www.tiparaconcursos.net Pgina 1 de 21 AULA 00: Segurana da Informao Sumrio 1. Apresentao. ................................................................................................................................. 2 1.1. A Banca. ...................................................................................................................................... 2 1.2. Metodologia das aulas. ............................................................................................................... 3 2. Contedo programtico e planejamento das aulas (Cronograma) ................................................ 5 3. Conceitos e fundamentos de segurana ......................................................................................... 6 3.1. Confidencialidade ....................................................................................................................... 7 3.2. Integridade .................................................................................................................................. 8 3.3. Disponibilidade ........................................................................................................................... 9 3.4. Autenticidade ............................................................................................................................ 10 3.5. No-repdio ou Irretratabilidade ............................................................................................. 10 4. Exerccios de fixao. .................................................................................................................... 12 5. Lista das Questes Utilizadas na Aula. .......................................................................................... 17 6. Gabarito. ....................................................................................................................................... 21
Ol concurseiros, Meu nome Diego Ajukas, sou professor de TI, mas especificamente das reas de Redes e Segurana. Sou formado em Engenharia de Computao pelo ITA e desde que conclui minha graduao venho me especializando na parte de Segurana de Redes, j tendo feito ps- graduao e obtido diversas certificaes na rea. Minha vida como professor comeou cedo. Primeiro com meu irmo mais novo no ensino fundamental (o cabra dava trabalho...) e depois em aulas particulares de matemtica e fsica no ensino mdio. Em seguida vieram os cursos preparatrios para vestibulares na poca da faculdade. J formado e trabalhando, sempre que tinha oportunidade, participava como instrutor em cursos internos, alm de monitoria em cursos de graduao. Comecei a focar mais em concursos h alguns anos quando (assim como vrios servidores pblicos) vim parar em Braslia. Na verdade, j vinha produzindo material para concursos, mesmo antes de chegar capital do pas, mas de uma forma mais despretensiosa, para uso pessoal e para ajudar aos colegas concurseiros. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 2 de 21 De l pra c vim ganhando experincia, conhecendo as bancas e otimizando esse material. Em 2013 tive a felicidade de receber o convite do professor Gabriel Pacheco para participar do tiparaconcursos.net e no medirei esforos nem pensarei duas vezes antes de passar dias e noites preparando o melhor material possvel para que vocs possam obter a to sonhada aprovao. Sem mais demora, vamos ao que interessa!
1. Apresentao. 1.1. A Banca. A banca escolhida para realizao deste certame foi o Centro de Seleo e de Promoo de Eventos, ou para os ntimos, CESPE! Como sabido pela maioria, o CESPE uma das principais bancas, sendo responsvel por diversos concursos todos os anos. Deste fato e de uma breve anlise dos anos anteriores podemos tirar duas concluses importantes (Uma boa e outra no to boa). A primeira e boa concluso que temos um grande espao amostral de questes para trabalharmos. Veremos no nosso curso que provavelmente s as questes do ano de 2013 j sero suficientes para varrer grande parte do nosso contedo programtico. Eventualmente, passaremos por questes de 2012 e 2011 para