Beruflich Dokumente
Kultur Dokumente
Teoria e Questões
Prof. João Sampaio – Aula 00
SUMÁRIO
AULA 00 – Aula Demonstrativa 1
SEGURANÇA DA INFORMAÇÃO: CONCEITOS BÁSICOS 6
1. O que é Informação 6
2. Segurança da Informação 7
2.1 Princípios/Propriedades principais 8
2.2 Propriedades adicionais 12
3. Conceitos básicos 20
3.1 Ativo/Ativo de informação 20
3.2 Vulnerabilidade, ameaça, risco, agente, ataque, incidente e impacto 22
3.3 Glossário 28
Questões propostas 34
O fato de você, candidato, ter buscado este curso revela seu interesse
e comprometimento na trilha que leva à carreira de Auditor Fiscal.
Antes com caráter menos expressivo nas provas, a disciplina de
Informática/TI vem ganhando destaque com o significativo aumento
do rol de habilidades requeridas para o bom desempenho do cargo de
Auditor.
Concluo esta (não tão) breve introdução com uma frase de Alan
Turing, por muitos considerado o pai da computação:
Apresentação do professor
2. Metodologia utilizada
3. Suporte
SEGURANÇA DA INFORMAÇÃO
1. O que é Informação
CESPE – MEC/2015
A segurança da informação refere-se ao processo de proteger a
informação das ameaças a fim de garantir sua integridade,
disponibilidade e confidencialidade.
Resposta: O item está CERTO, trata-se exatamente da definição de
segurança da informação, trazendo os 3 princípios citados.
Gabarito: CERTO
PORTAL SILVIO SANDE www.silviosande.com.br Página 7 de 40
Curso de Informática/TI para Área Fiscal – 2019
Teoria e Questões
Prof. João Sampaio – Aula 00
2.1.1. Confidencialidade:
A preservação da confidencialidade de uma informação consiste em
permitir o acesso à informação por indivíduos autorizados e manter
em sigilo para os não autorizados, prevenindo roubo/vazamento de
informação.
Mas... quem pode ver o quê? Esta é a “pergunta do milhão” em
confidencialidade. Há duas ferramentas em segurança da informação
que visam garantir a confidencialidade em um sistema. A primeira é a
classificação da informação, que consiste em definir quais informações
são confidenciais, secretas, abertas etc (veremos os níveis de
classificação mais adiante). A segunda ferramenta é o controle de
acesso, responsável por definir quem pode ver as informações
Exemplo: um funcionário do RH, geralmente, possui acesso a
informações pessoais de outros funcionários. O controle de acesso
precisa ser revisado frequentemente pois, o funcionário do RH pode
se mudar para outro setor, sendo necessário remover o acesso às
informações que não são necessárias para o desempenho da nova
função.
2.1.2. Integridade:
A preservação da integridade consiste em garantir que as
informações sejam transmitidas de forma íntegra, ou seja, sem
alterações por entes não autorizados.
CESPE – TCU/2015
Confidencialidade é a garantia de que somente pessoas autorizadas
tenham acesso à informação, ao passo que integridade é a garantia
de que os usuários autorizados tenham acesso, sempre que
necessário, à informação e aos ativos correspondentes.
Resposta: A primeira parte da afirmativa está certinha e corresponde
à definição de confidencialidade (... garantia de que somente pessoas
autorizadas tenham acesso à informação). No entanto, a segunda
parte conceitua equivocadamente a integridade. A “garantia de que os
usuários autorizados tenham acesso à informação e ativos sempre
que necessário” diz respeito, na verdade, ao nosso próximo princípio:
a disponibilidade.
Gabarito: ERRADO
2.1.3. Disponibilidade:
A preservação da disponibilidade trata de manter disponíveis as
informações e os ativos para os usuários legítimos. O aspecto da
disponibilidade de maior relevância para a segurança da informação
diz respeito à possibilidade de um indivíduo mal intencionado
deliberadamente negar acesso a um sistema.
