AULAS

Curso de Informática/TI para Área Fiscal – 2019
Teoria e Questões
Prof. João Sampaio – Aula 00
AULA 00 – AULA DEMONSTRATIVA
SUMÁRIO
AULA 00 – Aula Demonstrativa 1
SEGURANÇA DA INFORMAÇÃO: CONCEITOS BÁSICOS 6
1. O que é Informação 6
2. Segurança da Informação 7
2.1 Princípios/Propriedades principais 8
2.2 Propriedades adicionais 12
3. Conceitos básicos 20
3.1 Ativo/Ativo de informação 20
3.2 Vulnerabilidade, ameaça, risco, agente, ataque, incidente e impacto 22
3.3 Glossário 28
Questões propostas 34
Seja bem-vindo ao curso de Tecnologia da Informação para Concursos

da Área Fiscal. Este curso é apropriado para aqueles que têm em vista
a preparação na disciplina de Informática/Tecnologia da Informação
(TI) com base nos editais mais recentes da área fiscal.
Apesar de pautar-se, majoritariamente, na crescente lista de

concursos para cargos de Auditor nas esferas estadual e municipal, a
previsão de inclusão deste currículo nos editais da RFB e MTE dá ao
curso uma dimensão ainda maior.
Em vista do crescente aprofundamento dos temas de Informática nos

concursos mais recentes, a exemplo do certame da SEFAZ/SC 2018,
no qual a FCC cobrou conhecimentos técnicos compatíveis com
vivência real das atribuições de um profissional de Tecnologia da
Informação, faz-se necessário fugir da abordagem rasa e mergulhar
nesta gama de conhecimentos antes, para muitos, inexplorada.
PORTAL SILVIO SANDE www.silviosande.com.br Página 1 de 40

Teoria e Questões
Com base em diversos editais da área fiscal, cobrindo as principais

bancas examinadoras, trabalharemos os seguintes grandes grupos:
 Gestão de TI (Gerenciamento de Projetos, Serviços,
Segurança da Informação);
 Business Intelligence (Datawarehousing, BI, Data
mining);
 Bancos de Dados e introdução ao SQL;
 SPED – Sistema Público de Escrituração Digital (NF-e,
EFD ICMS/IPI)*
 Conceitos Básicos em Informática (Infraestrutura,
Hardware e Software)*
 Linguagem SQL*
Note-se que os três últimos grupos, marcados com *, não fazem

parte do edital mais recente da área fiscal, qual seja o do cargo de
Auditor Fiscal da Receita Estadual – Classe A da SEFAZ/RS de 2018,
sob responsabilidade da CESPE/Cebraspe. Assim sendo, de modo a
garantir a integralização do conteúdo programático deste certame
antes da aplicação das provas, prevista para os dias 2 e 3 de fevereiro
de 2019, os temas de SPED (NF-e e EFD ICMS/IPI), conceitos básicos
em informática (Infraestrutura, Hardware e Software) e
aprofundamento em linguagem SQL serão cobertos nas aulas
posteriores.
O fato de você, candidato, ter buscado este curso revela seu interesse
e comprometimento na trilha que leva à carreira de Auditor Fiscal.
Antes com caráter menos expressivo nas provas, a disciplina de
Informática/TI vem ganhando destaque com o significativo aumento
do rol de habilidades requeridas para o bom desempenho do cargo de
Auditor.
Em um passado remoto, o Auditor contava com pouco auxílio de

ferramentas computacionais na execução de suas atividades. A
vertiginosa evolução das técnicas de tratamento de dados, aliada ao
aumento da capacidade de armazenamento e processamento, foi
responsável pela valorização das habilidades em Informática no
âmbito das auditorias.
Como consequência, a cobrança de conteúdos profundos nas provas,

que atestem a habilidade dos candidatos, vem sendo, cada vez mais,
exigida das bancas avaliadoras.
Neste curso, pretendo trazer você, candidato, ao mundo da

Tecnologia da Informação. Para tal, foram analisados os principais
editais e suas provas, identificando-se os assuntos mais cobrados, os
conceitos basilares que devem estar “na ponta da língua” e os graus

Teoria e Questões
de dificuldade de cada assunto do ponto de vista do usuário leigo de

informática.
Fugindo do aspecto “exclusivamente decorar, decorar, decorar” que

muitos associam às disciplinas que não se relacionam com os
conhecimentos específicos de Direito, Contabilidade e Auditoria, o
curso se propõe a fixar conhecimentos e permitir a construção dos
conceitos e relações entre os diferentes assuntos.
Concluo esta (não tão) breve introdução com uma frase de Alan
Turing, por muitos considerado o pai da computação:
We can only see a short distance ahead,

but we can see plenty there that needs to
be done.
(Podemos apenas enxergar a uma curta distância, mas podemos ver

que há muito a se fazer)
Apresentação do professor
Sou Engenheiro Eletricista, graduado pelo Universidade Federal da

Bahia e mestrando em Matemática pela UFBA, no Programa de
Mestrado Profissional em Matemática em Rede Nacional da Sociedade
Brasileira de Matemática (SBM). Sou Técnico Judiciário na
especialidade de Tecnologia de Informação do Poder Judiciário da
União, em exercício no Tribunal Regional do Trabalho da 5ª Região
desde o ano de 2016, lotado na Coordenadoria de Desenvolvimento e
Manutenção de Sistemas.
Possuo experiência nas áreas de Gerenciamento de Projetos de
Engenharia, Business Intelligence (BI) e Tecnologia da Informação
(TI), tendo atuado em multinacionais de grande porte antes de
ingressar no serviço público federal. Iniciei minha vida profissional
como Professor de Língua Inglesa em uma escola particular
especializada.
No ano de 2018, fui contemplado com a certificação Oracle Certified
Java Programmer (OCJP), que atesta os conhecimentos em
programação na linguagem Java.

Teoria e Questões
Informações sobre o curso
1. Conteúdo e cronograma das aulas
Nosso curso será ministrado ao longo de 10 aulas, incluindo esta aula

demonstrativa, de acordo com o cronograma abaixo, e compreende o
conteúdo de Informática/TI dos últimos editais:
AULA 00 Segurança da Informação: Conceitos básicos.
AULA 01 Segurança da Informação: Criptografia, Assinatura Digital,

Autenticação e Certificação Digital. Auditoria, Vulnerabilidade e
26/12/2018 Conformidade. Plano de Continuidade do Negócio (BCP).
AULA 02 Gerenciamento de Projetos: Conceitos e Processos do PMBOK.
02/01/2019
AULA 03 Gestão de Processos de Negócio: Modelagem de processos.

Técnicas de análise e modelagem de processos. BPM – Business
11/01/2019 Process Modeling.
AULA 04 Gestão de Serviços de TI: Fundamentos da ITIL®v3.
Fundamentos de COBIT (v5).
16/01/2019
AULA 05 Bancos de Dados: conceitos. Modelagem de dados relacional.
23/01/2019 Modelagem de dados multidimensional.
AULA 06 Business Intelligence: Conceitos e estratégias de implantação de

30/01/2019 Data Warehouse, OLAP, Data Mining, ETL e BI.
AULA 07 Linguagem SQL: Consulta, cláusula WHERE, Operadores

Condicionais: Lógicos, LIKE e NOT LIKE, IN e NOT IN. Ordenação;
13/02/2019 Agrupamento; Junções (JOINs)
AULA 08 Conceitos básicos de informática (Infraestrutura, Hardware e
Software): Conceitos básicos de componentes funcionais de
22/02/2019 computadores, utilização das planilhas eletrônicas Microsoft
Excel e LibreOffice Calc.
AULA 09 SPED – Sistema Público de Escrituração Digital (NF-e, EFD
01/03/2019 ICMS/IPI)

Teoria e Questões
2. Metodologia utilizada
O curso seguirá o último programa da disciplina (editais da SEFAZ/RS

e SEFAZ/SC) e abarcará, ainda, itens complementares que podem ser
encontrados em outros editais voltados para a área fiscal (e.g.:
SEFAZ/PI de 2014).
A construção e a fixação dos conhecimentos dar-se-ão por meio de
apresentação da teoria com questões comentadas intercaladas. Ao
longo do curso, o candidato será orientado a fazer anotações,
culminando em um compilado de notas estruturadas (“caderno”), útil
para o acompanhamento da sequencia curricular, bem como para
uma revisão individual quando próxima a aplicação de uma prova. Ao
longo do curso serão disponibilizadas mais de 300 questões,
permitindo ao aluno desenvolver um conhecimento completo da
disciplina.
As questões serão dispostas em 2 formas:
1. Em meio à teoria, consolidando o contexto dos assuntos;

2. Em bloco de Questões Propostas, ao final de cada aula.
3. Suporte
Ao se inscrever no curso, o aluno poderá optar, ainda, pela aquisição

do fórum de dúvidas. Caso o faça, disporá de um ambiente online,
fórum, para solucionar suas dúvidas. Encontro-me sempre à
disposição através do fórum para responder seus questionamentos e
esclarecer suas dúvidas em cada aula. É importante que o aluno traga
suas dúvidas ao fórum, de modo a sanar quaisquer pendências e
garantir máximo desempenho na prestação das provas.