falar de assuntos que constam neste edital e no so to cobrados ou que so recorrentes e que, portanto, possuem grande chance de serem cobrados novamente. A segunda e no to boa concluso que, justamente por essa necessidade de formular novas questes, o CESPE vem mesclando assuntos na hora de cobr-los. Por isso, veremos muitas questes de Redes com Sistemas Operacionais, Redes com Segurana e por a vai... Portanto, senhores e senhoras, abram bem os olhos e a mente, despluguem da matrix porque precisamos no s estar estudando todos os assuntos, mas tambm fazendo o esforo mental de relaciona-los sempre que possvel. Como professor, me empenharei em ajuda-los nesta rdua tarefa, mas adianto que vocs sero os principais guerreiros nessa batalha. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 3 de 21 E para enfrentar os desafios que nos esperam preciso traar uma estratgia para super- los: precisamos de uma boa metodologia de aprendizagem! 1.2. Metodologia das aulas. a) Nossas aulas aqui no tiparaconcursos.net sero diretas, mas ao mesmo tempo descontradas. Tentarei manter um padro de at 30 pginas por aula, dependendo do assunto tratado, mas tentando sempre manter prximo a isso de modo a no prejudicar o planejamento do aluno (que precisa estudar mais uma montanha de contedos). b) Como toda aula que preze por uma boa didtica, nossas aulas comearo com algumas conceituaes sempre de forma objetiva, mas nunca deixando de prezar pela completude. Logo em seguida aplicaremos os conhecimentos adquiridos em uma srie de exerccios (alguns durante a teoria e outro ao final da aula), evidenciando a maneira pela qual a matria cobrada nas provas. c) Procuro sempre estudar o edital, o rgo, a banca, provas anteriores e tudo mais que possa contribuir para definir o grau de abordagem dos assuntos. Assim, veremos que no nosso curso alguns contedos sero abordados de forma mais bsica e outros de forma mais aprofundada. Mas no se preocupem porque buscarei sempre nivelar por cima. Nada do seu edital deixar de ser abordado. d) Eu particularmente gosto muito de exerccios. So eles que vo gerar as conexes neurais mais persistentes no nosso crebro e que sero responsveis por garantir que lembraremos o assunto na hora da prova. importante estudar a teoria, mas sem exerccios o aluno nunca saber como o assunto cobrado. Ainda, tentarei colocar questes recentes e que abordem somente o j estudado, de modo tornar o aluno apto a respond-la. Contudo, algumas questes que misturam diversos contedos s apareceram no final de captulos ou do curso. Por isso resistam at o final!!! e) Outra dica importante quanto aos exerccios a maneira de encar-los. Logo abaixo do enunciado, vm os comentrios do professor e s no final o gabarito da questo. Isso feito de propsito para que o aluno ao terminar de ler a questo no veja a resposta logo na linha seguinte. IMPORTANTISSMO: Tentem responder a questo Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 4 de 21 antes de ler os comentrios!!! Se tiver dvida, volte teoria e tente mais uma vez. Dessa forma, melhoramos muito nossa capacidade de absoro do contedo. f) Por ltimo e no menos importante: prestem ateno as nossas dicas! Os professores estudam, pesquisam, discutem e saem na porrada para dar a vocs todos os atalhos e macetes mais sinistros de cada matria. Ento no desperdicem essas valiosas informaes...
Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 5 de 21 2. Contedo programtico e planejamento das aulas (Cronograma) Seguiremos nossas aulas de modo a abordar todos os tpicos do edital conforme elaborado pela banca organizadora, fazendo os devidos rearranjos para garantir uma boa fluidez e um bom entendimento do assunto. Sempre que possvel, fecharemos um ou mais tpicos por aula de modo que o aluno no precise esperar a prxima aula para concluir o raciocnio. Entretanto, alguns assuntos mais extensos ou de maior relevncia podero ser abordados em duas aulas. Cada um tem seu ritmo, ento verifiquem seu planejamento e encaixem nossas aulas em suas agendas de modo a no acumular muita matria para os dias que antecedem a prova.
