das informações por meios criptográfi-
cos
Segurança dos arquivos do sistema – Objetivo: Garantir a segurança de
arquivos de sistema
Segurança em processos de desenvolvimento e de suporte. - Objetivo:
Manter a segurança de sistemas aplicativos e da informação.
Gestão de vulnerabilidades técnicas. - Objetivo: Reduzir riscos resul-
tantes de exploração de vulnerabilidades técnicas conhecidas.
Gestão de incidentes de Segurança da Informação
Notificação de fragilidades e eventos de segurança da informação –
Objetivo: Assegurar que fragilidades e eventos de segurança da infor-
mação associados com sistemas de informação sejam comunicados,
permitindo a tomada de ação corretiva em tempo hábil.
26
Gestão de incidentes de segurança da informação e melhorias – Obje-
tivo: Assegurar que um enfoque consistente e efetivo seja aplicado à
gestão de incidentes de segurança
Gestão de Continuidade de Negócios
Aspectos da gestão da continuidade do negócio, relativos à segurança
da informação –Objetivo: Não permitir a interrupção das atividades
do negócio e proteger os processos críticos contra efeitos de falhas ou
desastres significativos, e assegurar a sua retomada em tempo hábil, se
for o caso.
Conformidade
Conformidade com requisitos legais – Objetivo: Evitar violação de
qualquer lei criminal ou civil, estatutos, regulamentações ou obriga-
ções contratuais e de quaisquer requisitos de segurança da informa-
ção.
Conformidade com normas e políticas de segurança da informação e
conformidade técnica –Objetivo: Garantir conformidade dos sistemas
com as políticas e normas organizacionais de segurança da informa-
ção.
Considerações quanto á auditoria de sistemas de informação – Objetivo: Ma-
ximizar a eficácia e minimizar a interferência no processo de auditoria dos
sistemas de informação.
27
Estudo de Caso—Boeing 787
Segundo um relatório da agência americana FAA (Federal Aviation Adminis-
tration), o novo jato tem uma vulnerabilidade séria de segurança na arquite-
tura de suas redes internas de computadores, que pode permitir que passa-
geiros acessem os sistemas de controle do avião a partir da rede criada para
prover acesso internet durante o voo. De acordo com o relatório, a rede desti-
nada aos passageiros está conectada com as redes dos sistemas de controles
de voo, de navegação, comunicação e a rede administrativa da compania aé-
rea (responsável por sistemas administrativos e de manutenção da equipe de
terra). No atual design, a conexão física entre estas redes, anteriormente iso-
ladas, faz com que todo o sistema seja mais facilmente vulnerável a hackers.
28
"These novel or unusual design features are associated with connectivity
of the passenger domain computer systems to the airplane critical sys-
tems and data networks." (FAA)
Este tipo de ameaça é real, e tem sido discutida por vários profissionais de
Segurança da Informação. Conforme lembrou o colega Javed Ikbal em um
post enviado para a lista cisspforum, no ano passado foi demonstrado no site
da CSO online como é possível derrubar o sistema de entretenimento a bor-
do (os jogos nos monitores) de um vôo da JetBlue utilizando o telefone a
bordo para passar um parâmetro inválido para o jogo Tetris.
A própria reportagem da Wired cita uma apresentação muito interessante
do pesquisador Mark Loveless, ("Hacking the Friendly Skies") onde ele apre-
senta como hackear computadores vizinhos durante o vôo e, no final da
apresentação, faz várias considerações sobre os projetos existentes de dispo-
nibilização de acesso internet nos vôos.
Segundo a matéria, a Boeing diz que está ciente do risco e está trabalhando
na separação física das redes e na adoção de proteção baseada em softwares
de firewall. Infelizmente (como lembrou o colega Les Bell na lista cisspfo-
rum), manter todas estas redes totalmente isoladas fisicamente implicaria
em ter equipamentos e cabeamento redundante em toda a aeronave, um cus-
to muito pesado para a indústria aeronáutica. Por isso, o compartilhamento
da infraestrutura pareceria algo óbvio aos olhos de um leigo.
Lamentavelmente, muitas vezes os profissionais de segurança não são envol-
vidos na fase de design do projeto, cabendo então a árdua tarefa de criar me-
canismos adicionais de proteção, depois que o problema é encontrado
Fonte: AnchisesLândia - http://anchisesbr.blogspot.com/2008/01/segurana-possvel-hackear-o-boeing-787.html
29
É importante diferenciarmos Governança de TI de Gerenciamento de TI.
A Governança de TI encontra-se e um nível estratégico, sendo o sistema
pelo qual o uso atual e futuro da TI é dirigido e controlado. Significa avaliar
e direcionar o uso da TI para dar suporte à organização e monitorar seu uso
para realizar os planos. Inclui a estratégia e as políticas de uso da TI dentro
da organização
O Gerenciamento de TI encontra-se em uma esfera mais operacional, e re-
presenta o sistema de controles e processos necessário para alcançar os ob-
jetivos estratégicos estabelecidos pela direção da organização. O gerencia-
mento está sujeito às diretrizes, às políticas e ao monitoramento estabeleci-
dos pela governança corporativa
30
Existe um importante fluxo de informações entre os objetivos de controle de
TI e a alta gestão.
Os objetivos de negócio que forem definidos pela alta direção geram requisi-
tos para os objetivos de TI. Uma vez implementados, esses controles geram
informações necessárias para que o negócio alcance seus objetivos.
A alta gestão é responsável por passar o direcionamento e recursos necessá-
rios para a área de TI, que servem como entrada nos objetivos de controle, e
a governança de TI devolve informações importantes para que os executivos
e o conselho possa exercer suas funções.
31
Segundo o CobiT (Control Objectives for Information and related Techno-
logy), a Governança de TI possui cinco áreas de foco:
Alinhamento estratégico: foca em garantir a ligação entre os planos de negó
-cios e de TI, definindo, mantendo e validando a proposta de valor de TI, ali
-nhando as operações de TI com as operações da organização.
Entrega de valor: é a execução da proposta de valor de IT através do ciclo
de entrega, garantindo que TI entrega os prometidos benefícios previstos
na estratégia da organização, concentrando-se em otimizar custos e pro-
vendo o valor intrínseco de TI
32
Gestão de recursos: refere-se à melhor utilização possível dos investimentos
e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, infor-
mações, infraestrutura e pessoas. Questões relevantes referem-se à otimiza-
ção do conhecimento e infraestrutura.
Gestão de risco: requer a preocupação com riscos pelos funcionários mais
experientes da corporação, um entendimento claro do apetite de risco da em
-presa e dos requerimentos de conformidade, transparência sobre os riscos
significantes para a organização e inserção do gerenciamento de riscos nas
atividades da companhia.
Mensuração de desempenho: acompanha e monitora a implementação da es-
tratégia, término do projeto, uso dos recursos, processo de performance e en
-trega dos serviços, usando, por exemplo, “balanced scorecards” que tradu-
zem as estratégia em ações para atingir os objetivos, medidos através de pro-
cessos contábeis convencionais Existe um importante fluxo de informações
entre os objetivos de controle de TI e a alta gestão.
33
O Balanced ScoreCard (BSC) é uma metodologia que estabelece um siste-
ma de medição de desempenho das organizações. Foi proposto por Kaplan
e Norton em 1992 ao nível empresarial.
O Balanced Scorecard é uma ferramenta para planejar a implementação de
estratégias e obter melhoria contínua em todos os níveis da organização. É
um conjunto de medidas que dão aos gerentes uma visão rápida e compre-
ensiva dos negócios.
34
O BSC mede o desempenho da organização sob a óptica de quatro perspec-
tivas que assim se inter-relacionam:
Resultados financeiros,
Satisfação do cliente,
Processos internos do negócio e
Aprendizado e crescimento.
A melhoria do aprendizado e crescimento dos empregados resulta em me-
lhoria dos processos internos do negócio, os quais criam melhores produtos
e serviços e, consequentemente, maior satisfação do cliente e maior partici-
pação no mercado, conduzindo a melhores resultados financeiros para a or-
ganização.
35
As quatro perspectivas do Balanced Scorecard estão contempladas em obje-
tivos de negócio (Business Goals) do CobiT.