Teoria e Questões
SEGURANÇA DA INFORMAÇÃO
1. O que é Informação
Uma breve pesquisa na biblioteca de qualquer universidade pode

resultar 1.578.972 definições para “informação”. De fato: a
banalização do uso deste termo é tão grande que torna-se difícil
encontrar uma “definição definitiva”. (espero que ninguém sofra de
alergia a pleonasmos...)
No mundo dos concurseiros, no entanto, busque-se o conceito de
informação na “mais incontestável das fontes do direito”: a lei. Para o
nosso caso concreto, a Lei 12.527/2011 - Lei de Acesso à Informação
- cumpre a tarefa em seu Art. 4º, inc. I:
Art. 4o Para os efeitos desta Lei, considera-se:
I - informação: dados, processados ou não, que podem
ser utilizados para produção e transmissão de
conhecimento, contidos em qualquer meio, suporte ou
formato;
Nesta definição, ao mencionar “...dados, processados ou não,...”, o
legislador enfrenta, logo de início, a clássica diferenciação entre
“dado” e “informação”. Apesar de não fazer parte do escopo da
grande maioria dos editais, esta diferença é importante para a
construção destes dois conceitos por você, candidato.
Como exemplo, imagine a seguinte situação: em uma repartição
pública, um servidor encontra uma folha de papel impressa na qual
constam o número de CPF, matrícula, nome e quantidade de
dependentes de um colega. Caso fosse necessário classificar o
conteúdo desta impressão, você a consideraria como contendo
“dados” ou “informação”?
Neste caso – não longe da realidade de uma repartição pública –
podemos observar que estes dados cadastrais figuram na categoria
de dados, tendo em vista que, omissa a descrição do caso, da mera
sapiência deste conteúdo não espera-se produzir ou transmitir
qualquer conhecimento.
Agora, acrescente-se o fato de que estes dados (em especial o CPF e
a quantidade de dependentes) podem ser utilizados para produzir
conhecimento – é possível identificar, por exemplo, irregularidades na
isenção de IR por divergências na quantidade de dependentes. Sob
esta ótica, portanto, os dados passam a adquirir a qualidade de
informação.

Teoria e Questões
A Ciência de Dados é o campo de estudo responsável pelas técnicas

de transformar (processar) dados em informação. Note-se que a Lei
de Acesso à Informação, neste ponto, mostra-se conservadora ao
tratar como informação também os dados não-processados,
ampliando o alcance de sua eficácia para quaisquer dados que possam
levar a algum conhecimento.
A informação desempenha um papel fundamental no ambiente de
processos de negócios servindo como entrada para tomadas de
decisão. A infinita disponibilidade de dados e informação extraídos da
execução das atividades de uma empresa, ou através dos meios de
comunicação modernos, faz necessária uma série de procedimentos
para garantir que esta informação seja empregada corretamente. Ao
conjunto destas práticas, dá-se o nome de Segurança da Informação.
2. Segurança da Informação
A Segurança da Informação é o campo responsável pela preservação

da confidencialidade, integridade e disponibilidade da
informação. A ABNT NBR:ISO/IEC 27001:2006, em seu item 3.4,
define Segurança da Informação como:
3.4 segurança da informação
Preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade,
não repúdio e confiabilidade, podem também estar
envolvidas
Com base nestes princípios, a Segurança da Informação tem por
objetivo cuidar dos ativos de informação em uma organização. Este
conceito será detalhado na seção seguinte.
Os 3 princípios em destaque, carinhosamente apelidados pela sigla
C.I.D., são tidos pela doutrina como os pilares da Segurança da
Informação, e figuram em inúmeras questões de prova. Contudo, a
norma contempla outras propriedades (autenticidade,
responsabilidade, não repúdio e confiabilidade). Vejamos todas elas!
CESPE – MEC/2015
A segurança da informação refere-se ao processo de proteger a
informação das ameaças a fim de garantir sua integridade,
disponibilidade e confidencialidade.
Resposta: O item está CERTO, trata-se exatamente da definição de
segurança da informação, trazendo os 3 princípios citados.
Gabarito: CERTO
Teoria e Questões
2.1. Princípios/Propriedades principais
2.1.1. Confidencialidade:
A preservação da confidencialidade de uma informação consiste em
permitir o acesso à informação por indivíduos autorizados e manter
em sigilo para os não autorizados, prevenindo roubo/vazamento de
informação.
Mas... quem pode ver o quê? Esta é a “pergunta do milhão” em
confidencialidade. Há duas ferramentas em segurança da informação
que visam garantir a confidencialidade em um sistema. A primeira é a
classificação da informação, que consiste em definir quais informações
são confidenciais, secretas, abertas etc (veremos os níveis de
classificação mais adiante). A segunda ferramenta é o controle de
acesso, responsável por definir quem pode ver as informações
Exemplo: um funcionário do RH, geralmente, possui acesso a
informações pessoais de outros funcionários. O controle de acesso
precisa ser revisado frequentemente pois, o funcionário do RH pode
se mudar para outro setor, sendo necessário remover o acesso às
informações que não são necessárias para o desempenho da nova
função.
Informações referentes a licenças médicas em

sistemas administrativos são, geralmente,
confidenciais. Para garantir a confidencialidade
dessas informações, um sistema seguro deve ser
capaz de identificar o usuário e verificar se este é
legitimado ou não a acessá-las.
A confidencialidade, em muitos casos, se estende

também ao conhecimento da existência da
informação. No exemplo dado, imagine que
“corre pelos corredores” a “fofoca” de que alguma
colega de determinado setor voltou de uma licença
médica depois de passar por uma cirurgia estética.
Se um usuário, ainda que não possua acesso ao
CONTEÚDO de um cadastro de licença médica,
tiver conhecimento da simples EXISTÊNCIA de
um cadastro de licença médica da colega em
questão, poderá inferir que a fofoca é, de fato, a
verdade, violando a confidencialidade.
Teoria e Questões
2.1.2. Integridade:
A preservação da integridade consiste em garantir que as
informações sejam transmitidas de forma íntegra, ou seja, sem
alterações por entes não autorizados.
O exemplo clássico da necessidade de manter a

integridade da informação pode ser visto na
brincadeira de “telefone sem-fio”. O autor inicia
a transmissão com a mensagem “João comeu
macarrão”. O próximo participante repassa a
mensagem, agora com conteúdo “João comprou
macarrão”. Por fim, o penúltimo participante
passa a mensagem para o receptor, agora com
conteúdo “João comprou um carrão”. Houve
clara violação da integridade da mensagem
original do autor.
Muitas são as técnicas e ferramentas para garantia da integridade de
uma informação (Assinatura digital, hash etc), algumas delas serão
tratadas na próxima seção, de conceitos básicos. Neste momento,
podemos usar como exemplo o caso dos dígitos verificadores em
certos números de documento. Dá uma olhada nesse bizu:
Conhecemos o CPF como sendo um número de 11 dígitos (vamos usar

o exemplo 126.342.407-57). Mas... você sabia que os 9
primeiros são suficientes para identificar uma pessoa? Os dois
últimos dígitos são chamados de dígitos verificadores (DV).
Quando alguém lhe diz um CPF, para garantir que o número está
íntegro (ou seja, que nenhum dígito foi passado ou entendido
incorretamente), basta efetuar uma operação matemática sobre os
9 primeiros dígitos. O resultado deverá corresponder aos 2 últimos
dígitos (por isso são chamados de dígitos verificadores).
Curiosidade: Já que os 9 primeiros dígitos são responsáveis por
identificar uma pessoa física, o sistema adotado no Brasil permite
apenas 1 bilhão de CPFs diferentes (de 000000000 a 999999999).
Desafio para quando você não tiver nada pra fazer: Minha mãe
me falou o CPF dela pelo telefone, mas a ligação estava “cortando”.
Pelo que entendi, ou é 126.342.407-57 ou 126.642.407-57.
Identifique qual dos dois CPFs está íntegro. Dica: corra pra internet.