Aula Contedo a ser trabalhado Aula 00 Demonstrativa 10/03/2014 Apresentao do Curso e Metodologia a ser aplicada. Conceitos e fundamentos de segurana da informao. Confiabilidade, Integridade e Disponibilidade. Aula 01 31/03/2014 Mecanismos de segurana: o criptografia, o garantia de integridade; e o controle de acesso. Aula 02 14/04/2014 Mecanismos de segurana o assinatura digital, e o certificao digital. Aula 03 28/04/2014 Gerncia de riscos: o ameaa, o vulnerabilidade e o impacto. E agora, finalmente, a parte boa: Nossa aula!!! Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 6 de 21 3. Conceitos e fundamentos de segurana Antes de falarmos sobre alguns conceitos de segurana de redes, precisamos entender os conceitos de segurana de uma forma mais abrangente. Existem diversos ramos de estudo da segurana que variam desde a segurana fsica (provavelmente uma das reas mais antigas) at o conceito de segurana relacionado proteo da vida. Apenas para exemplificar, em sistemas automotivos nos temos o security (segurana contra roubo, alarmes, rastreamento GPS etc.) e safety (segurana contra acidentes, airbags, sistemas ABS e EBD etc.). O foco da Tecnologia da Informao : adivinhem? A informao. Tanto que na literatura no incomum aparecer o termo Segurana da Informao. Desse modo, antes mesmo de estudarmos os conceitos de segurana, preciso entender o que a informao. O patrimnio de uma empresa composto pelo que chamamos de ativos e passivos. Os ativos, de uma forma bem simples, representam todos os bens e direitos de uma empresa. Fazem parte dos ativos as edificaes, o mobilirio, os produtos desenvolvidos (direitos autorais etc.) e, claro, todas as informaes produzidas pela empresa. sempre complicado dar valor as coisas, mas nos dias de hoje, as informaes produzidas pela maioria das organizaes so provavelmente seus bens mais valiosos. Da a importncia que cada vez mais vem se dando a segurana da informao. Exerccio 1. (BASA TCNICO CIENTFICO SEGURANA DA INFORMAO 2012) 54 Ativo, em segurana da informao, refere-se aos itens financeiros que precisam ser protegidos, pois representam valor para a organizao e devem ser preservados. Comentrios: Os ativos de uma empresa, quando falamos em segurana da informao, so em primeiro lugar as prprias Informaes. Podem ser arquivos, sistemas, bancos de dados e por a vai. Esses ativos possuem alto valor para a empresa, mas normalmente no so quantificados em termos financeiros. Os Recursos Humanos e Computacionais, como hardware e software, tambm fazem parte dos ativos protegidos pela segurana da informao. Questo Errada. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 7 de 21 No vamos entrar muito na parte referente gesto da segurana da informao, mas importante que o aluno tenha sempre em mente que a proteo das informaes e do conhecimento de uma empresa vital para a continuidade do negcio. Aprofundando um pouco mais a parte tcnica, existem alguns conceitos chaves que, dependendo de cada situao, so necessrios para que possamos proteger uma informao. So esses os seguintes alicerces da segurana da informao: Confidencialidade; Integridade; Autenticidade; Disponibilidade; Irretratabilidade ou No repdio. Normalmente eles so cobrados nessa ordem de relevncia, isso porque inicialmente falvamos apenas da trade CIA (os trs primeiros). Depois a literatura comeou a incluir o quarto (de onde vem um mnemnico conhecido: DICA). Na literatura atual, passivo o entendimento de que todos eles tm igual importncia. O importante ter todos esses conceitos e seus significados bem gravados na memria. Especificamente no nosso edital, temos os conceitos de Confiabilidade, Integridade e Disponibilidade sendo cobrados, mas vamos falar tambm dos outros dois, pois o CESPE adora misturar seus conceitos, como por exemplo, descrevendo o conceito de Disponibilidade e aplicando-o como se fosse o de Integridade. 3.1. Confidencialidade Veremos que muitos desses conceitos podem ser vistos por dois ngulos (e os dois so cobrados em prova!). O Primeiro do lado de quem protege, ou seja, de quem est preocupado com os ataques. E o segundo de quem efetivamente quer utilizar a informao, o lado da garantia. Essa diferena fica mais clara medida que vamos definindo cada principio da segurana da informao. Vamos ver o conceito de confidencialidade. 1 viso: Confidencialidade quando uma determinada informao protegida de acessos no autorizados. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 8 de 21 2 viso: Confidencialidade quando uma determinada informao acessada somente por aquele possuem tal autorizao. Observem que esses dois conceitos so equivalente. Se eu tenho um, eu tambm tenho o outro. No geral, confidencialidade refere-se ao impedimento da divulgao de informaes s pessoas ou sistemas no autorizados. Por exemplo, uma transao com carto de crdito na Internet exige o nmero do carto de crdito a ser transmitido a partir do computador do comprador ao sistema do comerciante, e do comerciante a uma rede de processamento de transaes do banco ou da operadora do carto. Todo esse sistema faz uso da confidencialidade, criptografando o nmero do carto durante a transmisso, limitando os lugares onde ele pode aparecer (em bancos de dados, arquivos de log, backups, recibos impressos, e assim por diante), e restringindo o acesso aos locais onde ele armazenado. Se uma parte no autorizada obtm o nmero do carto de alguma maneira, ocorre uma quebra de confidencialidade. Definio de acordo com a ISO/IEC 27.001: propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados. Exerccio 2. (MEC GERENTE DE SUPORTE 2011) 130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado. Comentrios: O examinador apenas escreveu o conceito de confidencialidade com outras palavras. Questo Correta.