Financeiro: BG01 a BG03
Cliente: BG04 a BG09
Processos Internos: BG10 a BG15
Aprendizado e Crescimento: BG16 e 17
36
Cada objetivo de negócio (Business Goal) aponta para um ou mais objetivos
de TI, conforme indicado na tabela acima, e descrito a seguir:
Perspectiva Financeira
1 - Prover um retorno de investimento adequado para os investimentos
de TI relacionados aos negócios. (24)
2 - Gerenciar os riscos de negócios relacionados a TI. (2, 14, 17, 18, 19, 20, 21,
22)
3 - Aprimorar governança corporativa e transparência. (2, 18)
37
Perspectiva do Cliente
4 - Aprimorar orientação para clientes e serviços. (3, 23)
5 - Oferecer produtos e serviços competitivos. (5, 24)
6 - Estabelecer a continuidade e disponibilidade de serviços. (10, 16, 22, 23)
7 - Criar agilidade em responder a requerimentos de negócios que
mudam continuamente. (1, 5, 25)
8 - Atingir otimização dos custos para entrega de serviços.(7, 8, 10, 24)
9 - Obter informações confiáveis e úteis para o processo de decisões estraté-
gicas. (2, 4, 12, 20, 26)
Perspectiva Interna
10 - Aprimorar e manter a funcionalidade dos processos de negócios. (6, 7, 11)
11 - Reduzir custos de processos. (7, 8, 13, 15, 24)
12 - Conformidade com leis externas, regulamentos e contratos. (2, 19, 20, 21,
22, 26, 27)
13 - Conformidade com políticas internas. (2, 13)
14 - Gerenciar mudanças de negócios. (1, 5, 6, 11, 28)
15 - Aprimorar e manter a operação e produtividade do pessoal. (7, 8, 11, 13)
Perspectiva de Aprendizagem
16 - Gerenciar a inovação de produtos e negócios. (5, 25, 28)
17 - Contratar e manter pessoas habilitadas e motivadas. (9)
38
Os objetivos de TI por sua vez são mapeados em processos do CobiT:
1 - Responder aos requerimentos de negócios de maneira alinhada com a es-
tratégia de negócios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1)
2 - Responder aos requerimentos de governança em linha com a Alta Dire-
ção. (PO1 PO4 PO10 ME1 ME4)
3 - Assegurar a satisfação dos usuários finais com a oferta e níveis de servi-
ços. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13)
4 - Otimizar o uso da informação. (PO2 DS11)
5 - Criar agilidade para TI. (PO2 PO4 PO7 AI3)
6 - Definir como funções de negócios e requerimentos de controles são con-
vertidos em soluções automatizadas efetivas e eficientes. (AI1 AI2 AI6)
39
7 - Adquirir e manter sistemas aplicativos integrados e padronizados. (PO3
AI2 AI5)
8 - Adquirir e manter uma infraestrutura de TI integrada e padronizada.
(AI3 AI5)
9 - Adquirir e manter habilidades de TI que atendam as estratégias de TI.
(PO7 AI5)
10 - Assegurar a satisfação mútua no relacionamento com terceiros. (DS2
11 - Assegurar a integração dos aplicativos com os processos de negócios.
(PO2 AI4 AI7)
2 - Assegurar a transparência e o entendimento dos custos, benefícios, estra
-tégia, políticas e níveis de serviços de TI. (PO5 PO6 DS1 DS2 DS6 ME1
ME4)
13 - Assegurar apropriado uso e a performance das soluções de aplicativos e
de tecnologia. (PO6 AI4 AI7 DS7 DS8)
14 - Responsabilizar e proteger todos os ativos de TI. (PO9 DS5 DS9 DS12
ME2)
15 - Otimizar a infraestrutura, recursos e capacidades de TI. (PO3 AI3 DS3
DS7 DS9)
16 - Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções.
(PO8 AI4 AI6 AI7 DS10)
17 - Proteger os resultados alcançados pelos objetivos de TI. (PO9 DS10
ME2)
18 - Estabelecer claramente os impactos para os negócios resultantes de ris-
cos de objetivos e recursos de TI. (PO9)
40
A história oficial dos ÓVNIS no Brasil
Documentos da Aeronáutica revelam a missão especial que filmou e fotogra-
fou aparições de óvnis no País e mostram como funcionava o departamento
criado pelos militares para investigar os relatos sobre discos voadores
Duas dezenas de oficiais da Força Aérea Brasileira (FAB) estiveram envolvi-
dos em uma missão sigilosa no meio da selva amazônica, no Pará, 30 anos
atrás. Denominada Operação Prato, ela é a mais impressionante investigação
de óvnis (objetos voadores não identificados) realizada pela Aeronáutica
que se conhece. É uma espécie de caso Roswell brasileiro, com missões se-
cretas, histórias e fenômenos sem explicação. Enquanto em Roswell, marco
41
da ufologia mundial, os militares americanos primeiro admitiram a existên-
cia dos óvnis e depois negaram, os relatórios da FAB não deixam dúvidas:
os oficiais do I Comando Aéreo Regional (Comar), em Belém, designados
para a opera-ção, que ocorreu nos quatro últimos meses de 1977, afirmam
ter presenciado - mais de uma vez - UFOs cruzando o céu da Amazônia.
Detalhes da Operação Prato estão em relatórios sigilosos que acabam de ser
liberados pelo governo federal para consulta no Arquivo Nacional, em Bra-
sília. Desde o ano passado, estão vindo a público documentos, alguns guar-
dados há mais de 50 anos. Todos os arquivos secretos de UFO estão sob
responsabilidade da Casa Civil desde 2005. Há 1.300 folhas de um total es-
timado em 25 quilos de material, com descrições, croquis e fotos de óvnis
referentes a três lotes de informações da FAB. Os dois primeiros contêm
relatos dos anos 50 e 60. O último, aberto em maio e do qual faz parte a
Operação Prato, cobre a década seguinte. No próximo mês, será a vez do
acervo dos anos 80.
Os arquivos, agora públicos, trazem depoimentos de civis, trocas de corres-
pondências entre militares sobre óvnis, recortes de jornais da época e várias
conversas entre pilotos e controladores de voos sobre estranhos fenômenos
no espaço aéreo nacional No momento, apenas os relatórios de UFOs clas-
sificados como reservados e confidenciais da Aeronáutica tornaram- se pú-
blicos. Espera-se que o Exército e a Marinha façam o mesmo. São aguarda-
das, também, as páginas com os carimbos de secreto e ultra-secreto. Por lei,
as que Ressaltar que os documentos eram confidenciais e reservados, com
tempo diferente de classificação dos secretos.
42
Lembrar que eles foram desclassificados porque pertencem à sociedade, e
estão somente sob custódia do governo. cumpriram 30 anos de ressalva de-
veriam ser públicas, mas na prática não é o que ocorre. "Não se quebra uma
cultura de uma vez. E eu não sou a favor de divulgar documentos que ferem
a privacidade das pessoas, induzem pânico à população ou colocam a segu-
rança do País em risco", defende o brigadeiro José Carlos Pereira, ex-
comandante de operações da FAB e ex-presidente da Empresa Brasileira de
Infraestrutura Aeroportuária (Infraero).
Hoje na reserva, o brigadeiro de 67 anos foi considerado por muitos anos o
guardião da chave do cofre de segredos ufológicos brasileiros. Foi ele quem
ordenou o recolhimento de todo material sigiloso produzido sobre o tema
espalhado em bases aéreas e aeroportos do Brasil. A papelada foi levada para
o Comando de Defesa Aeroespacial (Comdabra), em Brasília, onde ele exer-
cia a função de comandante- geral, no início da década. Mas somente no ano
passado os documentos começaram a chegar ao arquivo nacional.
Revirar os porões das Forças Armadas e revelar os segredos ufológicos é
uma tendência verificada em outros países. "Com essa abertura, a Aeronáuti-
ca reconhece a necessidade de tratar o fenômeno UFO de maneira séria, dei-
xando de lado o tom pejorativo e irreverente que quase sempre aparece
quando se levanta a plausível hipótese de estarmos recebendo a visita de
seres extraterrestres", diz Ademar José Gevaerd, 47 anos, coordenador da
Comissão Brasileira de Ufólogos (CBU), que elaborou uma campanha em
prol da liberdade de informações sobre UFOs.
43
Hoje, a pessoa que quiser relatar a aparição de um óvni dificilmente encon-
trará eco na FAB. "A Aeronáutica não dispõe de estrutura especializada pa-
ra realizar investigações científicas", informou a FAB à ISTOÉ. Porém, du-
rante o funcionamento do Sioani, no IV Comar, toda testemunha era sub-
metida a
44
45
A palavra risco, vem da palavra “risicare”, que no italiano antigo significa
ousar. Através dessa definição entendemos que risco não é necessariamente
algo negativo. Pelo menos não de uma forma geral.
Quando se joga 100.000 dólares em um número da roleta existe uma grande
chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-
bilidade de ganhar (risco positivo baixo). Podemos considerar este um risco
positivo, uma oportunidade de ficar milionário.
Colocando-se no lugar da banca você identifica uma excelente oportunidade
de ganhar 100.000 dólares (risco positivo) e um pequeno risco de pagar uma
fortuna para um sortudo que ousou apostar uma fortuna (risco positivo),
46
Uma ameaça pode ser definida de diversas formas, dentre elas selecionamos
2 que definem bem o termo:
1) Uma potencial causa de incidente*
2) Todo e qualquer perigo eminente seja natural, humana, tecnológica,
física ou político-econômica.
As ameaças são latentes, e dependem de uma ação externa para que se con-
cretizem. O Agente de ameaça é um elemento que através de uma ação pró-
pria é capaz de concretizar uma ameaça.
Uma invasão é uma ameaça latente, por outro lado um cracker pode ser o
agente de ameaça a transformá-la em uma realidade.
47
Agente de ameaça é o elemento que através de uma ação própria é capaz de
concretizar uma ameaça.
O agente é o elo de ligação entre a ameaça e o ativo, ele é responsável por
explorar a vulnerabilidade do ativo e causar o incidente.
Um Cracker que realiza uma invasão é o agente de ameaça que explora uma
vulnerabilidade de software ou configuração e causa um incidente.