Teoria e Questões
CESPE – TCU/2015
Confidencialidade é a garantia de que somente pessoas autorizadas
tenham acesso à informação, ao passo que integridade é a garantia
de que os usuários autorizados tenham acesso, sempre que
necessário, à informação e aos ativos correspondentes.
Resposta: A primeira parte da afirmativa está certinha e corresponde
à definição de confidencialidade (... garantia de que somente pessoas
autorizadas tenham acesso à informação). No entanto, a segunda
parte conceitua equivocadamente a integridade. A “garantia de que os
usuários autorizados tenham acesso à informação e ativos sempre
que necessário” diz respeito, na verdade, ao nosso próximo princípio:
a disponibilidade.
Gabarito: ERRADO
2.1.3. Disponibilidade:
A preservação da disponibilidade trata de manter disponíveis as
informações e os ativos para os usuários legítimos. O aspecto da
disponibilidade de maior relevância para a segurança da informação
diz respeito à possibilidade de um indivíduo mal intencionado
deliberadamente negar acesso a um sistema.
Imagine uma situação “hipotética” em que, ao

tentar protocolar um processo em um sistema
numa repartição, o usuário recebe a mensagem na
tela: “Desculpe, o sistema está indisponível”. Ao
procurar o atendente do setor de protocolo, este
lhe apresenta a opção de preencher um formulário
em papel, com todos os dados relevantes para
que, posteriormente, o cadastro seja efetuado no
sistema. A indisponibilidade do sistema, neste
caso, promoveu uma entrada insegura (ou menos
segura) de informação, já que o atendente pode
agir de má fé e se utilizar de forma inapropriada da
informação no formulário.
Cabe aos responsáveis pela segurança da informação manter formas
de suprir os usuários legítimos com informação quando demandados.
Em muitos casos, há formas redundantes de acesso, ou seja,
quando há indisponibilidade em uma delas, a outra pode ser usada de
forma segura.
Teoria e Questões
MS CONCURSOS – CM-POA/2017
Falando sobre conceitos básicos de segurança da informação, o que é
a “disponibilidade”?
a) Propriedade que garante a informação sempre disponível
para o uso legítimo, ou seja, por aqueles usuários autorizados
pelo proprietário da informação.
b) Propriedade que garante a informação disponível proveniente
da fonte anunciada e que não foi alvo de mutações ao longo de
um processo.
c) Propriedade que garante que o sistema disponível deve seguir
as leis e regulamentos associados a este tipo de processo.
d) Propriedade que limita o acesso a informação disponível tão
somente às entidades legítimas, ou seja, àquelas autorizadas
pelo proprietário da informação.
Resposta: A alternativa A corresponde exatamente à definição que
exploramos nesta seção.
Gabarito: A

Teoria e Questões
2.2. Propriedades Adicionais
2.2.1. Autenticidade:
Autenticidade é a capacidade de garantir que determinada ação ou
informação foi realizada/desenvolvida por seu autor. Este conceito
pode ser visto, principalmente, nas situações de autenticação de um
usuário (fornecer login e senha para comprovar que “você é você
mesmo” ao entrar em um sistema).
A comprovação pode se dar por várias formas
– desde a utilização de senhas pessoais até
formas de biometria, como impressões
digitais, por exemplo. O quadro a seguir
classifica e detalha as formas de garantir a
identidade de um agente.
Teste dos Conhecimentos:
Identificação:
Físicas:
Teste de Dispositivos de
Teste de Características
• Senha pessoal • Tokens • Impressão
• Confirmação de • Certificados digital
dados cadastrais Digitais • Retina
• Pergunta de • RFID • Reconhecimento
segurança facial
(geralmente são • Reconhecimento
utilizadas para de voz
recuperar senhas
esquecidas)
Trataremos detalhadamente destes métodos na próxima seção, em

que iremos aprofundar os conceitos básicos de segurança da
informação.

Teoria e Questões
2.2.2. Responsabilidade:
A propriedade da responsabilidade tem por objetivo obrigar o
usuário a se responsabilizar por ações que interfiram na segurança da
informação como, por exemplo, vazamento e perda de informações,
podendo prever, inclusive, responsabilização legal.
Em ambientes corporativos, é comum que os

usuários de sistemas de informação assinem
(muitas vezes por meio de formulários
eletrônicos) termos de responsabilidade pela
manutenção das práticas de segurança de
informação da companhia.
A Secretaria da Receita Federal do Brasil edita um

documento intitulado “Manual do Sigilo Fiscal”, no
qual orienta os servidores a respeito das
responsabilidades quanto à manutenção do sigilo,
dado o conhecimento de informações fiscais
necessário ao desempenho de suas atribuições. O
manual elenca, ainda, os dispositivos legais que
envolvem a matéria, bem como as punições
cabíveis em caso de descumprimento das normas.
Trata-se de medida para assegurar a
responsabilidade na segurança das informações
fiscais.
Quando bem projetado, um sistema de informação possibilita a
execução de auditorias (amam esta palavrinha, certo?). A auditoria
em sistemas de informação permite identificar situações em que
exista violação da segurança, em quaisquer das suas propriedades.
Trata-se de uma ferramenta para garantir a responsabilização pelo
mau uso das informações ou dos processos das quais fazem parte,
por meio da avaliação da segurança e busca de ocorrências.

Teoria e Questões
2.2.3. Não repúdio:

Também conhecido por irretratabilidade, é a propriedade que
garante a impossibilidade de um usuário, emissor de mensagem ou
autor de informação negar, posteriormente, sua autoria.
Segundo a característica de “não repúdio”,

sistemas de informação devem prevenir que
usuários possam negar a autoria de informações.
Um exemplo da utilização desta propriedade é a
utilização de assinaturas digitais em contratos
eletrônicos e outros documentos de relevância
legal. Assim como em uma assinatura física, a
obrigatoriedade de uma assinatura digital tem por
objetivo garantir que as partes que celebram um
acordo não possam negar sua validade.
2.2.4. Confiabilidade:
A confiabilidade é um conceito menos específico, que pode englobar
as características de integridade.
Menos cobrada em questões, por haver certa omissão da doutrina
em tentar determinar um sentido estrito, a confiabilidade pode ser
entendida como a propriedade de uma informação ser íntegra e útil
ao longo do tempo, não dando margem para que defeitos em
seu manuseio e manutenção a tornem inválida.
O termo confiabilidade tem emprego original na

Engenharia, definido como a probabilidade de
determinado sistema operar sem falhas. No caso
da segurança da informação, o conceito se
aproxima da integridade (propriedade de uma
informação de manter seu conteúdo sem
alterações indesejadas), mas sob a ótica de
possíveis falhas sistêmicas que possam
comprometer esta integridade.

Teoria e Questões
2.2.5. Legalidade:
A legalidade é a propriedade da segurança da informação que
garante que a informação produzida respeita os padrões
legais, ou seja, que a informação tenha valor legal.
Apesar de não estar listada pela NBR que define a segurança da
informação, esta propriedade merece atenção dada a sua ocorrência
em questões de diversas provas.
É possível relacionar a legalidade, ainda, ao respeito, no processo de
produção e compartilhamento de informações, às cláusulas de um
contrato vigente, ou de legislação internacional que imponha
requerimentos à produção de informação.
Em determinada repartição pública, foi criado um

sistema de consulta automática não consensual de
dados de redes sociais dos servidores. O sistema,
no entanto, não permite a emissão de relatórios,
dificultando o acesso à informação, até mesmo
quando a informações do solicitante. Neste caso,
há violação da legalidade na produção destas
informações, tendo em vista que não há previsão
legal para sua obtenção, bem como na
impossibilidade de fornecer as informações a um
particular solicitante (violando o art. 5º, inc XXXII
da CF/88).
Uma segunda situação diz respeito ao uso de
software sem licença (e.g. aplicações de planilhas
piratas) para gerar informação (vide art. 9º da Lei
9.609/98).