3.2. Integridade Definimos integridade como a proteo contra uma modificao no autorizada, ou sobre outra tica, a modificao somente pelas partes autorizadas. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 9 de 21 Na prtica, a integridade significa manter os dados, assegurando a preciso e a consistncia sobre todo o seu o ciclo de vida. Isso significa que os dados no podem ser modificados de forma no autorizada ou sem ser detectada. A integridade violada quando uma mensagem ativamente modificada, tanto localmente como em trnsito. Definio de acordo com a ISO/IEC 27.001: propriedade de salvaguarda da exatido e completeza de ativos. 3.3. Disponibilidade Podemos definir disponibilidade como a garantia de que o acesso s informaes estar disponvel s entidades autorizadas sempre que necessrio. Agora vamos prestar bem ateno porque aqui onde as bancas mais gostam de pegar o candidato. Isso devido ao fato que muitos fazem confuso entre os conceitos de confidencialidade e disponibilidade. Observem que o foco da confidencialidade est no contedo, enquanto que o da disponibilidade est na ao do acesso. Para garantir a confidencialidade, precisamos de mecanismos que verifiquem a relao sigilo das informaes versus nvel de acesso do usurio. J para garantir a disponibilidade, necessrio que todo o sistema esteja funcionando e seja utilizvel. Para isso, as informaes armazenadas por ele devem estar disponveis quando forem necessrias. Isto significa que os sistemas de computao utilizados para armazenar e processar as informaes, os sistemas usados para controlar a segurana, e os canais de comunicao utilizados para acessar tais informaes devem estar funcionando corretamente. Sistemas de alta disponibilidade, por exemplo, permanecem disponveis em todos os momentos, evitando interrupes de servio, devido falta de energia, falhas de hardware e atualizaes do sistema. Assegurar a disponibilidade envolve tambm preveno de ataques de negao de servio. Uma dica importante pros concurseiros procurar por termos como sempre que necessrio, sempre que preciso, sob demanda e por ai vai. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 10 de 21 Definio de acordo com a ISO/IEC 27.001: propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada. 3.4. Autenticidade Para que tenhamos autenticidade, preciso que o remetente e/ou destinatrio sejam sempre corretamente identificados. Em segurana da informao, assim como nos negcios tradicionais, necessrio garantir que todos os dados envolvidos em transaes, comunicaes ou documentos sejam genunos. Alm disso, tambm importante confirmar que ambas as partes envolvidas so quem eles dizem ser. Alguns sistemas de segurana da informao incorporam recursos de autenticao, tais como "assinaturas digitais", que do indcios de que os dados da mensagem so genunos e foram enviados por algum que possua a chave de assinatura apropriada.