48
Um rootkit é um pacote de programas maliciosos, que substituem o arqui-
vos binários (programas compilados) por um kit de programas que mantém
uma porta aberta sem que verdadeiro root (administrador do unix) perceba.
Com a porta aberta o invasor pode voltar a qualquer momento e utilizar os
privilégios do root (ou do usuário do serviço que ele tenha utilizado, para
realizar absolutamente qualquer ação dentro do computador, inclusive,
roubar, alterar ou destruir qualquer informação.
O Nome rootkit é derivado do usuário root do Unix, ambiente onde essa
prática se popularizou, mas existem rootkits para quase todas as platafor-
mas. Existem rootkits para Solares, Mac OS, Linux e a maioria das versões
do Windows, entre outros.
49
Os rootkits ganharam publicidade em 2005, quando foi revelado que a gra-
vadora Sony/BMG instalava um rootkit chamado XCP (Extended Copy
Protection) em seus CD´s de música com o objetivo de instalar um meca-
nismo anti-cópia.
Os rootkits são extremamente difíceis de serem detectados, e infectam o
sistema sem que o usuário perceba nada. É difícil garantir a completa re-
moção dos rootkits de um sistema,esses programas são especializados em
enganar as ferramentas de segurança para ficarem ocultos. A forma mais
confiável de reaver seu computador é formatar o disco e reinstalar todo o
sistema.
Porta de Manutenção / Backdoor são uma possível fonte de vazamento de
informações sensível. São os canais secretos de comunicação, ou seja, ca-
nais que dos quais os usuários ignoram a existência. Estes canais são cha-
mados de porta de manutenção ou Backdoor, e são comumente utilizado
por Trojans para comunicar-se com seu controlador, ou até mesmo forne-
cer acesso à máquina infectada.
São considerados Backdoors os programas ou partes de códigos escondi-
dos em outros programas, que permitem que um invasor entre ou retorne a
um computador comprometido por uma porta dos fundos‖, sem ter que
passar pelo processo normal de autenticação. Nos primórdios da computa-
ção, os próprios programadores deixavam alguns backdoors em seus siste-
mas, e os chamavam de ganchos de manutenção.
Nos sistemas Windows, os backdoors geralmente são Trojans, instalados
através de Phishing, ou ainda programas instalados por worms, que após
explorarem uma vulnerabilidade do sistema alvo infectam arquivos do sis-
50
tema operacional e criam uma trilha adicional de execução, que mantém
essa porta aberta. Esse tipo de Malware também recebe o nome de rootkit
no Windows
O Rootkit de DRM da Sony: A Verdadeira História
É uma história de David contra Golias, sobre os blogs de tecnologia der-
rotando uma megacorporação.
Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: A
Sony BMG Music Entertainment distribuiu um esquema de proteção
contra cópias junto com seus CD’s que secretamente instalava um root-
kit nos computadores. Essa ferramenta é executada sem o conhecimen-
to nem consentimento: ela é carregada em seu computador por um CD,
e um hacker pode obter e manter acesso ao seu sistema sem que você
saiba.
O código da Sony modifica o Windows para que não se possa dizer que
está lá, um processo denominado “Clocking” (Camuflagem) no mundo
hacker. Ele age como um spyware, sorrateiramente enviando informa-
ções sobre você para a Sony. E ele não pode ser removido; tentar livrar-
se dele danifica o Windows.
51
A história foi acolhida por outros blogs (inclusive o meu), e logo depois
pela mídia de informática. Finalmente os grandes meios de comunicação
trouxeram isso à tona.
O Clamor foi tão grande que em 11 de novembro a Sony anunciou que
estava temporariamente parando a produção desse esquema de prote-
ção de cópias. Isso ainda não era o suficiente, em 14 de novembro a
companhia anunciou que estava retirando das lojas os CD’s protegidos,
e oferecia aos usuários
uma troca gratuita dos CD’s infectados.
Mas essa não é a história real aqui
É uma história sobre extrema arrogância. A Sony distribuiu seu incrivel-
mente invasivo esquema de proteção contra cópia sem sequer discutir
publicamente seus detalhes, confiando que os benefícios justificariam a
modificação nos computadores de seus clientes. Quando essa ação foi
inicialmente descoberta, a Sony ofereceu um “fix”que não removia o roo-
tkit, apenas a camuflagem.
A Sony alegou que o rootkit não “ligava para casa”, quando na realidade
ele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de ne-
gócios digitais da Sony BMG, demonstrou todo o desdenho da compa-
nhia por seus clientes quando ele disse em uma entrevista à NPR: A
maior paste das pessoas nem sequer sabem o que é um rootkit, então
porque eles devem se preocupar com isso?
52
No entanto, o comportamento arrogante de uma corporação também
não é a história real
Esse drama é sobre incompetência. A última ferramenta de remoção do
rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. E
o rootkit da Sony, desenhado para parar as infrações de direitos autorais
pode ter infringido ele mesmo uma copyright. Por mais incrível que isso
possa parecer, o código parece incluir um codificador MP3 de código
aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a
história real.
É um épico de ações judiciais coletivas na Califórnia e em outros luga-
res, e o foco das investigações criminais. O rootkit teria sido encontrado
em computadores executados pelo Departamento de Defesa, para des-
gosto do Departamento de Segurança Interna de. Enquanto a Sony po-
deria ser processada sob a legislação de cybercrime dos EUA, ninguém
acha que vai ser. E ações nunca são toda a história.
Esta saga é cheia de reviravoltas estranhas. Alguns apontaram como
este tipo de software degradaria a confiabilidade do Windows. Alguém
criou um código malicioso que usava o rootkit para se esconder. Um
hacker usou o rootkit para evitar o spyware de um jogo popular. E havia
até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, se
você não pode confiar Sony não infectar o seu computador quando você
53
compra CDs com suas músicas, você pode confiar nela para lhe vender
um computador não infectado? Essa é uma pergunta boa, mas - de novo
- não a verdadeira história.
É ainda outra situação onde os usuários do Macintosh podem assistir,
divertindo-se (bem, na maior parte) do lado de fora, perguntando por que
alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso
não é a história real.
A história de prestar atenção aqui é o conluio entre grandes empresas
de mídia que tentam controlar o que fazemos em nossos computadores
e companhias de software de segurança, e empresas que deveriam es-
tar nos protegendo.
As estimativas iniciais são de que mais de meio milhão de computadores
no mundo estão infectadas com este rootkit da Sony. São números sur-
preendentes de infecção, tornando esta uma das epidemias mais graves
da Internet de todos os tempos, no mesmo nível de worms como Blaster,
Slammer, Code Red e Nimda.
O que você acha da sua empresa antivírus, o que não percebeu rootkit
da Sony, como infectou meio milhão de computadores? E isso não é um
daqueles vermes relâmpago da Internet; este vem se espalhando desde
meados de 2004. Porque se espalhou através de CDs infectados, não
através de conexões de internet, eles não notaram? Este é exatamente
54
o tipo de coisa que você está pagando essas empresas para detectar,
especialmente porque o rootkit foi “telefonar para casa”.
Mas muito pior do que não detectá-lo antes da descoberta Russinovich
foi o silêncio ensurdecedor que se seguiu. Quando um novo malware é
encontrado, empresas de segurança caem sobre si para limpar os nos-
sos computadores e inocular nossas redes. Não neste caso.
A McAfee não adicionou um código de detecção de até 09 de novembro,
e agora, 15 de novembro ainda não remove o rootkit, somente o disposi-
tivo de camuflagem. A empresa admite em sua página web que este é
um compromisso pobre. "A McAfee detecta, remove e evita a reinstala-
ção do XCP." Esse é o código de camuflagem. "Por favor, note que a
remoção não irão afetar os mecanismos de proteção de direitos autorais
instalados a partir do CD. Houve relatos de travamento do sistema, pos-
sivelmente resultante de desinstalar o XCP." Obrigado pelo aviso.
Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início,
a empresa não considerou o XCP como um Malware. Não era até 11 de
novembro que a Symantec publicou uma ferramenta para remover a
camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explican-
do que "este rootkit foi projetado para esconder uma aplicação legítima,
mas pode ser usado para esconder outros objetos, incluindo software
malicioso".
55
A única coisa que torna este rootkit legítimo é o fato de uma empresa
multinacional colocá-lo no seu computador, e não uma organização cri-
minosa.
Você poderia esperar que a Microsoft fosse a primeira empresa a conde-
nar este rootkit. Afinal, o XCP corrompe o interior do Windows "de uma
forma bastante desagradável. É o tipo de comportamento que poderia
facilmente levar a falhas no sistema, falhas que os clientes culpam a Mi-
crosoft. Mas não foi até 13 de novembro, quando a pressão pública era
muito grande para ser ignorada, e a Microsoft anunciou que iria atualizar
suas ferramentas de segurança para detectar e remover a parte do dis-
farce do rootkit.
Talvez a única empresa de segurança que merece louvor é F-Secure, o
primeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é cla-
ro, que hospeda blog do Russinovich e trouxe isto para a luz.
Segurança ruim acontece. Isso sempre foi e sempre será. E as empre-
sas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a ra-
zão que nós compramos produtos de segurança da Symantec, McAfee e
outros, é para nos proteger de segurança ruim.
56
57
A política é um conjunto de documentos que estabelecem as regras a serem
obedecidas para que a organização possua um nível aceitável de segurança.