Teoria e Questões
Segurança da Informação
 Princípios(CID):
o Confidencialidade
 Pessoa não autorizada => Sigilo
 Pessoa autorizada => Permissão
 Em alguns casos, considerar não apenas o conteúdo da
informação como confidencial, mas também a existência
 Ferramentas: controle de acesso a informações,
classificação das informações
o Integridade
 A informação não deve sofrer alterações indesejadas
 Ferramentas: dígito verificador
o Disponibilidade
 Manter a informação sempre disponível para as entidades
autorizadas
 Ferramentas: redundância de sistemas
 Outras propriedades:
o Autenticidade
 Garantir a identidade de um usuário, ou de um autor de
uma mensagem, ou de quem executa uma ação, etc
 Ferramentas: tokens, senha pessoal, biometria
o Responsabilidade
 Garantir a responsabilização (até mesmo legal) por ações
que interfiram na segurança da informação
 Ferramentas: termo de responsabilidade, manual
. de utilização, código de conduta
o Não repúdio
 Não permitir que o autor de uma informação negue a
autoria
 Ferramentas: assinatura digital
o Legalidade
 Garantir o valor legal da informação produzida e/ou dos
processos que a envolvem.
 Ferramentas: contratos, legislação vigente
Vejamos agora uma seleção de questões associadas aos conceitos que

já vimos até o momento.

Teoria e Questões
FCC – TRE-RR/2015
O processo de proteção da informação das ameaças caracteriza-se
como Segurança da Informação. O resultado de uma gestão de
segurança da informação adequada deve oferecer suporte a cinco
aspectos principais:
I – Somente as pessoas autorizadas terão acesso às
informações.
II – As informações serão confiáveis e exatas. Pessoas não
autorizadas não podem alterar os dados.
III – Garante o acesso às informações, sempre que for
necessário, por pessoas autorizadas.
IV – Garante que em um processo de comunicação os
remetentes não se passem por terceiros e nem que a
mensagem sofra alterações durante o envio.
V – Garante que as informações foram produzidas respeitando a
legislação vigente.
Os aspectos elencados de I a V correspondem, correta e
respectivamente, a:
A autenticidade, integridade, disponibilidade, legalidade e
confidencialidade
B autenticidade, confidencialidade, integridade, disponibilidade e
legalidade
C integridade, disponibilidade, confidencialidade, autenticidade e
legalidade
D disponibilidade, confidencialidade, integridade, legalidade e
autenticidade
E confidencialidade, integridade, disponibilidade, autenticidade e
legalidade
Resposta: O aspecto I diz respeito à confidencialidade (apenas
pessoas autorizadas podem ver as informações). O aspecto II fala
da exatidão da informação e destaca a impossibilidade de alterações
por pessoas não autorizadas, correspondendo, portanto à
integridade. O aspecto III fala de garantir o acesso sempre que
necessário, ou seja, “o sistema deve estar disponível”. Portanto, o
aspecto III é a disponibilidade. O aspecto IV fala da
autenticidade (ou seja, garantir a identidade dos
autores/emissores/remetentes).O aspecto V refere-se a uma
característica não listada pela NBR, no entanto é fácil identificar, por
sua descrição, que trata-se da legalidade.
Gabarito: E
Teoria e Questões
CESPE - SEFAZ/RS/2018
A respeito de segurança da informação, julgue os itens a seguir:
I Autenticidade se refere às ações tomadas para assegurar
que informações confidenciais e críticas não sejam roubadas do
sistema. Conforme vimos, esta definição diz respeito não à
autenticidade, mas à CONFIDENCIALIDADE. Portanto, item
ERRADO.
II A gestão de segurança da informação deve garantir a
disponibilidade da informação. A DISPONIBILIDADE é um dos
pilares da Segurança da Informação. Item CERTO.
III A confidencialidade garante a identidade de quem envia a
informação. A identidade de quem envia ou do autor é garantida
pela AUTENTICIDADE. Item ERRADO.
IV De acordo com o conceito de integridade, os dados devem
ser mantidos intactos, sem alteração, conforme foram criados e
fornecidos. Perfeita descrição da INTEGRIDADE, em que os dados
devem ser mantidos ÍNTEGROS (ou seja, intactos, inalterados,
conforme criados e fornecidos). Item CERTO.
Estão certos apenas os itens
A I e II.
B I e III.
C II e IV.
D I, III e IV.
E II, III e IV.
Gabarito: C

Teoria e Questões
ESAF - SEFAZ/CE/2007
Nos sistemas de Segurança da Informação, existe um método que
________. Este método visa garantir a integridade da informação.
Escolha a opção que preenche corretamente a lacuna acima.
A valida a autoria da mensagem
B verifica se uma mensagem em trânsito foi alterada
C verifica se uma mensagem em trânsito foi lida por pessoas não
autorizadas
D cria um backup diferencial da mensagem a ser transmitida
E passa um antivírus na mensagem a ser transmitida
Resposta: A questão busca um método cuja finalidade é garantir a
integridade. A alternativa A trata da autoria da mensagem, ou
seja, relaciona-se com a propriedade da autenticidade. A
alternativa C se relaciona com a confidencialidade (e, ainda assim,
trata de forma equivocada este princípio – afinal, se o sistema
consegue identificar se uma mensagem foi lida por pessoa não
autorizada, não deveria ter permitido esta leitura). A alternativa D
trata do backup, técnica que definiremos ainda nesta aula de
conceitos básicos, mas que não necessariamente faz parte do escopo
das propriedades básicas. A alternativa E menciona o antivírus,
ferramenta (software) que verifica a existência de códigos maliciosos
em arquivos, conceito que não se relaciona diretamente com a
integridade da informação (veremos mais sobre antivírus na seção a
seguir). A alternativa B, por sua vez, corresponde ao objetivo da
integridade, qual seja a garantia de que a informação circule sem
sofrer alterações indesejadas.
Gabarito: B

Teoria e Questões
3. Conceitos Básicos
3.1. Ativo/Ativo de informação

No âmbito da segurança da informação, ativos (ou ativos de
informação) são:
 os meios de armazenamento, transmissão e processamento da
informação;
 os equipamentos necessários ao desempenho destas funções;
 os sistemas utilizados;
 os locais onde estas funções são desempenhadas;
 as pessoas que possuem acesso a estes meios;
 a própria informação!!!
Ou seja, um ativo de informação é qualquer coisa que tenha valor
para a organização.
A atuação da segurança da informação, pautada nos princípios que
vimos no início desta aula, consiste em cuidar destes ativos. Na
próxima página, vejam exemplos de cada um dos tipos de ativos e
iniciativas de segurança da informação que podem ser tomadas.
CESPE – PC-PE/2016
Considerando-se que uma política de segurança da informação deva
proteger os ativos de uma organização, assinale a opção que
apresenta corretamente a definição do termo ativo para uma política
de segurança da informação.
a) Política que define o bem a ser protegido na organização.
b) Bem, material ou imaterial, que tem valor para a organização.
c) Norma material que protege o conteúdo da informação.
d) Procedimento operacional que tem critério de valor para a
organização.
e) Bem imaterial que tem valor simbólico e abstrato na
organização.
Resposta: A opção B corresponde à definição que vimos acima, de
que os ativos são as coisas (bens) que têm valor para a organização
(alguns deles são materiais como, por exemplo, os equipamentos e
softwares, enquanto outros são imateriais – e.g.: pessoas)
Gabarito: B

Teoria e Questões
Meios de Armazenamento, Transmissão e Processamento Equipamentos

da Informação Exemplos
Exemplos Computadores pessoais desktop (PCs)
Armazenamento na nuvem (cloud storage) Servidores
Transmissão de dados via rádio Switches de rede
Ações de Seg. da Informação Roteadores
Monitorar a execução de contratos de fornecedores de
Ações de Seg. da Informação
serviços na nuvem
Manutenção dos equipamentos
Monitorar o serviço contratado das operadoras de
Aquisição de equipamentos de desempenho
telefonia e Internet
compatível com a tecnologia atual
Sistemas (software)
Exemplos Locais
ERP Exemplos
Bancos de dados Sala cofre
Sistemas de controle de acesso Salas de reuniões
Aplicações Ambiente de trabalho
Ações de Seg. da Informação Ações de Seg. da Informação
Manter as versões atualizadas Manter a saúde estrutural dos locais
Desenvolver soluções em software que se Utilizar layouts de salas adequados aos riscos e
adequem aos padrões do negócio às funções desempenhadas
Pessoas Informação
Exemplos Exemplos
Usuários Dados cadastrais
Administradores dos sistemas Relatórios gerenciais
Público externo Documentos em papel
Ações de Seg. da Informação Arquivos digitais
Efetuar treinamentos sobre as políticas de segurança Ações de Seg. da Informação
de informação Revisar periodicamente a
Revisar periodicamente as permissões de acesso dos confidencialidade de informações
usuários às informações Garantir o descarte seguro de
Orientar os usuários para não deixarem os informações em papel
computadores desbloqueados quando não Obedecer a uma rotina de backup de
estiverem em uso arquivos digitais.
As pessoas (as provas costumam também chamar de recursos

humanos) representam a parte mais frágil em segurança de
informação, pois sua atuação é muito imprevisível, quando em
comparação com o hardware (equipamentos) e software
(sistemas/aplicações).