3.5. No-repdio ou Irretratabilidade A maioria das normas utiliza o termo No repdio, mas comum encontramos tambm o termo irretratabilidade. Mais importante que o termo utilizado, o conceito. Ento vamos pra ele... No repdio nada mais do que uma proteo contra rejeio de envio ou recebimento de determinada informao. Um exemplo claro do nosso dia a dia de ferramenta contra o no repdio o contrato. Quando estabelecemos um contrato com uma empresa ou pessoa, estamos estabelecendo os direitos e deveres de cada um. Se alguma parte se nega a fazer determinada ao prevista em contrato, ser verificado se tal ao realmente est prevista e se ambas as partes assinaram aquele documento. Em um processo de comunicao entre usurios e/ou sistemas, implica que uma parte da transao no pode negar ter recebido determinada informao e nem a outra parte pode negar ter enviado. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 11 de 21 importante notar que, na tecnologia da informao, sistemas criptogrficos podem ajudar nos esforos para garantia do no repdio. Em sua essncia um conceito jurdico que transcende o domnio da tecnologia. Vamos ver a seguinte situao: No , por exemplo, suficiente mostrar que a mensagem correspondente a uma assinatura digital foi assinada com a chave privada de um remetente, para provar que s o remetente poderia ter enviado a mensagem e ningum mais poderia t-la alterado em trnsito. Em sua defesa, o suposto remetente pode demonstrar que o algoritmo de assinatura digital vulnervel ou imperfeito, ou alegar que sua chave de assinatura foi comprometida. A culpa por estas violaes pode ou no pode estar com o prprio remetente, e tais afirmaes podem ou no aliviar o remetente da responsabilidade. O fato que tal afirmao invalida a premissa de que a assinatura comprova necessariamente a autenticidade e a integridade e, portanto, nesse caso no possvel garantir o no repdio. Com a explicao sobreo conceito de no repdio, fechamos essa parte introdutria, mas voltaremos a falar dela quando estivermos estudando os sistemas criptogrficos, pois atravs deles, conseguimos implementar vrios desses princpios (e tambm porque os avaliadores adoram perguntar sobre isso).
Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 12 de 21 4. Exerccios de fixao. Exerccio 3. (TCE-RO - AUDITOR DE CONTROLE EXTERNO - CINCIAS DA COMPUTAO - 2013) 113 As aes referentes segurana da informao devem focar estritamente a manuteno da confidencialidade e a integridade e disponibilidade da informao. Comentrios: Como vimos, existem outros conceitos que devem ser observados no que tange a segurana da informao, como autenticidade, por exemplo. Questo errada. 4. (SAEBSEI - ESPECIALISTA EM PRODUO DE INFORMAES - 2012) 98 Um evento de segurana da informao pode ser definido como uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao na preservao da confidencialidade, integridade ou na disponibilidade da informao. Comentrios: Podemos incluir ai tambm violaes nos demais pilares da segurana da informao. Mas como a questo no foi restritiva, apenas apresentou esse trs conceitos de forma exemplificativa, a questo est correta. 5. (TRT10R - ANALISTA JUDICIRIO - 2012) 22 As caractersticas bsicas da segurana da informao confidencialidade, integridade e disponibilidade no so atributos exclusivos dos sistemas computacionais. Comentrios: Os conceitos de confidencialidade, integridade e disponibilidade aplica-se a documentos no digitais, instalaes fsicas, bem como outros ativos da informao. Questo correto. 