MS CONCURSOS – CM-POA/2017
Falando sobre conceitos básicos de segurança da informação, o que é
a “disponibilidade”?
a) Propriedade que garante a informação sempre disponível
para o uso legítimo, ou seja, por aqueles usuários autorizados
pelo proprietário da informação.
b) Propriedade que garante a informação disponível proveniente
da fonte anunciada e que não foi alvo de mutações ao longo de
um processo.
c) Propriedade que garante que o sistema disponível deve seguir
as leis e regulamentos associados a este tipo de processo.
d) Propriedade que limita o acesso a informação disponível tão
somente às entidades legítimas, ou seja, àquelas autorizadas
pelo proprietário da informação.
Resposta: A alternativa A corresponde exatamente à definição que
exploramos nesta seção.
Gabarito: A
2.2.1. Autenticidade:
Autenticidade é a capacidade de garantir que determinada ação ou
informação foi realizada/desenvolvida por seu autor. Este conceito
pode ser visto, principalmente, nas situações de autenticação de um
usuário (fornecer login e senha para comprovar que “você é você
mesmo” ao entrar em um sistema).
A comprovação pode se dar por várias formas
– desde a utilização de senhas pessoais até
formas de biometria, como impressões
digitais, por exemplo. O quadro a seguir
classifica e detalha as formas de garantir a
identidade de um agente.
Teste dos Conhecimentos:
Identificação:
Físicas:
Teste de Dispositivos de
Teste de Características
• Senha pessoal • Tokens • Impressão
• Confirmação de • Certificados digital
dados cadastrais Digitais • Retina
• Pergunta de • RFID • Reconhecimento
segurança facial
(geralmente são • Reconhecimento
utilizadas para de voz
recuperar senhas
esquecidas)
2.2.2. Responsabilidade:
A propriedade da responsabilidade tem por objetivo obrigar o
usuário a se responsabilizar por ações que interfiram na segurança da
informação como, por exemplo, vazamento e perda de informações,
podendo prever, inclusive, responsabilização legal.
2.2.4. Confiabilidade:
A confiabilidade é um conceito menos específico, que pode englobar
as características de integridade.
Menos cobrada em questões, por haver certa omissão da doutrina
em tentar determinar um sentido estrito, a confiabilidade pode ser
entendida como a propriedade de uma informação ser íntegra e útil
ao longo do tempo, não dando margem para que defeitos em
seu manuseio e manutenção a tornem inválida.
2.2.5. Legalidade:
A legalidade é a propriedade da segurança da informação que
garante que a informação produzida respeita os padrões
legais, ou seja, que a informação tenha valor legal.
Apesar de não estar listada pela NBR que define a segurança da
informação, esta propriedade merece atenção dada a sua ocorrência
em questões de diversas provas.
É possível relacionar a legalidade, ainda, ao respeito, no processo de
produção e compartilhamento de informações, às cláusulas de um
contrato vigente, ou de legislação internacional que imponha
requerimentos à produção de informação.
Segurança da Informação
Princípios(CID):
o Confidencialidade
Pessoa não autorizada => Sigilo
Pessoa autorizada => Permissão
Em alguns casos, considerar não apenas o conteúdo da
informação como confidencial, mas também a existência
Ferramentas: controle de acesso a informações,
classificação das informações
o Integridade
A informação não deve sofrer alterações indesejadas
Ferramentas: dígito verificador
o Disponibilidade
Manter a informação sempre disponível para as entidades
autorizadas
Ferramentas: redundância de sistemas
Outras propriedades:
o Autenticidade
Garantir a identidade de um usuário, ou de um autor de
uma mensagem, ou de quem executa uma ação, etc
Ferramentas: tokens, senha pessoal, biometria
o Responsabilidade
Garantir a responsabilização (até mesmo legal) por ações
que interfiram na segurança da informação
Ferramentas: termo de responsabilidade, manual
. de utilização, código de conduta
o Não repúdio
Não permitir que o autor de uma informação negue a
autoria
Ferramentas: assinatura digital
o Legalidade
Garantir o valor legal da informação produzida e/ou dos
processos que a envolvem.
Ferramentas: contratos, legislação vigente
FCC – TRE-RR/2015
O processo de proteção da informação das ameaças caracteriza-se
como Segurança da Informação. O resultado de uma gestão de
segurança da informação adequada deve oferecer suporte a cinco
aspectos principais:
I – Somente as pessoas autorizadas terão acesso às
informações.