É através da política de segurança que a estratégia de SI é montada e passada
para todas as áreas envolvidas. Uma versão resumida deve ser publicada para
todos os colaboradores e parceiros relevantes, como fornecedores e clientes.
O desenvolvimento da política é ponto fundamental de uma série de normas
e regulamentações, além de ser incentivado por regulamentações e normas
internacionais de melhores práticas.
58
59
Os colaboradores de empresa desempenham um importante papel na
detecção de fragilidades segurança, e na notificação de incidentes de
segurança, uma vez que estes estão lidando com os controles e também
próximos dos incidentes quando ocorrem. Para que a gestão de inci-
dentes seja eficiente, os colaboradores precisam ter um canal para re-
portar os incidentes e fragilidades dos controles, esse canal é geral-
mente o Helpdesk.
É importante que as pessoas não tenham receio de reportar incidentes
de segurança, entendendo que essa é uma obrigação de cada colabora-
dor.
60
61
Os controles de segurança da informação devem ter uma origem bem justifi-
cada, e sofrer uma revisão periódica para analisar sua aderência e eficiência.
A principal origem de controles se dá nas regulamentações. As organizações
precisam atender às regulamentações da área em que estão inseridas, e para
isso precisam ter em sua política de segurança controles que enderecem es-
ses requisitos. Exemplos de controles dessa categoria são os controles sobre
dados de cartão de crédito (PCI DSS), dados de saúde (ANS), integridade de
relatórios financeiros (Sarbanes-Oxley), etc.
Outra grande origem de controles são os requisitos de negócio. Se uma orga-
nização opera com projetos automobilísticos ou eletrônicos, ela precisa ga-
rantia a confidencialidade de seus projetos para sobreviver no mercado.
62
63
Segundo a ISO 27002, os controles físicos previnem o acesso físico não
autorizado, danos e interferências com as instalações e informações da
organização.
A Norma especifica dois importantes pontos a serem tratados:
Perímetro de segurança física: utilizar perímetros de segurança
(paredes, portões de entrada com cartões, etc) para proteger as
áreas processamento e armazenagem de informações
Controles de entrada física: visam assegurar que somente pesso-
as autorizadas tenham acesso a um local.
64
As cópias de segurança fundamentais para se manter a integridade e dispo-
nibilidade da informação. A politica de Backup deve levar em consideração
os seguintes aspectos:
produção de registros completos e exatos das cópias e documentação
sobre os procedimentos de recuperação;
a extensão (completa, incremental, diferencial) e a freqüência da geração
das cópias reflita os requisitos do negócio, requisitos de segurança e a
criticidade da informação;
armazenar as cópias em uma localidade remota, a uma distância sufici-
ente para escapar de danos de um desastre no local principal;
testar as mídias e os procedimentos de recuperação regularmente;
As mídias de armazenamento devem ser definidas de acordo com o tempo de
retenção dos dados para que a informação não se deteriore antes do tempo
previsto.
65
Ciência milenar, chave dos segredos da antiga Roma, peça fundamental na
Segunda Guerra Mundial, atualmente é estrela do mundo da Segurança da
Informação. Diversos sistemas operacionais, bancos de dados, protocolos de
comunicação ou simples sistemas de armazenamento de arquivos chegam
aos consumidores providos desta função de embaralhar os dados. Através do
uso de um algoritmo (sequência de passos para o embaralhamento) os dados
a serem protegidos e de uma chave (conjunto de bits) transforma-se textos
ou dados abertos em códigos ilegíveis.
A chave (conjunto de bits) existe para embaralhar (encriptar) o texto e, atra-
vés do conhecimento dela, conseguir recuperar o texto original (decriptar).
Isso é Criptografia no mundo computacional, e isso era Criptografia há mil
anos. Porém, se hoje temos computadores para criptografar dados e proces-
66
O conceito de infraestrutura significa um somatório de tecnologias
para garantir segurança, onde, trata-se de uma solução conjunta de
hardware, software e protocolos, através da distribuição e gerencia-
mento de chaves e certificados digitais.
Apesar das CAs auxiliarem na comprovação da identidade do dono
de uma chave pública através dos certificados digitais, ainda existe a
necessidade de disponibilizar os certificados, e revogar outros certifi-
cados em caso de perda, comprometimento ou desligamento de um
funcionário.
67
As autoridades certificadoras (AC’s) agem como cartórios digitais, reco-
lhendo, através de suas AR’s (autoridades de registro) a documentação das
entidades para as quais os certificados serão emitidos, e criando um certifi-
cado digital que associa a entidade a um par de chaves.
As AC’s emitem os certificados digitais a partir de uma política estabeleci-
da, assim como alguns órgãos emitem carteira de identidade, carteira de
motorista, reconhecimento de firma, etc. Elas possuem uma cadeia de cer-
tificação que garantem a identidade da entidade, através de uma rígida po-
lítica de segurança, e por isso são consideradas um terceiro confiável.
68
69
70
Após o lançamento de um software, uma vulnerabilidade não detecta-
da nas fases de teste permanece latente até que algum pesquisador
(esse sim, geralmente um Hacker) contratado pelo próprio fabricante,
por terceiros ou independente a encontre.
A índole do pesquisador vai ditar as regras de quando ele irá publicar
a vulnerabilidade. Se o pesquisador estiver apoiando o fabricante, e
este tratar segurança como algo sério, a vulnerabilidade somente será
publicada após uma correção estar disponibilizada para os usuários.
Caso ele não se importe com o fabricante ou com os usuários, a vulne-
rabilidade pode ser publicada assim que ele a descobrir ou quando ele
já tiver um código que a explore.
71
Outra possibilidade a que ele não venha a publicá-la, e sim a disponi-
bilizá-la para um criador de vírus que utilizam se de “zero-days”, ou
seja, exploração de vulnerabilidades zero ou menos dias antes da pu-
blicação da correção.
Uma vez que a correção é publicada inicia-se o período de homologa-
ção por parte do usuário, que pode levar de horas a dias.
Os últimos estudos mostram que os vírus baseados em zero-days ou
em correções recém lançadas tem tido uma penetração maior em em-
presas do que em usuários domésticos, porque estes contam com um
serviço de atualização automática, e as organizações perdem um tem-
po valioso em seu processo de homologação, que apesar de importan-
te deve ser tratado com prioridade para que essa não fique exposta a
ameaças durante muito tempo.
72
A Injeção de código SQL (SQL Injection), é uma forma de ataque a aplicações
onde o usuário ao invés de entrar com um dado “inocente” como um nome
(Ex: Pietro) ou identificador (Ex: 1001) entra com uma expressão SQL, que
altera o funcionamento da aplicação para realizar alguma ação que poderá
comprometer a confidencialidade, disponibilidade e integridade das aplica-
ções.
73
O Primeiro malware a utilizar-se de uma vulnerabilidade de código foi o
“Morris Worm”, nome dado em homenagem a seu criador, o filho de um ci-
entista chefe do NSA e estudante de graduação Robert Morris, que em 1988
criou um programa para se propagar lentamente pela Internet, e sem causar
dano medir o tamanho da rede contabilizando os hosts VAX por onde passa-
va.
Devido a um erro de programação ele criou novas cópias muito rapidamente,
sobrecarregando as máquinas infectadas, e travando as máquinas SUN, para
as quais o worm não foi projetado.
74
O Morris Worm causou um prejuízo estimado entre 10 e 100 Milhões de
dólares, e Robert foi julgado culpado pelo “Computer Fraud and Abuse
Act”, sentenciado a 3 anos de condicional e 400 horas de serviços comunitá-
rios. Hoje Morris é professor de ciência da computação no MIT
Os Worms são a causa mais comum de ataques na Internet:
Mais de 50% dos boletins publicados pelo CERT (computer security
incident report team) são conseqüência de buffer overflows
Morris worm (1988): B.O. no Fingerd: 6,000 máquinas infectadas
CodeRed (2001): B.O. no servidor MS-IIS 5: 300,000 máquinas infec-
tadas em 14 horas
SQL Slammer (2003): B.O. no MS-SQL server: 75,000 máquinas infec-
tadas em 10 minutos (!!)
75
O trecho de código acima foi extraído de um documento da Microsoft,
vemos uma vulnerabilidade no código do servidor RPC do Windows,
que foi explorado pelo vírus Blaster (aquele que fazia a máquina reinici-
ar em 60 segundos).
Durante o programa Trustworth Computing (Computação Confiável) a
Microsoft revirou o código do Windows e descobriu diversas vulnerabi-
lidades como esta, e à medida em que as foi corrigindo foi distribuindo
atualizações de segurança para os usuários, que na época, Setembro de
2003, não tinham a cultura de aplicar as correções de segurança, e não
contavam com um programa de atualização automática do sistema.
76
Através da engenharia reversa do código da correção, ficou fácil para os
atacantes entender a vulnerabilidade existente no código do Windows
e criar o Blaster, que em poucos dias deixou um saldo de:
Mais de 15 milhões de computadores infectados
3.3 Milhões (quase 10 vezes o normal) de chamados de segurança
para o suporte Microsoft, que é gratuito para todos os cliente com
software original
A Microsoft considerou que na época cada chamado lhe custou U$
40,00. O que significa um prejuízo tangível e direto de quase 120 Mi-
lhões de dólares, que se mostrariam modestos frente ao desgaste de ima-
gem.