6. (TRT8R - ANALISTA JUDICIRIO - TECNOLOGIA DA INFORMAO - 2013) 37 Considere que, em uma organizao, uma planilha armazenada em um computador (o servidor de arquivos) tenha sido acessada indevidamente por usurios que visualizaram as informaes contidas na planilha, mas no as modificaram. O princpio da segurana da informao comprometido com esse incidente foi (A) a disponibilidade (B) a autenticidade Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 13 de 21 (C) o no repdio (D) a confidencialidade (E) a integridade Comentrios: O acesso por pessoas no autorizadas constitui uma forma de violao da Confidencialidade. Sem modificao, no h comprometimento de autenticidade, no repdio ou de integridade, e como a questo no fala que os usurios legtimos perderam seu acesso, tambm no h que se falar e perda de disponibilidade. Item D. 7. (TJ-AJ - TCNICO EM MICROINFORMTICA - 2012) 94 Para garantir a confidencialidade de informaes crticas de uma empresa, devem ser estabelecidos procedimentos no s para a guarda e disponibilizao dessas informaes, mas tambm para o seu descarte. Comentrios: Perfeito. Durante o descarte, muitas informaes podem ser acessadas por pessoas no autorizadas. Se papis ou at mesmo disco rgidos e pendrives com informaes classificadas forem jogados fora sem serem triturados ou incinerados, podem posteriormente serem acessados por que no possui o direito, violando a confidencialidade da informao. Questo correta. 8. (TRE-RJ - ANALISTA JUDICIRIO - ANLISE DE SISTEMAS - 2012) 104 O termo de confidencialidade, de acordo com norma NBR ISO/IEC, representa a propriedade de salvaguarda da exatido e completude de ativos. Comentrios: Aqui temos um exemplo claro da troca de conceitos que o CESPE tanto faz. O termo citado na questo o de confidencialidade, mas a definio do conceito de integridade. Item errado. 9. (MEC - GERENTE DE SUPORTE - 2011) 130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado. Comentrios: O examinador apenas escreveu o conceito de confidencialidade com outras palavras. Questo Correta. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 14 de 21 10. (PC-ES - PERITO CRIMINAL - 2010) 38 A confidencialidade, um dos princpios bsicos da segurana da informao em ambiente eletrnico, est relacionada necessidade de no alterao do contedo de uma mensagem ou arquivo; o qual deve ser garantido por meio de uma poltica de cpia de segurana e redundncia de dados. Comentrios: Caso tipo de mistura de conceitos. Quem cuida da alterao ou no do contedo de uma mensagem a integridade. Questo errada. 11. (TELEBRAS - ANALISTA DE TI - 2013) 107 A integridade lida com a proteo de informaes sensveis a revelaes no autorizadas. Comentrios: Novamente uma inverso de conceitos. O conceito que lida com a proteo de informaes sensveis a revelaes no autorizadas o de confidencialidade, e no o de integridade. Questo errada. 12. (TCE-RO - ANALISTA DE INFORMTICA - 2013) 54 Considere que um arquivo que esteja sendo transferido entre dois usurios tenha sido interceptado e seu contedo tenha sido visualizado e encaminhado a outros usurios. Nessa situao, caracterizou-se a ocorrncia do comprometimento da integridade do arquivo. Comentrios: No se falou em momento algum de modificao. Aqui fica claro que foram violados os conceitos de confidencialidade e possivelmente o de autenticidade, mas no de integridade. Questo errada. 13. (MC - TCNICOS DE NVEL SUPERIOR - 2013) O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias da empresa em que trabalha. O acesso ao notebook feito mediante login protegido por senha, mas no h cifrao de volume para o armazenamento no voltil. Segundo relato do analista, o computador continha cpias de documentos relevantes referentes aos projetos por ele desenvolvidos na empresa, alm de seus dados pessoais. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 15 de 21 Com referncia situao hipottica descrita no texto, julgue os itens a seguir. 64 As consequncias do episdio em questo afetam a confiabilidade e a integridade das informaes relevantes contidas no notebook. Comentrios: De acordo com o descrito pela questo, apenas o conceito de confidencialidade foi afetado, uma vez que os dados contidos no notebook eram cpias de documentos da empresa, e portanto, ainda esto disponveis sem qualquer tipo de alterao. Questo errada. 