Teoria e Questões
CESPE – AGU/2010
A informação é um ativo que, como qualquer outro ativo importante
para os negócios, tem valor para a organização e, por isso, deve ser
adequadamente protegida.
Resposta: Como podemos ver, a banca se utilizou do conceito de
ativo nesta assertiva.
Gabarito: CERTO
3.2. Vulnerabilidade, ameaça, risco, agente,

ataque, incidente e impacto
Um item, um mooonte de conceitos (ok, nem tantos). Agrupei desta
forma porque todos estes fazem parte do “dark side of the force” em
segurança da informação. Ao fim desta seção, acrescentaremos ao
nosso caderno um novo “esqueminha” de anotações, então, até lá,
concentre-se em entender os conceitos.
Para trazer você, aluno, para o mundo da Informática, imaginemos o
seguinte caso.
Um sistema foi projetado lindamente pelos desenvolvedores. No
entanto, como você deve imaginar, NÃO EXISTE SISTEMA DE
SEGURANÇA PERFEITO. Por mais que sejam estudados, analisados,
testados, “re-testados”, “re-re-testados” e auditados, os sistemas de
segurança sempre possuem fraquezas.
As fraquezas podem ser muitas (e veremos mais detalhes sobre elas
na próxima aula, seguindo a ordem do edital) mas, para a
compreensão destes conceitos básicos, vamos adotar como exemplo
de fraqueza a complexidade das senhas pessoais dos usuários.
Para nosso sistema de exemplo, em particular, a senha deve ser
composta de 4 algarismos numéricos (alguns cartões de crédito,
por exemplo, utilizam esta mesma regra).
A partir daí, começa a nossa estória (isso aí, com “E” mesmo). Uma
fraqueza, em segurança da informação, leva o nome de
VULNERABILIDADE. Para não esquecer esta nomenclatura, lembre-
se de que quando algo está vulnerável, há a possibilidade de
acontecer alguma coisa ruim.
Aí eu pergunto: No nosso caso, o que pode acontecer de ruim?
“Poxa Prof, 4 algarismos é muito pouco. Alguém pode acertar
minha senha de 4 dígitos e entrar no sistema como se fosse
eu”
Teoria e Questões
Se você pensou isso, está corretíssimo. Essa é exatamente a COISA

RUIM que pode acontecer. Como as bancas não utilizam uma
linguagem tão “gente boa”, vamos chamar essa COISA RUIM de
AMEAÇA, definindo-a como um evento que pode explorar uma
vulnerabilidade.
E qual é o risco disso acontecer? Bem, como são 4 algarismos
numéricos, as senhas possíveis são os números entre 0000 e 9999,
ou seja, 10.000 possibilidades. O RISCO dessa AMEAÇA é a
probabilidade dela se concretizar. Aí está, mais um de nossos
conceitos: o RISCO é a possibilidade de uma AMEAÇA se
concretizar.
E quem, pelo amor de Deus, faria uma coisa dessas? Tentar acessar
um sistema com a senha de outra pessoa? Essas entidades que
podem produzir efeitos adversos sobre os ativos de informação
são conhecidos por AGENTES. Podem ser de muitos tipos: uma
árvore que caia derrubando a rede de computadores e deixando um
sistema indisponível, um funcionário da empresa que esteja
revoltado, um hacker no outro lado do mundo tentando acessar um
banco de dados secreto do governo.
No nosso caso, o agente é a pessoa que tenta descobrir a senha de
outra pessoa para acessar o sistema indevidamente.
Em determinado momento, este agente efetua um ATAQUE. O
ATAQUE é uma ação que, deliberadamente, pode comprometer
a segurança da informação.
Muito texto? Não se preocupe, estamos chegando em um quadrinho
mais amigável na próxima página  Caso esteja tendo dificuldade em
entender a sequencia destes conceitos, considere ler novamente
fazendo anotações.
Ok. Em um belo dia, o AGENTE realiza um ATAQUE. Ele tenta
acessar o sistema utilizando seus dados e, não sabendo a senha, faz
uma tentativa com uma data de aniversário. A esta ocorrência, dá-se
o nome de INCIDENTE. O INCIDENTE é um evento ocorrido que
tenha efeito adverso na segurança de informação. O IMPACTO
de um INCIDENTE é o efeito, a consequência analisada, deste
incidente. Caso o agente acerte a senha, o impacto é muito grande.
Caso o agente não acerte a senha, o impacto é menor.
“Poxa Prof, neste caso, só se trata de INCIDENTE se o AGENTE
acertar a minha senha?”
NÃO. Considera-se INCIDENTE uma ocorrência com qualquer
impacto, desde que seja adverso (estranho) do ponto de vista
de segurança da informação.

Teoria e Questões
VULNERABILIDADE
(Fraqueza na segurança da
informação)
RISCO AMEAÇA
(Possibilidade de (Evento que pode
uma ameaça se explorar uma
concretizar) vulnerabilidade)
AGENTE ATAQUE
(Entidade que (Ação deliberada
pode produzir que pode
efeitos adversos comprometer a
sobre os ativos de segurança)
informação)
INCIDENTE
IMPACTO
(Evento ocorrido
que tenha efeito (Efeito de um
adverso na incidente;
segurança da consequência
informação) avaliada)

Teoria e Questões
Para garantir que o entendimento foi pleno, vamos praticar a

identificação dos conceitos vistos.
Consideremos a seguinte situação:

O site de uma banca examinadora disponibiliza para o candidato, após
a identificação por meio de login e senha, um link para o Cartão de
Confirmação de Inscrição, onde é possível ver dados da inscrição (CPF
e nome do candidato, cargo e localidade da inscrição).
Joãozinho percebeu que o link de seu cartão de inscrição contem o
seu numero de inscrição, 0100:
www.banca.com/cartaoInscricao.html?numinsc=0100
Modificando o link, trocou seu número de inscrição por um outro:
www.banca.com/cartaoInscricao.html?numinsc=0101
Ao acessar o link modificado, o sistema mostrou o cartão de inscrição
de Mariazinha, de número de inscrição 0101. Joãozinho percebeu que
era possível ver os cartões de inscrição de TODOS os candidatos,
apenas substituindo, um por um, os números de inscrição de 0000 a
9999.
Joãozinho, então, acessou os dados de todos os candidatos no dia
11/03/2018. De posse dos dados de todos os candidatos, Joãozinho
conseguiu gerar uma lista de inscritos e estatísticas de quantitativo de
inscritos por cargo e localidade, antes da data prevista para a
publicação destes dados pela banca oficialmente.
Sobre o caso descrito, as afirmativas abaixo são corretas,
EXCETO:
a) Joãozinho deve ser considerado um agente, pois suas ações
podem representar efeito adverso sobre os ativos de
informação.
b) A vulnerabilidade foi a ocorrência no dia 11/03/2018.
c) O que ameaça a segurança da informação é que um agente
pode se aproveitar da fraqueza do acesso ao cartão de
inscrição.
d) Ainda que não tivesse conseguido acessar as informações, o
ataque de Joãozinho deve ser tratado como incidente, devendo
ter seu impacto avaliado.
e) Risco e impacto são conceitos distintos: um alto risco não
necessariamente representa um alto impacto.

Teoria e Questões
Vamos analisar as afirmativas, uma a uma.