77
A partir da década de 80, alguns organismos internacionais começaram a de-
senvolver padrões de certificação para testar as aplicações em homologação
pelo governo de seus respectivos países.
Durante um período de cinco anos, entre 1993 e 1998, esses organismos uni-
ram-se para criar um padrão de certificação que facilitasse o trabalho e dimi-
nuísse o custo dos fabricantes de software, antes obrigados a pagar por dife-
rentes tipos de certificação, um para cada país ou região.
78
79
Trata-se de um dos princípios mais conhecidos e mais importantes da se-
gurança da informação, e prega a divisão de tarefas e permissões na organi-
zação, não concentrando o conhecimento em apenas uma pessoa e reduzin-
do o risco de fraudes, uma vez que seriam necessários dois ou mais colabo-
radores trabalhando em conluio (ato de cooperação entre partes que come-
tem um ato ilícito) para que essa se consumasse.
A Segregação de funções é complementar aos conceitos de need-to-know e
privilégio mínimo, que pregam que os colaboradores somente precisam
conhecer o suficiente para desempenhar suas tarefas, e que não necessitam
de mais permissões no sistema do que o necessário para executar essas ta-
refas.
80
81
De acordo com a classificação da informação que está sendo protegida pode-
mos utilizar uma combinação de mais de um fator de autenticação, tornando
o acesso muito mais seguro., com dois ou três fatores
3 Fatores: Senha + Crachá + Biometria
2 Fatores: Crachá + Biometria, Senha + Cracha, Senha + Biometria
A maioria de nós já utilizou algum tipo de autenticação com dois fatores, al-
guns exemplos são:
Senha + Cartão de Senhas (Bancos)
Senha + Token (Bancos, VPN)
Senha + SmartCard (VPN)
82
83
Estar em conformidade significa evitar violação de:
Qualquer lei criminal ou civil;
estatutos;
regulamentações;
obrigações contratuais;
quaisquer requisitos de segurança da informação;
O Fator chave para manter-se em conformidade é identificar a legisla-
ção vigente, assim como as regulamentações às quais nossa organiza-
ção está subordinada.
84
Anexo A Exercícios com Respostas Comentadas
85
Anexo A – Exercí cios com respostas comentadas
1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal e
deve verificar se os dados estão corretos. Qual característica de confiabilida-
de da informação que você está verificando?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. incorreto. A disponibilidade é o grau em que a informação está disponível
para os usuários nos momentos necessários.
B. incorreto. A exclusividade é uma característica de sigilo.
C. correto. Esta é uma preocupação da integridade.
D. incorreto. Trata-se do grau em que o acesso à informação é restrito a ape-
nas aqueles que são autorizados.
2 de 40 — A fim de ter uma apólice de seguro de incêndio, o departamento
administrativo deve determinar o valor dos dados que ele gerencia. Qual
fator não é importante para determinar o valor de dados para uma organiza-
ção?
A. O conteúdo dos dados.
B. O grau em que a falta, dados incompletos ou incorretos podem ser recupe-
rados.
C. A indispensabilidade dos dados para os processos de negócio.
D. A importância dos processos de negócios que fazem uso dos dados.
A. correto. O conteúdo dos dados não determina o seu valor.
B. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmen-
te recuperados são menos valiosos do que os dados que são difíceis ou im-
possíveis de recuperar.
86
C. incorreto. A indispensabilidade dos dados para os processos de negó-
cios, em parte, determina o valor.
D. incorreto. Dados críticos para os processos de negócio importantes, por-
tanto, valiosos.
3 de 40 – Nosso acesso à informação é cada vez mais fácil. Ainda assim, a
informação tem de ser confiável, a fim de ser utilizável. O que não é um
aspecto de confiabilidade da informação?
A. Disponibilidade
B. Integridade
C. Quantidade
D. Confidencialidade
A. incorreto. A disponibilidade é um aspecto de confiabilidade da informa-
ção
B. incorreto. A integridade é um aspecto de confiabilidade da informação
C. correto. Quantidade não é um aspecto de confiabilidade das infor-
mações.
D. incorreto. A confidencialidade é um aspecto de confiabilidade da infor-
mação
4 de 40 — "Completeza" faz parte de qual aspecto de confiabilidade da in-
formação?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. incorreto. As informações podem estar disponíveis sem ter que ser com-
pletas
B. incorreto. A exclusividade é uma característica de sigilo.
C. correto. Completeza faz parte da Integridade, que é parte do aspecto de
confiabilidade.
87
D. incorreto. As informações confidenciais não têm que ser completas
5 de 40 — Um departamento administrativo vai determinar os perigos aos
quais está exposto. O que chamamos de um possível evento que pode ter
um efeito perturbador sobre a confiabilidade da informação?
A. Dependência
B. Ameaça
C. Vulnerabilidade
D. Risco
A. incorreto. A dependência não é um evento.
B. correto. A ameaça é um evento possível que pode ter um efeito per-
turbador sobre a confiabilidade da informação.
C. incorreto. A vulnerabilidade é o grau em que um objeto está suscetível a
uma ameaça.
D. incorreto. Um risco é o prejuízo médio esperado durante um período de
tempo como resultado de uma ou mais ameaças levando à ruptura
6 de 40 — Qual é o propósito do gerenciamento de risco?
A. Determinar a probabilidade de que um certo risco ocorrera.
B. Determinar os danos causados por possíveis incidentes de segurança.
C. Delinear as ameaças a que estão expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nível aceitável.
A. incorreto. Isso faz parte da análise de risco.
B. incorreto. Isso faz parte da análise de risco.
C. incorreto. Isso faz parte da análise de risco.
D. correto. O objetivo do gerenciamento de risco é o de reduzir os ris-
cos para um nível aceitável.
88
7 de 40 – Qual das afirmações sobre a análise de risco é a correta?
1. Riscos que são apresentados em uma análise de risco podem ser classifica-
dos.
2. Numa análise de risco todos os detalhes têm que ser considerados.
3. A análise de risco limita-se a disponibilidade.
4. A análise de risco é simples de efetuar através do preenchimento de um
pequeno questionário padrão com perguntas padrão.
A. 1
B. 2
C. 3
D. 4
A. correto. Nem todos os riscos são iguais. Como regra os maiores ris-
cos são abordados em primeiro lugar.
B. incorreto. É impossível em uma análise de risco examinar todos os deta-
lhes.
C. incorreto. A análise de risco considera todos os aspectos de confiabilida-
de, incluindo a integridade e confidencialidade, juntamente com a disponibi-
lidade.
D. incorreto. Em uma análise de riscos, questões raramente são aplicáveis a
cada situação.
8 de 40 - Qual dos exemplos abaixo pode ser classificado como fraude?
1. Infectar um computador com um vírus.
2. Realização de uma operação não autorizada.
3. Divulgação de linhas de comunicação e redes.
4. Utilização da Internet no trabalho para fins privados.
A. 1
B. 2
C. 3
D. 4
89
A. incorreto. A infecção por vírus é classificada como a "ameaça de alteração
não autorizada".
B. correto. Uma transação não autorizada é classificada como "fraude".
Consulte a seção 4.6 "Ameaças administrativas".
C. incorreto. Tapping é classificada como "ameaça" de divulgação ".
D. incorreto. A utilização privada é classificada como a ameaça de "abuso".
9 de 40 - Um risco possível para uma empresa é dano por incêndio. Se essa
ameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indi-
retos podem ocorrer. O que é um exemplo de prejuízos diretos?
A. Um banco de dados é destruído
B. Perda de imagem
C. Perda de confiança do cliente
D. Obrigações legais não podem mais ser satisfeitas
A. correto. Um banco de dados destruído é um exemplo dos prejuízos
diretos.
B. incorreto. Danos de imagem é indireta.
C. incorreto. Perda de confiança do cliente é indireta.
D. incorreto. Ser incapaz de cumprir as obrigações legais é dano indireto.
10 de 40 - A fim de reduzir os riscos, uma empresa decide optar por uma es-
tratégia de um conjunto de medidas. Uma das medidas é que um acordo
stand-by é organizado para a empresa. A que tipo de medidas um acordo
stand-by pertence?
A. Medidas corretivas
B. Medidas detetivas
C. Medidas preventivas
D. Medidas repressivas
90
A. incorreto. Medidas corretivas são tomadas após evento
B. incorreto. Medidas detetivas são tomadas depois de um sinal de detecção.
C. incorreto. As medidas preventivas são destinadas a evitar incidentes.
D. correto. Medidas repressivas, tais como um acordo stand-by, visam
minimizar os danos.
9 de 40 - O que é um exemplo de uma ameaça humana?
A. Um pen drive que passa vírus para a rede.
B. Muito pó na sala do servidor.
C. Um vazamento que causa uma falha no fornecimento de eletricidade.
A. correto. Um pen drive que passa vírus para a rede sempre é inserido
por uma pessoa. Assim fazendo um vírus entra na rede, então é uma
ameaça humana.
B. incorreto. Poeira não é uma ameaça humana.
C. incorreto. A fuga de energia elétrica não é uma ameaça humana.
12 de 40 - O que é um exemplo de uma ameaça humana?