14. (TCE-RO - ANALISTA DE INFORMTICA - 2013) 55 Se um stio da web sofrer comprometimento devido a problemas de hardware no servidor, impossibilitando a visualizao do contedo pelos usurios, esse fato poder ser considerado como comprometimento da disponibilidade do servio. Comentrios: Exemplo perfeito do comprometimento da disponibilidade. Observemos que no houve acesso indevido e nem alteraes que representassem violaes na confidencialidade ou na integridade. Questo correta. 15. (MC - TCNICOS DE NVEL SUPERIOR - 2013) O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias da empresa em que trabalha. O acesso ao notebook feito mediante login protegido por senha, mas no h cifrao de volume para o armazenamento no voltil. Segundo relato do analista, o computador continha cpias de documentos relevantes referentes aos projetos por ele desenvolvidos na empresa, alm de seus dados pessoais. Com referncia situao hipottica descrita no texto, julgue os itens a seguir. 65 Uma vez que as informaes relevantes no notebook esto armazenadas em outro local, correto afirmar que os impactos sobre a disponibilidade dessas informaes sero mnimos. Comentrios: Questo tranquila. De fato h um impacto mnimo, pois as informaes no estaro mais acessveis ao analista atravs de seu notebook, mas podem ser acessadas por ele e qualquer outra pessoa na empresa. Item correto. Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 16 de 21 16. (TRE-RJ - TCNICO JUDICIRIO - OPERAO DE COMPUTADOR - 2012) 119 Considere que um usurio armazenou um arquivo nesse servidor e, aps dois dias, verificou que o arquivo est modificado, de forma indevida, uma vez que somente ele tinha privilgios de gravao na rea em que armazenou esse arquivo. Nessa situao, houve problema de segurana da informao relacionado disponibilidade do arquivo. Comentrios: Como houve alterao, o princpio ferido foi o de integridade, e no o de disponibilidade. Questo errada. 17. (TJDFT - TCNICO JUDICIRIO - 2013) 36 Autenticidade um critrio de segurana para a garantia do reconhecimento da identidade do usurio que envia e recebe uma informao por meio de recursos computacionais. Comentrios: Autenticidade refere-se a veracidade no contedo, e isso inclui a prpria mensagem e quem a assinou (identidade de quem envia). Contudo, no h de se falar em identidade de quem recebe. Quem garante informaes sobre o recebimento ou no o conceito de no repdio ou irretratabilidade. Essa questo foi dada inicialmente como certa, mas o CESPE alterou o gabarito devido justamente ao recebe. Questo errada.
Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 17 de 21 5. Lista das Questes Utilizadas na Aula. 1. (BASA TCNICO CIENTFICO SEGURANA DA INFORMAO 2012) 54 Ativo, em segurana da informao, refere-se aos itens financeiros que precisam ser protegidos, pois representam valor para a organizao e devem ser preservados. 2. (MEC GERENTE DE SUPORTE 2011) 130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado. 3. (TCE-RO - AUDITOR DE CONTROLE EXTERNO - CINCIAS DA COMPUTAO - 2013) 113 As aes referentes segurana da informao devem focar estritamente a manuteno da confidencialidade e a integridade e disponibilidade da informao. 4. (SAEBSEI - ESPECIALISTA EM PRODUO DE INFORMAES - 2012) 98 Um evento de segurana da informao pode ser definido como uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao na preservao da confidencialidade, integridade ou na disponibilidade da informao. 5. (TRT10R - ANALISTA JUDICIRIO - 2012) 22 As caractersticas bsicas da segurana da informao confidencialidade, integridade e disponibilidade no so atributos exclusivos dos sistemas computacionais. 