 Na alternativa (a), vemos aplicada a definição de agente
– um ente cujas ações podem representar efeito adverso
dos os ativos de informação.
A alternativa (b)... bem, falemos dela depois...
 Na alternativa (c), temos a definição de ameaça – há uma
vulnerabilidade no acesso aos links de cartões de
inscrição. A ameaça é que algum agente pode explorar
esta vulnerabilidade (neste caso, obtendo dados de
outros candidatos).
 Na opção (d), é possível identificar duas partes. A
primeira estabelece, corretamente, que o ataque deve ser
tratado como incidente, afinal trata-se de situação
estranha, adversa, à forma como foi concebida a
segurança do sistema, mesmo se os dados não fossem
obtidos. A segunda, igualmente correta, relaciona o
incidente com seu impacto.
 A afirmativa (e) nos lembra que risco e impacto são
conceitos distintos. O risco diz respeito à
possibilidade/probabilidade de ocorrência de
determinada ameaça. Já o impacto, fala do efeito
(consequência) de um evento que ocorreu.
 Por fim, a alternativa (b) está incorreta, pois trata a
vulnerabilidade como uma ocorrência. Lembre-se, a
vulnerabilidade é a FRAQUEZA. O que aconteceu no dia
11/03/2018 foi um INCIDENTE, ocorrência de um
ATAQUE.

Teoria e Questões
FUNDATEC – SEFAZ-RS/2014
Considerando os aspectos da segurança da informação, a
possibilidade de uma determinada ameaça explorar vulnerabilidades
de um ativo ou de um conjunto de ativos, prejudicando a organização,
é chamada de:
A Eventos de segurança da informação.
B Incidentes de segurança da informação.
C Riscos de segurança da informação.
D Impacto organizacional.
E Criticidade de ativo.
Resposta: O enunciado diz respeito ao conceito de RISCO em
segurança da informação, que é possibilidade de uma ameaça
explorar alguma vulnerabilidade de um ativo.
Gabarito: C
FGV – SEFAZ-RJ/2007
As afirmativas a seguir apresentam vulnerabilidades relacionadas
ao uso de sistemas de informação, à exceção de uma. Assinale-a.
A acesso não-autorizado a banco de dados
B instalação não-autorizada de softwares
C falhas de firewall que protegem as redes
D destruição autorizada de hardware e dados
E ataques vindos do ambiente externo
Resposta: Todas as opções dizem respeito a fraquezas na segurança
da informação, exceto a destruição autorizada de hardware e
dados. Neste caso, por ser autorizada, a destruição não é uma
fraqueza do sistema, muito pelo contrário – trata-se de uma forma de
descarte de ativos segura.
Gabarito: D

Teoria e Questões
3.3. Glossário
3.3.1. Hacker:
Os hackers são usuários experientes de informática com
conhecimentos avançados e profundos do funcionamento de sistemas
computacionais. Apesar de, por definição, não se tratar de uma
entidade de más intenções, popularmente o hacker é entendido como
um malfeitor.
3.3.2. Malware:
Malware é um gênero malicioso de software. O termo vem de
software malicioso e compreende códigos que objetivam
comprometer o funcionamento computacional, roubar dados, causar
danos e violar controles de acesso. As espécies listadas a seguir
fazem parte do gênero malware.
3.3.2.1. Vírus:
Um vírus é um tipo de software malicioso que, quando executado,
possui a capacidade de se replicar modificando (infectando)
outras aplicações – o código malicioso é inserido em outras
aplicações.
3.3.2.2. Adware:
Adwares são softwares que têm por objetivo exibir propagandas
(publicidade) em outras aplicações. O termo vem do inglês
advertisement, que significa propaganda/publicidade. É bastante
comum que versões “gratuitas” de alguns aplicativos incluam adware
(já que o usuário não paga pela aplicação, o desenvolvedor
disponibiliza espaço para propagandas na aplicação, sendo pago por
empresas que queiram colocar anúncios).
Um adware pode comprometer o funcionamento de um computador,
seja pelo uso excessivo da capacidade de processamento para
mostrar anúncios ou, frequentemente, pela junção de código
malicioso de roubo de informações.
3.3.2.3. Bug:
Um bug é uma falha de funcionamento de um sistema/aplicação,
gerando um resultado indesejado. Bugs existem em quase todas as
aplicações e são fruto de erro humano no desenvolvimento
(programadores).
Bugs podem se manifestar como pequenos erros em aplicações, mas
são mais perigosos quando representam falhas de segurança.
3.3.2.4. Cavalo de Tróia (Trojan horse):
Cavalo de Tróia (Trojan) é um software malicioso que se disfarça de
software inofensivo, enganando o usuário a fazer download e
instalar outros malwares ou liberar acesso remoto ao seu computador.

Teoria e Questões
3.3.2.5. Ransomware:
Ransomware são aplicações que “sequestram” dados ou
capacidades de um sistema, sendo requerido que o usuário da
máquina/sistema sequestrado pague um resgate (isso mesmo:
dinheiro $$$$$). Ransom quer dizer “resgate” de um sequestro, em
inglês.
Recentemente, em meados de 2017, o caso do ransomware
WannaCry afetou grandes empresas e órgãos públicos no Brasil e no
mundo. Quando uma máquina é infectada com o WannaCry, seu
funcionamento é bloqueado até a liberação pelos seus
desenvolvedores. Os hackers pediram altos valores de pagamentos de
resgate em moeda digital BitCoin, em troca da solução.
3.3.2.6. Worm:
Worms são pequenos códigos maliciosos que invadem computadores
e causam danos à velocidade de redes de computadores,
criando uma sobrecarga do tráfego de dados. Podem, também,
incluir uma “carga” (payload), pedaço de código responsável por
deletar, roubar dados entre outras malfeitorias em uma máquina
infectada.
A diferença entre worms e vírus é que os vírus precisam de ação
humana para infectarem uma máquina (e.g.: instalar um
programa infectado). Já os worms entram por falhas em sistemas
operacionais (e.g.: Windows, Linux) e pela rede, sem
necessidade de interação humana.
3.3.2.7. Rootkit:
Um rootkit é um malware responsável por abrir um computador
para acesso remoto de forma escondida. Um hacker pode, por
meio de um rootkit em uma máquina remota infectada, acessar
arquivos, modificar configurações, roubar dados, fotos, etc.
3.3.2.8. Keylogger:
Um keylogger (do inglês keyboard logger) é uma aplicação capaz de
registrar as teclas que o usuário digita no teclado do
computador. É utilizado, principalmente, para descobrir senha (O
usuário digita o login e senha no teclado do computador para acessar
o sistema. O keylogger, então, registra as teclas que foram digitadas
e disponibiliza para um malfeitor). Alguns bancos implementam
“teclados virtuais” na tela em seus sites, de modo a prevenir a ação
deste tipo de malware.
3.3.2.9. Backdoor:
Um backdoor (porta dos fundos, em inglês) é uma característica de
malwares que facilitam a entrada de hackers a uma máquina.

Teoria e Questões
ESAF – RFB/2006
Analise as seguintes afirmações relacionadas a vírus e antivírus.
I. Um cookie é um vírus do tipo malware que pode ser
armazenado pelo browser se um website requisitar. A informação não
tem um tamanho muito grande e, quando acionados, alteram a
configuração de segurança do browser.
II. Qualquer malware que possua um backdoor permite que o
computador infectado seja controlado totalmente ou parcialmente
através de um canal de IRC ou via conexão com uma porta.
III. O Cavalo de Tróia é um programa que, explorando
deficiências de segurança de computadores, propaga-se de forma
autônoma, contaminando diversos computadores geralmente
conectados em rede. O Cavalo de Tróia mais conhecido atacou
quantidades imensas de computadores na Internet durante os anos
90.
IV. A Engenharia Reversa é a arte de reverter códigos já
compilados para uma forma que seja legível pelo ser humano.
Técnicas de engenharia reversa são aplicadas na análise de vírus e
também em atividades ilegais, como a quebra de proteção anticópia.
A engenharia reversa é ilegal em diversos países, a não ser que seja
por uma justa causa como a análise de um malware.
Indique a opção que contenha todas as afirmações verdadeiras.