A. Um apagão
B. Fogo
C. Phishing
A. incorreto. Um relâmpago é um exemplo de uma ameaça não humana
B. incorreto. O fogo é um exemplo de uma ameaça não humana
C. correto. Phishing (atraem usuários para sites falsos) é uma forma de
ameaça humana.
13 de 40 - A informação tem uma série de aspectos de confiabilidade. confia-
bilidade é constantemente ameaçada. Exemplos de ameaças são: um cabo se
soltar, a informação que alguém altera por acidente, dados que são usados
91
para fins particulares ou falsificados. Qual destes exemplos é uma ameaça à
confidencialidade?
A. Um cabo solto
B. Exclusão acidental de dados
C. Utilização privada de dados
D. Falsificação de dados
A. incorreto. Um cabo solto é uma ameaça para a disponibilidade de infor-
mações.
B. incorreto. A alteração não intencional de dados é uma ameaça à sua inte-
gridade.
C. correto. A utilização de dados para fins privados, é uma forma de
abuso e é uma ameaça à confidencialidade. .
D. incorreto. A falsificação de dados é uma ameaça à sua integridade.
14 de 40 - Um empregado nega o envio de uma mensagem específica.
Qual o aspecto de confiabilidade da informação está em perigo aqui?
A. Disponibilidade
B. Exatidão
C. Integridade
D. Confidencialidade
A. incorreto. Sobrecarregar a infraestrutura é um exemplo de uma ameaça à
disponibilidade.
B. incorreto. Exatidão não é um aspecto de confiabilidade. É uma caracte-
rística de integridade.
C. correto. A negação do envio de uma mensagem tem a ver com o não-
repúdio, uma ameaça à integridade.
D. incorreto. O uso indevido e / ou divulgação de dados são ameaças à con-
fidencialidade.
92
15 de 40 - No ciclo de incidente há quatro etapas sucessivas. Qual é a ordem
dessas etapas?
A. Ameaça, Dano, Incidente, Recuperação
B. Ameaça, Incidente, Dano, Recuperação
C.Incidente, Ameaça, Dano, Recuperação
D. Incidente, Recuperação, Dano, Ameaça
A. incorreto. Os danos se seguem após o incidente.
B. correto. A ordem das etapas do ciclo do incidente são: ameaça, inci-
dente, dano e recuperação.
C. incorreto. O incidente segue a ameaça.
D. incorreto. A recuperação é a última etapa.
16 de 40 - Um incêndio interrompe os trabalhos da filial de uma empresa de
seguros de saúde. Os funcionários são transferidos para escritórios vizinhos
para continuar seu trabalho. No ciclo de vida do incidente, onde são encon-
trados os arranjos de continuidade?
A. Entre a ameaça e o incidente
B. Entre a recuperação e a ameaça
C. Entre o dano e a recuperação
D. Entre o incidente e os danos
A. incorreto. Realização de um acordo stand-by, sem que primeiro haja um
incidente é muito caro.
B. incorreto. A recuperação ocorre após a colocação do acordo de stand-by
em funcionamento.
C. incorreto. Danos e recuperação são realmente limitados pelo acordo stand
-by.
D. correto. Um stand-by é uma medida repressiva que é iniciada, a fim
de limitar os danos.
93
17 de 40 - Como é amelhor descrição do objetivo da política de segurança da
informação?
A. A política documenta a análise de riscos e a busca de medidas de contor-
no.
B. A política fornece orientação e apoio à gestão em matéria de segurança da
informação.
C. A política torna o plano de segurança concreto, fornecendo-lhe os deta-
lhes necessários.
D. A política fornece percepções sobre as ameaças e as possíveis consequên-
cias.
A. incorreto. Este é o propósito da análise e gerenciamento de riscos.
B. correto. A política de segurança fornece orientação e apoio à gestão
em matéria de segurança da informação.
C. incorreto. O plano de segurança faz com que a política de segurança da
informação seja concreta. O plano inclui medidas que tenham sido escolhi-
das, quem é responsável pelo que, as orientações para a implementação de
medidas, etc.
D. incorreto. Este é o propósito de uma análise de ameaça.
18 de 40 - O código de conduta para os negócios eletrônicos (e-business) é
baseado em uma série de princípios. Quais dos seguintes princípios não per-
tencem?
A. Confiabilidade
B. Registro
C. Confidencialidade e privacidade
A. incorreto. Confiabilidade forma uma das bases do código de conduta.
B. correto. O código de conduta é baseado nos princípios de confiabili-
dade, transparência, confidencialidade e privacidade.
94
C. incorreto. O código de conduta se baseia em matéria de confidencialidade
e privacidade, entre outras coisas.
19 de 40 - Um trabalhador da companhia de seguros Euregio descobre que a
data de validade de uma política foi alterada sem seu conhecimento. Ela é a
única pessoa autorizada a fazer isso. Ela relata este incidente de segurança
ao Helpdesk.
O atendente do Helpdesk registra as seguintes informações sobre este inci-
dente:
data e hora
descrição do incidente
possíveis consequências do incidente
Que informação importante sobre o incidente está faltando aqui?
A. O nome da pessoa que denunciou o incidente
B. O nome do pacote de software
C. O número do PC
D. Uma lista de pessoas que foram informadas sobre o incidente
A. correto. Ao relatar um incidente, o nome do usuário deve ser registra-
do no mínimo.
B. incorreto. Esta informação adicional pode ser adicionada posteriormente
C. incorreto. Esta informação adicional pode ser adicionada posteriormente
D. incorreto. Esta informação adicional pode ser adicionada posteriormente
20 de 40 - Uma empresa experimenta os seguintes incidentes:
1. Um alarme de incêndio não funciona.
2. A rede é invadida.
3. Alguém finge ser um membro do quadro de pessoal.
4. Um arquivo no computador não pode ser convertido em um arquivo PDF.
Qual destes incidentes não é um incidente de segurança?
95
A. 1
B. 2
C. 3
D. 4
A. incorreto. Um alarme de incêndio defeituoso é um incidente que pode
ameaçar a disponibilidade de dados.
B. incorreto. Hacking é um incidente que pode ameaçar a disponibilidade,
integridade e confidencialidade dos dados.
C. incorreto. Desvio de identidade é um incidente que pode ameaçar o as-
pecto da disponibilidade, integridade e confidencialidade dos dados.
D. correto. Um incidente de segurança é um incidente que ameaça a
confidencialidade, confiabilidade e disponibilidade dos dados. Esta
não é uma ameaça para a disponibilidade, integridade e confidenciali-
dade dos dados.
21 de 40 - As medidas de segurança podem ser agrupadas de várias manei-
ras. Qual das seguintes é correta?
A. Física, lógica, preventiva
B. Lógica repressiva, preventiva
C. Organizacional, preventiva, corretiva, física
D. Preventiva, detetiva, repressiva, corretiva
A. incorreto. Organizacional / lógico / físico é um grupo apropriado, como
é preventiva / detetiva / repressiva / corretivas.
B. incorreto. Organizacional / lógico / físico é um grupo apropriado, como é
preventiva / detetiva / repressiva / corretivas.
C. incorreto. Organizacional / lógico / físico é um grupo apropriado, como
é preventiva / detetiva / repressiva / corretivas.
D. correto. Preventiva / detetiva / repressiva / corretiva é um grupo
apropriado, como é organizacional / lógico / físico.
96
22 de 40 - Um alarme de fumaça é colocado em uma sala de computadores.
Sob qual categoria de medidas de segurança está esta?
A. Corretivas
B. Detetiva
C. Organizacional
D. Preventiva
A. incorreto. Um alarme detecta fumaça e, em seguida, envia um alarme, mas
não tomar qualquer ação corretiva.
B. correto. Um alarme de incêndio só tem uma função de sinalização,
após o alarme dado, a ação ainda é necessária.
C. incorreto. Só as medidas que seguem um sinal de alarme de incêndio são
organizacionais; a colocação de um alarme de fumaça não é organizacional.
D. incorreto. Um alarme de fumaça não impede o fogo e não é portanto uma
medida preventiva.
23 de 40 - Security Officer (ISO-Information Security Officer)), da compa-
nhia de seguros Euregio deseja ter uma lista de medidas de segurança em
conjunto. O que ele tem que fazer primeiramente antes de selecionar as me-
didas de segurança a serem implementadas?
A. Implantar o monitoramento.
B. Realizar uma avaliação.
C. Formular uma política de segurança da informação.
D. Realizar uma análise de risco.
A. incorreto. O monitoramento é uma medida possível.
B. incorreto. A avaliação acontece depois que a lista de medidas é montada.
C. incorreto. Uma política de segurança da informação é importante, mas
não é necessária a fim de selecionar medidas.
D. correto. Antes das medidas de segurança serem selecionadas, Euregio
deve conhecer os seus riscos para determinar quais os riscos requerem
uma medida de segurança.
97
24 de 40 - Qual é a finalidade da classificação das informações?
A. Determinar quais tipos de informações podem requerer diferentes níveis
de proteção.
B. Atribuir informações a um proprietário.
C. Reduzir os riscos de erro humano.
D. Impedir o acesso não autorizado a informações.
A. correto. O objetivo da classificação das informações é de manter uma
proteção adequada.