6. (TRT8R - ANALISTA JUDICIRIO - TECNOLOGIA DA INFORMAO - 2013) 37 Considere que, em uma organizao, uma planilha armazenada em um computador (o servidor de arquivos) tenha sido acessada indevidamente por usurios que visualizaram as informaes contidas na planilha, mas no as modificaram. O princpio da segurana da informao comprometido com esse incidente foi (A) a disponibilidade (B) a autenticidade (C) o no repdio (D) a confidencialidade Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 18 de 21 (E) a integridade 7. (TJ-AJ - TCNICO EM MICROINFORMTICA - 2012) 94 Para garantir a confidencialidade de informaes crticas de uma empresa, devem ser estabelecidos procedimentos no s para a guarda e disponibilizao dessas informaes, mas tambm para o seu descarte. 8. (TRE-RJ - ANALISTA JUDICIRIO - ANLISE DE SISTEMAS - 2012) 104 O termo de confidencialidade, de acordo com norma NBR ISO/IEC, representa a propriedade de salvaguarda da exatido e completude de ativos. 9. (MEC - GERENTE DE SUPORTE - 2011) 130 Confidencialidade requer que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado e credenciado. 10. (PC-ES - PERITO CRIMINAL - 2010) 38 A confidencialidade, um dos princpios bsicos da segurana da informao em ambiente eletrnico, est relacionada necessidade de no alterao do contedo de uma mensagem ou arquivo; o qual deve ser garantido por meio de uma poltica de cpia de segurana e redundncia de dados. 11. (TELEBRAS - ANALISTA DE TI - 2013) 107 A integridade lida com a proteo de informaes sensveis a revelaes no autorizadas. 12. (TCE-RO - ANALISTA DE INFORMTICA - 2013) 54 Considere que um arquivo que esteja sendo transferido entre dois usurios tenha sido interceptado e seu contedo tenha sido visualizado e encaminhado a outros usurios. Nessa situao, caracterizou-se a ocorrncia do comprometimento da integridade do arquivo. 13. (MC - TCNICOS DE NVEL SUPERIOR - 2013) O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 19 de 21 da empresa em que trabalha. O acesso ao notebook feito mediante login protegido por senha, mas no h cifrao de volume para o armazenamento no voltil. Segundo relato do analista, o computador continha cpias de documentos relevantes referentes aos projetos por ele desenvolvidos na empresa, alm de seus dados pessoais. Com referncia situao hipottica descrita no texto, julgue os itens a seguir. 64 As consequncias do episdio em questo afetam a confiabilidade e a integridade das informaes relevantes contidas no notebook. 14. (TCE-RO - ANALISTA DE INFORMTICA - 2013) 55 Se um stio da web sofrer comprometimento devido a problemas de hardware no servidor, impossibilitando a visualizao do contedo pelos usurios, esse fato poder ser considerado como comprometimento da disponibilidade do servio. 15. (MC - TCNICOS DE NVEL SUPERIOR - 2013) O notebook de um analista de tecnologia da informao (TI) foi furtado nas dependncias da empresa em que trabalha. O acesso ao notebook feito mediante login protegido por senha, mas no h cifrao de volume para o armazenamento no voltil. Segundo relato do analista, o computador continha cpias de documentos relevantes referentes aos projetos por ele desenvolvidos na empresa, alm de seus dados pessoais. Com referncia situao hipottica descrita no texto, julgue os itens a seguir. 65 Uma vez que as informaes relevantes no notebook esto armazenadas em outro local, correto afirmar que os impactos sobre a disponibilidade dessas informaes sero mnimos. 16. (TRE-RJ - TCNICO JUDICIRIO - OPERAO DE COMPUTADOR - 2012) 119 Considere que um usurio armazenou um arquivo nesse servidor e, aps dois dias, verificou que o arquivo est modificado, de forma indevida, uma vez que somente ele tinha privilgios de gravao na rea em que armazenou esse arquivo. Nessa situao, houve problema de segurana da informao relacionado disponibilidade do arquivo. 17. (TJDFT - TCNICO JUDICIRIO - 2013) Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 20 de 21 36 Autenticidade um critrio de segurana para a garantia do reconhecimento da identidade do usurio que envia e recebe uma informao por meio de recursos computacionais.
Segurana da Informao Aula 00 TJCE Analista Teoria e Exerccios Diego Ajukas
www.tiparaconcursos.net Pgina 21 de 21 6. Gabarito. 1. E 2. C 3. E 4. C 5. C 6. D 7. C 8. E 9. C 10. E 11. E 12. E 13. E 14. C 15. C 16. E 17. E