A I e II
B II e III
C III e IV
D I e III
E II e IV
Resposta: A afirmação I é falsa, pois os cookies não são malwares,
são apenas formas de sites armazenarem dados na máquina do
usuário, utilizados de forma muito comum. A afirmação II é
verdadeira – como vimos, backdoors “abrem a porta dos fundos”
do computador, permitindo acesso e controle remoto. A
afirmação III é falsa (vide nossas definições de Cavalo de Tróia e
worms). A afirmação IV é verdadeira: engenharia reversa é uma
forma de visualizar o código-fonte de uma aplicação, permitindo
enxergar vulnerabilidades de segurança no desenvolvimento.
Gabarito: E

Teoria e Questões
FCC – SEFAZ-RJ/2014
O site Convergência Digital divulgou a seguinte notícia: O Brasil segue
como o no 1 na América Latina em atividades maliciosas e figura na
4a posição mundial, ficando atrás apenas dos EUA, China e Índia, de
acordo a Symantec. Os ataques por malwares cresceram 81%. ... Um
desses malwares segue sendo o grande vilão nas corporações, sendo
responsável por mais de 220 milhões de máquinas contaminadas no
mundo. É um programa capaz de se propagar automaticamente
pelas redes, enviando cópias de si mesmo de computador para
computador.
Considerando que o malware citado como vilão não se propaga por
meio da inclusão de cópias de si mesmo em outros programas ou
arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas
instalados em computadores, trata-se de um
A vírus de macro
B botnet
C worm
D spyware
E backdoor
Resposta: Note que o enunciado deixa claro que trata-se de um
malware que NÃO se propaga pela cópia (replicação) de si mesmo em
outros programas e arquivos. Daí, podemos eliminar a opção “vírus de
macro”. Como se trata de um programa capaz de se propagar
automaticamente na rede e explora vulnerabilidades em programas
instalados, trata-se de um WORM (vide nossa definição de worm).
Gabarito: C

Teoria e Questões
Conceitos Básicos
 Ativos:
o Meios de armazenamento, transmissão e processamento
 Exemplos:
 Armazenamento na nuvem
 Transmissão via rádio
 Ex. de ações:
 Monitorar execução de contratos de prestação de
serviços
 Monitorar serviço das operadoras de telefonia e
internet
o Equipamentos:
 Exemplos:
 Computadores PC
 Servidores
 Switches de rede
 Roteadores
 Ex. de ações:
 Manutenção
 Aquisição de equipamentos de tecnologia atual
o Sistemas (software):
 Exemplos:
 ERP
 Bancos de dados
 Sistemas de controle de acesso
 Aplicações
 Ex. de ações:
 Manter versões atualizadas
 Desenvolver soluções seguras que atendam ao
negócio
o Locais:
 Exemplos:
 Sala cofre
 Salas de reunião
 Ambiente de trabalho
 Ex. de ações:
 Manter a saúde estrutural dos locais
 Adequar layout das salas ao desempenho das
atividades

Teoria e Questões
o Pessoas (*** SÃO O ELO MAIS FRACO NA SEGURANÇA DA

INFORMAÇÃO ***)
 Exemplos:
 Usuários
 Administradores de sistemas
 Público externo
 Ex. de ações:
 Efetuar treinamento sobre segurança da informação
 Revisar permissões de acesso
 Orientar para não deixarem as máquinas
desbloqueadas quando sem uso
o Informação:
 Exemplos:
 Dados cadastrais
 Relatórios gerenciais
 Documentos em papel
 Arquivos digitais
 Ex. de ações:
 Revisar periodicamente a confidencialidade das
informações
 Garantir descarte seguro de papéis
 Obedecer rotina de backup

 Vulnerabilidade, ameaça, risco, agente, ataque, incidente e impacto
o Vulnerabilidade: fraqueza de segurança
o Ameaça: evento que pode explorar uma vulnerabilidade
o Risco: possibilidade (probabilidade) de uma ameaça se
concretizar
o Agente: entidade cujas ações podem afetar de forma adversa a
segurança
o Ataque: ação que visa afetar de forma adversa a segurança
o Incidente: qualquer evento (ocorrência) que tenha efeito
adverso sobre a segurança
o Impacto: efeitos (consequência) analisada de um incidente

Teoria e Questões
Questões Propostas
Questão 1: FGV – ISS-NITERÓI/2015
A Segurança da Informação (SI) está associada a um conjunto de
atributos básicos que devem ser respeitados na análise e
planejamento de mecanismos e procedimentos para proteção.
Considere uma suposta lista desses atributos, mostrada a seguir.
I. Autenticidade
II. Confidencialidade
III. Conformidade
IV. Disponibilidade
V. Integridade
VI. Irretratabilidade
VII. Presteza
Dessa lista, um item que NÃO é usualmente reconhecido como um
dos atributos básicos da SI é:
A Presteza;
B Integridade;
C Disponibilidade;
D Confidencialidade;
E Autenticidade.
Questão 2: FGV – SEFAZ-RJ/2011

Segurança da Informação é um tema que se reveste atualmente de
alta importância para os negócios. Um de seus aspectos mais
relevantes está associado à capacidade do sistema de permitir que
alguns usuários acessem determinadas informações e paralelamente
impede que outros, não autorizados, a vejam. O aspecto abordado é
denominado
A Integridade.
B Privacidade.
C Confidencialidade.
D Vulnerabilidade.
E Disponibilidade.

Teoria e Questões
Questão 3: FCC – SEFAZ-RJ/2014

A política de segurança da informação da Receita Estadual inclui um
conjunto de diretrizes que determinam as linhas mestras que devem
ser seguidas pela instituição para que sejam assegurados seus
recursos computacionais e suas informações. Dentre estas diretrizes
encontram-se normas que garantem
I. a fidedignidade de informações, sinalizando a conformidade dos
dados armazenados com relação às inserções, alterações e
processamentos autorizados efetuados. Sinalizam, ainda, a
conformidade dos dados transmitidos pelo emissor com os recebidos
pelo destinatário, garantindo a não violação dos dados com intuito de
alteração, gravação ou exclusão, seja ela acidental ou proposital.
II. que as informações estejam acessíveis às pessoas e aos processos
autorizados, a qualquer momento requerido, assegurando a prestação
contínua do serviço, sem interrupções no fornecimento de
informações para quem é de direito.
III. que somente pessoas autorizadas tenham acesso às informações
armazenadas ou transmitidas por meio das redes de comunicação,
assegurando que as pessoas não tomem conhecimento de
informações, de forma acidental ou proposital, sem que possuam
autorização para tal procedimento.
Em relação às informações, as normas definidas em I, II e III visam
garantir
A fidedignidade, acessibilidade e disponibilidade.
B integridade, disponibilidade e confidencialidade.
C confidencialidade, integridade e autenticidade.
D integridade, ininterruptibilidade e autenticidade.
E confidencialidade, integridade e disponibilidade.
Questão 4: CESPE – CGM-JOÃO PESSOA/2018

Acerca dos conceitos de organização e de gerenciamento de arquivos,
dos procedimentos e dos aplicativos para segurança da informação,
julgue o item subsequente.
Treinamento e conscientização dos empregados a respeito de
segurança da informação são mecanismos preventivos de segurança
que podem ser instituídos nas organizações, uma vez que as pessoas
são consideradas o elo mais fraco da cadeia de segurança.
CERTO / ERRADO

Teoria e Questões
Questão 5: CESPE – STJ/2015

Julgue o item seguinte, acerca de segurança, planejamento de
segurança, segurança corporativa estratégica e gestão da segurança
das comunicações.
Confidencialidade é a garantia de que a informação será protegida
contra alterações não autorizadas e que será mantida sua exatidão e
inteireza, tal como foi ela armazenada e classificada em níveis de
disponibilização, de acordo com as necessidades da empresa
disponibilizadora da informação.
CERTO / ERRADO
Questão 6: CESPE – PF/2014

Acerca dos conceitos de organização, gerenciamento de arquivos e
segurança da informação, julgue o item a seguir.
Um dos objetivos da segurança da informação é manter a integridade
dos dados, evitando-se que eles sejam apagados ou alterados sem
autorização de seu proprietário.
CERTO / ERRADO
Questão 7: CESPE – TRT10/2013

Acerca de segurança da informação, julgue o item a seguir.
As características básicas da segurança da informação —
confidencialidade, integridade e disponibilidade — não são atributos
exclusivos dos sistemas computacionais.
CERTO / ERRADO
Questão 8: CESPE – TCE-RO/2013

Acerca dos conceitos de segurança da informação, julgue o próximo
item.
Em sistemas de informática de órgãos interconectados por redes de
computadores, os procedimentos de segurança ficam a cargo da área
de tecnologia do órgão, o que exime os usuários de responsabilidades
relativas à segurança.
CERTO / ERRADO