B. incorreto. Alocação de informações para um proprietário é o meio de clas-
sificação e não o fim.
C. incorreto. Reduzir os riscos de erro humano é parte dos requisitos de
segurança dos funcionários.
D. incorreto. Impedir o acesso não autorizado a informações é parte de se-
gurança de acesso.
25 de 40 - A autenticação forte é necessária para acessar áreas altamente
protegidas. Em caso de autenticação forte a identidade de uma pessoa é ve-
rificada através de três fatores. Qual fator é verificado quando é preciso digi-
tar um número de identificação pessoal (PIN)?
A. Algo que você é
B. Algo que você tem
C. Algo que você sabe
A. incorreto. Um código PIN não é um exemplo de algo que você é.
B. incorreto. Um código PIN não é algo que você tem.
C. correto. Um código PIN é algo que você sabe.
26 de 40 - O acesso à sala de computadores está fechado usando um leitor de
crachás. Somente o Departamento de Sistemas de Gestão tem um crachá.
Que tipo de medida de segurança é essa?
98
A. Uma medida de segurança de correção
B. Uma medida de segurança física
C. Uma medida de segurança lógica
D. Uma medida de segurança repressiva
A. incorreto. A medida de segurança de correção é uma medida de recupe-
ração.
B. correto. Esta é uma medida de segurança física.
C. incorreto. Uma medida de segurança lógica controla o acesso ao softwa-
re e informação, e não o acesso físico às salas
D. incorreto. A medida de segurança repressiva visa minimizar as conse-
quências de um rompimento.
27 de 40 - Quatro membros do pessoal (4) do departamento de TI compar-
tilham um (1) mesmo crachá. A que risco de isso levar?
A. Se a energia falhar, os computadores vão ficar fora.
B. Se houver fogo os extintores de incêndio não podem ser usados.
C. Se alguma coisa desaparecer da sala de informática não vai ficar claro
quem é responsável.
D. Pessoas não autorizadas podem ter acesso à sala de computadores sem
serem vistas.
A. incorreto. Computadores fora do ar como resultado de uma falha de
energia não têm nada a ver com a gestão de acesso.
B. incorreto. Mesmo com um crachá, a equipe de TI pode apagar um incên-
dio com um extintor de incêndio.
C. correto. Embora fosse claro que alguém do departamento de TI entrou
na sala, não é certo que isso tenha acontecido.
D. incorreto. Ninguém tem acesso à sala de computadores sem um crachá.
28 de 40 - No salão de recepção de um escritório da administração, há uma
impressora que todos os funcionários podem usar em caso de emergência.
99
O arranjo é que as impressões devem ser recolhidas imediatamente, para
que elas não possam ser levadas por um visitante. Qual outro risco para a
informação da empresa que esta situação traz?
A. Os arquivos podem permanecer na memória da impressora.
B. Visitantes seriam capazes de copiar e imprimir as informações confiden-
ciais da rede.
C. A impressora pode tornar-se deficiente através do uso excessivo, de mo-
do que já não estará disponível para uso.
A. correto. Se os arquivos permanecem na memória podem ser impres-
sos e levados por qualquer transeunte.
B. incorreto. Não é possível usar uma impressora para copiar as informa-
ções da rede.
C. incorreto. A indisponibilidade de uma impressora não forma um risco
para a informação da companhia.
29 de 40 - Qual das seguintes medidas de segurança é uma medida técnica?
A. Atribuição de Informações a um dono
B. Criptografia de arquivos
C. Criação de uma política de definição do que é e não é permitido no e-
D. Senhas do sistema de gestão armazenadas em um cofre
A. incorreto. Alocação de informações para um proprietário é a classifica-
ção, que é uma medida de organização.
B. correto. Esta é uma medida técnica que impede que pessoas não au-
torizadas leiam as informações.
C. incorreto. Esta é uma medida de organização, um código de conduta que
está escrito no contrato de trabalho.
D. incorreto. Esta é uma medida de organização.
100
30 de 40 - As cópias de segurança As cópias de segurança (backup) As có-
pias de segurança (backup) do servidor central são mantidas na mesma sala
fechada com o servidor. Que risco a organização encara?
A. Se a falha no servidor, ele vai levar um longo tempo antes que o servidor
está novamente operacional.
B. Em caso de incêndio, é impossível obter o sistema de volta ao seu estado
anterior.
C. Ninguém é responsável pelos backups.
D. Pessoas não autorizadas tenham acesso fácil para os backups.
A. incorreto. Pelo contrário, isso ajudaria a recuperar o sistema operacional
mais rapidamente.
B. correto. A chance de que as cópias de segurança também podem ser
destruídas em um incêndio é muito grande.
C. incorreto. A responsabilidade não tem nada a ver com o local de armaze-
namento.
D. incorreto. A sala de informática está bloqueada.
31 de 40 - Qual das tecnologias abaixo é maliciosa?
A. Criptografia
B. Hash
C. Virtual Private Network (VPN)
D. Vírus, worms e spyware
A. incorreto. Criptografia torna a informação impossível de ser lida por qual-
quer pessoa, exceto aquela que possuem conhecimento especial, usualmente
feito por uma chave
B. incorreto. Hash é um método de criptografia da informação
C. incorreto. VPN é uma conexão segura feita para acesso à internet
D. correto. Todas essas são formas de tecnologias maliciosas que estabelecem
pedidos a um computador para fins maliciosos.
101
32 de 40 - Que medida não ajuda contra software mal-intencionado?
A. Uma política ativa de correções
B. Um programa anti-spyware
C. Um filtro anti-spam
D. Uma senha
A. incorreto. Software mal intencionado freqüentemente usa falhas de pro-
gramação em programas populares. Correções reparam brechas de segurança
nesses programas, reduzindo a chance de infecções por software mal intenci-
onado
B. incorreto. Spyware é um programa malicioso que coleta informações con-
fidenciais e então as distribui. Um programa anti-spyware pode detectar esse
tipo de programa no computador
C. incorreto. Spam é um e-mail não pedido. É freqüentemente uma simples
propaganda mas pode também ter programas maliciosos anexados ou um
link para um sítio na internet com software malicioso. Um filtro remove
spam.
D. correto. Uma senha é um meio de autenticação. Ela não bloqueia qual-
quer tipo de software malicioso.
33 de 40 - O que é um exemplo de medida organizacional?
A. Cópia de segurança (backup) de dados
B. Criptografia
C. Segregação de funções
D. Manutenção de equipamentos de rede e caixas de junção em uma sala
trancada
A. incorreto. Cópia de segurança (backup) é uma medida técnica
B. incorreto. Criptografia de dados é uma medida técnica
C. correto. Segregação de funções é uma medida organizacional. A inicia-
ção, execução e controle de funções são alocadas a diferentes pessoas.
Por exemplos, a transferência de um grande volume de dinheiro é prepa-
rado por um escriturário, o diretor financeiro executa o pagamento e um
102
contador audita a transação.
D. incorreto. Trancas as salas é um medida de segurança física.
34 de 40 - A identificação é determinar se a identidade de alguém é correta.
Esta declaração é correta?
A. sim
B. não
A. incorreto. Identificação é o processo de tornar uma identidade conhecida.
B. correto. Estabelecer se a identidade de alguém é correta é chamado de
autenticação.
35 de 40 - Por que é necessário manter um plano de recuperação de desastres
atualizados e testá-lo regularmente?
A. A fim de sempre ter acesso a cópias de segurança (backups) recentes, que
estão localizados fora do escritório.
B. Para ser capaz de lidar com as falhas que ocorrem diariamente.
C. Porque de outra forma, na eventualidade de uma ruptura muito grande, as
medidas tomadas e os procedimentos previstos podem não ser adequados ou
podem estar desatualizados.
D. Porque esta é exigida pela Lei de Proteção de Dados Pessoais.
A. incorreto. Esta é uma das medidas técnicas utilizadas para recuperar um
sistema
B. incorreto. Para rupturas normais as medidas usualmente executadas e os
procedimentos de incidentes são suficientes
C. correto. Uma ruptura maior requer planos atualizados e testados.
D. incorreto. A Lei de Proteção de Dados Pessoais envolve a privacidade dos
dados pessoais
36 de 40 - O que é a autorização?
A. A determinação da identidade de uma pessoa.
B. O registro das ações realizadas.
C. A verificação da identidade de uma pessoa.
103
D. A concessão de direitos específicos, tais como o acesso seletivo para uma
pessoa.
A. incorreto. A determinação da identidade de uma pessoa é chamada de
identificação
B. incorreto. O registro das ações realizadas é chamada diário
C. incorreto. A verificação da identidade da pessoa é chamada de autentica-
ção
D. correto. A permissão de direitos específicos, tal como acesso seletivo
para uma pessoa, é chamada de autorização.
37 de 40 - Qual norma legal importante na área de segurança da informação
que o governo tem que cumprir?
A. Análise de dependência e vulnerabilidade
B. ISO / IEC 20000
C. ISO / IEC 27002
D. Legislação nacional de segurança de informação ou regulamentos
A. incorreto. Dependência & Análise de Risco é um método de análise de
risco
B. incorreto. ISO/IEC 20000 é um padrão para organizar o gerenciamento de
serviços de TI e não é compulsório. incorreto. ISO/IEC 27002 é o Código de
Segurança da Informação. É um guia para organizar a Segurança de Informa-
ção e não é compulsório
D. correto. Legislação nacional de segurança da informação ou regula-
mentos são intencionados para todos os governos e são obrigatórios.