Teoria e Questões
Questão 9: IBFC – PM-SE/2018

Referente aos conceitos de segurança da informação aplicados a TIC,
assinale a alternativa que NÃO representa tipicamente um malware:
A worm
B hacker
C spyware
D trojan
Questão 10: IBFC – TJ-PE/2017

Numa reunião sobre Segurança da Informação um especialista
mencionou as seguintes definições:
( ) Worm é um programa capaz de se propagar automaticamente
pelas redes, enviando cópias de si mesmo de computador para
computador.
( ) Keylogger é um recurso técnico que permite auditar tudo que o
usuário digitou para identificar erros graves de segurança nas
entradas do sistema.
( ) O Cavalo de Troia é um malware que é também conhecido na área
de segurança pelo termo técnico em inglês Trojan.
Identifique o que foi mencionado pelo especialista com valores de
Verdadeiro (V) ou Falso (F) e assinale a alternativa que apresenta a
sequência correta (de cima para baixo):
A V-V-V
B V-V-F
C V-F-V
D F-F-V
E F-F–F
Questão 11: CESPE – ANATEL/2009

Acerca da segurança e da tecnologia da informação, julgue o item a
seguir.
Em uma organização, a segurança da informação é responsabilidade
corporativa do gerente e deve ser mantida no âmbito particular desse
gerente.
CERTO / ERRADO

Teoria e Questões
Questão 12: FGV – IBGE/2017

A probabilidade da ocorrência de um incidente de segurança é um dos
elementos que serve para determinar:
A o agente de ameaça que possa explorar esse incidente;
B o grau de vulnerabilidade existente em um ativo;
C o nível de impacto que esse incidente possa causar;
D o risco da segurança da informação associado a esse incidente;
E o nível de fraqueza externa presente no incidente de segurança.
Questão 13: CS UFG – UNIRG/2017

Considere o texto a seguir: “É uma falha ou fraqueza de
procedimento, design, implementação, ou controles internos de um
sistema que possa ser acidentalmente ou propositalmente explorada,
resultando em uma brecha de segurança ou violação da política de
segurança do sistema”.
No contexto de segurança da informação, essa é a definição de:
A vulnerabilidade.
B risco.
C ameaça.
D impacto.
Questão 14: FCC – MPE-MA/2013

Indique a alternativa que pode conter um relacionamento mais
apropriado entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e
VULNERABILIDADE tratados pela Gestão de Riscos na Tecnologia da
Informação.
ATIVO VULNERABILIDADE INCIDENTE/AMEAÇA IMPACTO

Falta de atualizações do Exploração de Perda de Confidencialidade,
A Servidor de aplicação
sistema operacional vulnerabilidades Integridade e Disponibilidade
Servidor de aplicação
B Servidor Web Ataque Hacker DDoS Integridade
acessível pela internet
Sem contrato de Perda da confidencialidade nos
C Firewall da rede Defeito nofirmware
manutenção periódica acessos a internet
Falta de atualizações
D Servidor Web Ataque Hacker DDoS Indisponibilidade
do sistema operacional
E Firewall da rede Falta de atualizações do Perda de desempenho Não suporta atualizações de

Teoria e Questões
Questão 15: ESAF – SEF-MG/2005

Os investimentos na área de segurança da informação têm crescido
em paralelo com o crescimento do comércio eletrônico na Internet.
Com relação aos conceitos de segurança da informação é correto
afirmar que a
A confiabilidade é a habilidade de cada usuário saber que os
outros são quem dizem ser.
B integridade de mensagens é a habilidade de se ter certeza de
que a mensagem remetida chegará ao destino sem ser
modificada.
C autenticidade é a garantia de que os sistemas estarão
disponíveis quando necessário.
D integridade é a garantia de que os sistemas desempenharão seu
papel com eficácia em um nível de qualidade aceitável.
E confiabilidade é a capacidade de controlar quem vê as
informações e sob quais condições.

Teoria e Questões
Gabarito:
1–A
2–C
3–B
4–C
5–E
6–C
7–C
8–E
9–B
10 – C
11 – E
12 – D
13 – A
14 – A
15 – B

AULAS

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

AULAS

Hochgeladen von

Copyright:

Verfügbare Formate

Curso de Informática/TI para Área Fiscal – 2019

AULA 00 – AULA DEMONSTRATIVA

Seja bem-vindo ao curso de Tecnologia da Informação para Concursos

Apesar de pautar-se, majoritariamente, na crescente lista de

Em vista do crescente aprofundamento dos temas de Informática nos

PORTAL SILVIO SANDE www.silviosande.com.br Página 1 de 40

Com base em diversos editais da área fiscal, cobrindo as principais

Note-se que os três últimos grupos, marcados com *, não fazem

Em um passado remoto, o Auditor contava com pouco auxílio de

Como consequência, a cobrança de conteúdos profundos nas provas,

Neste curso, pretendo trazer você, candidato, ao mundo da

PORTAL SILVIO SANDE www.silviosande.com.br Página 2 de 40

de dificuldade de cada assunto do ponto de vista do usuário leigo de

Fugindo do aspecto “exclusivamente decorar, decorar, decorar” que

We can only see a short distance ahead,

(Podemos apenas enxergar a uma curta distância, mas podemos ver

Sou Engenheiro Eletricista, graduado pelo Universidade Federal da

PORTAL SILVIO SANDE www.silviosande.com.br Página 3 de 40

Informações sobre o curso

1. Conteúdo e cronograma das aulas

Nosso curso será ministrado ao longo de 10 aulas, incluindo esta aula

AULA 00 Segurança da Informação: Conceitos básicos.

AULA 01 Segurança da Informação: Criptografia, Assinatura Digital,

AULA 03 Gestão de Processos de Negócio: Modelagem de processos.

AULA 06 Business Intelligence: Conceitos e estratégias de implantação de

AULA 07 Linguagem SQL: Consulta, cláusula WHERE, Operadores

PORTAL SILVIO SANDE www.silviosande.com.br Página 4 de 40

O curso seguirá o último programa da disciplina (editais da SEFAZ/RS

1. Em meio à teoria, consolidando o contexto dos assuntos;

Ao se inscrever no curso, o aluno poderá optar, ainda, pela aquisição

PORTAL SILVIO SANDE www.silviosande.com.br Página 5 de 40

Uma breve pesquisa na biblioteca de qualquer universidade pode

PORTAL SILVIO SANDE www.silviosande.com.br Página 6 de 40

A Ciência de Dados é o campo de estudo responsável pelas técnicas

A Segurança da Informação é o campo responsável pela preservação

2.1. Princípios/Propriedades principais

Informações referentes a licenças médicas em

A confidencialidade, em muitos casos, se estende

O exemplo clássico da necessidade de manter a

Conhecemos o CPF como sendo um número de 11 dígitos (vamos usar

PORTAL SILVIO SANDE www.silviosande.com.br Página 9 de 40

Imagine uma situação “hipotética” em que, ao

PORTAL SILVIO SANDE www.silviosande.com.br Página 11 de 40

2.2. Propriedades Adicionais

Trataremos detalhadamente destes métodos na próxima seção, em

PORTAL SILVIO SANDE www.silviosande.com.br Página 12 de 40

Em ambientes corporativos, é comum que os

A Secretaria da Receita Federal do Brasil edita um

PORTAL SILVIO SANDE www.silviosande.com.br Página 13 de 40

2.2.3. Não repúdio:

Segundo a característica de “não repúdio”,

O termo confiabilidade tem emprego original na

PORTAL SILVIO SANDE www.silviosande.com.br Página 14 de 40

Em determinada repartição pública, foi criado um

PORTAL SILVIO SANDE www.silviosande.com.br Página 15 de 40

Vejamos agora uma seleção de questões associadas aos conceitos que

PORTAL SILVIO SANDE www.silviosande.com.br Página 16 de 40

PORTAL SILVIO SANDE www.silviosande.com.br Página 18 de 40

PORTAL SILVIO SANDE www.silviosande.com.br Página 19 de 40

3.1. Ativo/Ativo de informação

PORTAL SILVIO SANDE www.silviosande.com.br Página 20 de 40

Meios de Armazenamento, Transmissão e Processamento Equipamentos

As pessoas (as provas costumam também chamar de recursos

PORTAL SILVIO SANDE www.silviosande.com.br Página 21 de 40