38 de 40 - Com base em qual legislação alguém pode pedir para inspecionar
os dados que tenham sido registrados?
A. A Lei de Registros Públicos
B. A Lei de Proteção de Dados Pessoais
C.A Lei de Crimes de Informática
104
D. A Lei de acesso público a informações do governo
A. incorreto. A Lei de Registros Públicos regula o armazenamento e a des-
truição de documentos arquivados
B. correto. O direito de inspeção é regulado na Lei de Proteção de Dados
Pessoais.
C. incorreto. A Lei de Crimes de Informática é uma mudança do Código Pe-
nal e do Código de Processo Criminal de forma a tornar mais fácil lidar com
ofensas perpetradas por meio de tecnologia da informação avançada. Um
exemplo de uma nova ofensa é o hacking.
D. incorreto. A Lei de Acesso Público a Informações do Governo regula a ins-
peção de documentos oficiais escritos. Dados pessoais não são documentos
oficiais.
39 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC
27002) é uma descrição de um método de análise de risco. Esta declaração é
correta?
A. Sim
B. Não
A. incorreto. A 27002 é uma coleção de medidas
B. correto. O Código de Segurança da Informação pode ser usado em uma
análise de risco mas não é um método.
40 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC
27002) só se aplica às grandes empresas. Esta declaração é correta?
A. Sim
B. Não
A. incorreto. O Código de Segurança da Informação é aplicável a todos os
tipos de organização, grandes e pequenas.
B. correto. O Código de Segurança da Informação é aplicável a todos os
tipos de organização, grandes e pequenas.
105
Anexo B
Lista de conceitos básico do Exin
106
A lista apresenta o nome traduzido, o original utilizado nas provas e litera-
tura em Inglês do Exin e o tópico na apostila onde encontrar o assunto.
Termo em Português Termo em Inglês Tópico
Ameaça Threat 3.1
Análise da Informação Information Analysis 1.1
Análise de Risco Risk analysis 3.3
Análise de risco qualitativa Qualitative risk analysis 3.3
Análise quantitativa de risco Quantitative risk analysis 3.3
Arquitetura da Informação Information architecture 1.1
Assinatura Digital Digital signature 5.3
Ativo Asset 1.2
Auditoria Audit 5.7, 6.2
Autenticação Authentication 5.7
Autenticidade Authenticity 1.3
Autorização Authorization 5.7
Avaliação de Riscos Risk assessment 3.3
Backup (Cópia de segurança) Backup 5.3
Biometria Biometrics 5.3
Botnet Botnet 3.2
Categoria Category 5.1
Cavalo de Troia Trojan 3.2
Certificado Digital Certificate 5.3
Chave Key 5.3
Ciclo de Incidentes Incident cycle 4.3
Classificação Classification (grading) 2.3
Código de boas práticas de Segu-
rança (ISO 27002)
Code of practice for information
security (ISO/IEC 27002:2005)
1.1
107
Termo em Português Termo em Inglês Tópico
Código de conduta Code of conduct 4.2
Código Malicioso (Malware) Malware 3.2
Completeza (Totalidade) Completeness 1.2
Confiabilidade das informações Reliability of information 1.2
Confidencialidade Confidentiality 1.3
Conformidade Compliance 6
Continuidade Continuity 1.3
Controle de Acesso Access control 5.7
Corretiva Corrective 5.1
Criptografia Cryptography 5.3
Dados Data 1.1
Danos Danos diretos Danos indiretos
Damage Direct damage Indirect damage
3.3
Desastre Disaster 5.8
Detectiva Detective 5.1
Disponibilidade Availability 1.3
Encriptar Encryption 5.3
Engenharia Social Social engineering 3.2
Escalação Escalação funcional Escalação hierárquica
Escalation Functional escalation Hierarchical escalation
4.3
Estratégia de Risco Evitar riscos
Risk strategy Risk avoiding
3.3
Exatidão Correctness 1.3
Exclusividade Exclusivity 1.3
Fator de produção Production factor 1.2
Firewall pessoal Personal firewall 5.3
108
Termo em Português Termo em Inglês Tópico
Fornecedor Ininterrupto de Energia
(No Break)
Uninterruptible Power Supply
(UPS)
5.2
Gerenciamento da Continuidade de
Negócios (GCN)
Business Continuity Manage-
ment (BCM)
5.8
Gerenciamento da Informação Information management 1.1
Gerenciamento de acesso lógico Logical access management 5.7
Gerenciamento de Mudança Change Management 4.3
Gerenciamento de riscos Risk management 3.3
Hacking Hacking 3.2
Hoax Hoax 3.2
Identificação Identification 1.
Impacto Impact 4.1
Incidente de Segurança Security incident 4.3
Informação Information 1.1
Infraestrutura Infrastructure 1.1
Infraestrutura de chave pública
(ICP)
Public Key Infrastructure (PKI) 5.3
Integridade Integrity 1.2
Interferência Interference
ISO / IEC 27001:2005 ISO/IEC 27001:2005 1.1
ISO / IEC 27002:2005 ISO/IEC 27002:2005 1.1
Legislação de direitos autorais Copyright legislation 6.1
Legislação sobre Crimes de Informá-
tica
Computer criminality legislation 6.1
Legislação sobre proteção de dados
pessoais
Personal data protection legisla-
tion
6.1
Legislação sobre registros públicos Public records legislation 6.1
109
Termo em Português Termo em Inglês Tópico
Medida de segurança Security measure 5
Não-repúdio Non-repudiation 1.3
Organização de Segurança Security Organization 4.2
Patch Patch 5.4
Phishing Phishing 3.2
Plano de Continuidade de Ne-
gócios (PCN)
Business Continuity Plan
(BCP)
5.8
Plano de Recuperação de De-
sastre (PRD)
Disaster Recovery Plan (DRP) 5.8
Política de mesa limpa Clear desk policy 5.2
Privacidade Privacy 1.3
Política de Segurança Security Policy 4.1
Porta de Manutenção Maintenance door 3.2
Precisão Precision 1.3
Preventiva Preventive 5.1
Prioridade Priority 4.1
Prontidão Timeliness 1.3
Rede privada virtual (VPN) Virtual Private Network (VPN) 5.3
Redutiva Reductive 5.1
Reduzir riscos Risk Reduce 3.3
Regulamenta1ção de segurança
para informações especiais p/ o
governo
Security regulations for special
information for the government
6.1
Regulamentação de Segurança
para o governo
Security regulations for the
government
6.1
Repressiva Repressive 5.1
Reter risco Risk bearing 3.3
Risco Risk 3
110
Termo em Português Termo em Inglês Tópico
Robustez Robustness 1.3
Rootkit Rootkit 3.2
Segregação de funções Segregation of duties 5.6
Sistema de Informação Information system 1.1
Spam Spam 3.2
Software Espião Spyware 3.2
Stand-by Arrangement Stand-by arrangement 5.8
Mídia de armazenamento Storage medium 1.1
Urgência Urgency 4.1
Validade Validation 1.2
Verificação Verification 6.2
Vírus Virus 3.2
Vulnerabilidade Vulnerability 3.1
Verme Worm 3.2
111
112
Anexo C
Referências Bibliográficas
113
Anexo C – Refere ncias Bibliograficas
[1] GIL, Antonio de Loureiro. Segurança em Informática. 2. Ed. São Paulo: Atlas,
1998.
[2] GIL, Antonio de Loureiro. Auditoria de Computadores. 4. Ed. São Paulo: Atlas,
1999.
[3] SCHNEIER, Bruce. Segurança.com, Tradução de “Secrets & Lies”, Segredos e
Mentiras sobre a Proteção na Vida Digital, Criptografia, Criptografia no Contexto,
Identificação e Autenticação.
[4] BUCHMANN, Johannes A. Introdução à Criptografia, Codificação Criptográfica
ou Cifragem, Chave Pública, Assinaturas Digitais.
[5] Segurança Máxima. 3. ed. Rio de Janeiro: Campus, 2001.
[6]. SÊMOLA, Marcos. Gestão da Segurança da Informação. 1. Ed. Rio de Janeiro:
Campus, 2003.
[7] PORTER, Michael E. Estratégia Competitiva: Técnicas para Análise de Indústrias
e da Concorrência. 7. Ed. Rio de Janeiro: Campus, 1986.
[8~] DAVENPORT, Thomas H. Ecologia da Informação5. Ed. São Paulo: Futura, 2003
[9] FONSECA, Fernando. ISO 27005 Exemplificada. Acessada 19/05/2010 : ftp://
ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf
[10] DRUCKER, Peter. Sociedade pós-capitalista. São Paulo: Editora Pioneira, 7ª
Edição, 1998.
114
Anexo D
Sites Recomendados
115
Anexo D – Sites Recomendados
Blog Segurança Objetiva— segurancaobjetiva.wordpress.com
Segurança Microsoft— www.microsoft.com/security
Linha Defensiva— www.linhadefensiva.org
Infosec Council — www.infoseccouncil.org.br
116