II – As informações serão confiáveis e exatas. Pessoas não
autorizadas não podem alterar os dados.
III – Garante o acesso às informações, sempre que for
necessário, por pessoas autorizadas.
IV – Garante que em um processo de comunicação os
remetentes não se passem por terceiros e nem que a
mensagem sofra alterações durante o envio.
V – Garante que as informações foram produzidas respeitando a
legislação vigente.
Os aspectos elencados de I a V correspondem, correta e
respectivamente, a:
A autenticidade, integridade, disponibilidade, legalidade e
confidencialidade
B autenticidade, confidencialidade, integridade, disponibilidade e
legalidade
C integridade, disponibilidade, confidencialidade, autenticidade e
legalidade
D disponibilidade, confidencialidade, integridade, legalidade e
autenticidade
E confidencialidade, integridade, disponibilidade, autenticidade e
legalidade
Resposta: O aspecto I diz respeito à confidencialidade (apenas
pessoas autorizadas podem ver as informações). O aspecto II fala
da exatidão da informação e destaca a impossibilidade de alterações
por pessoas não autorizadas, correspondendo, portanto à
integridade. O aspecto III fala de garantir o acesso sempre que
necessário, ou seja, “o sistema deve estar disponível”. Portanto, o
aspecto III é a disponibilidade. O aspecto IV fala da
autenticidade (ou seja, garantir a identidade dos
autores/emissores/remetentes).O aspecto V refere-se a uma
característica não listada pela NBR, no entanto é fácil identificar, por
sua descrição, que trata-se da legalidade.
Gabarito: E
PORTAL SILVIO SANDE www.silviosande.com.br Página 17 de 40
Curso de Informática/TI para Área Fiscal – 2019
Teoria e Questões
Prof. João Sampaio – Aula 00
CESPE - SEFAZ/RS/2018
A respeito de segurança da informação, julgue os itens a seguir:
I Autenticidade se refere às ações tomadas para assegurar
que informações confidenciais e críticas não sejam roubadas do
sistema. Conforme vimos, esta definição diz respeito não à
autenticidade, mas à CONFIDENCIALIDADE. Portanto, item
ERRADO.
II A gestão de segurança da informação deve garantir a
disponibilidade da informação. A DISPONIBILIDADE é um dos
pilares da Segurança da Informação. Item CERTO.
III A confidencialidade garante a identidade de quem envia a
informação. A identidade de quem envia ou do autor é garantida
pela AUTENTICIDADE. Item ERRADO.
IV De acordo com o conceito de integridade, os dados devem
ser mantidos intactos, sem alteração, conforme foram criados e
fornecidos. Perfeita descrição da INTEGRIDADE, em que os dados
devem ser mantidos ÍNTEGROS (ou seja, intactos, inalterados,
conforme criados e fornecidos). Item CERTO.
Estão certos apenas os itens
A I e II.
B I e III.
C II e IV.
D I, III e IV.
E II, III e IV.
Gabarito: C
ESAF - SEFAZ/CE/2007
Nos sistemas de Segurança da Informação, existe um método que
________. Este método visa garantir a integridade da informação.
Escolha a opção que preenche corretamente a lacuna acima.
A valida a autoria da mensagem
B verifica se uma mensagem em trânsito foi alterada
C verifica se uma mensagem em trânsito foi lida por pessoas não
autorizadas
D cria um backup diferencial da mensagem a ser transmitida
E passa um antivírus na mensagem a ser transmitida
Resposta: A questão busca um método cuja finalidade é garantir a
integridade. A alternativa A trata da autoria da mensagem, ou
seja, relaciona-se com a propriedade da autenticidade. A
alternativa C se relaciona com a confidencialidade (e, ainda assim,
trata de forma equivocada este princípio – afinal, se o sistema
consegue identificar se uma mensagem foi lida por pessoa não
autorizada, não deveria ter permitido esta leitura). A alternativa D
trata do backup, técnica que definiremos ainda nesta aula de
conceitos básicos, mas que não necessariamente faz parte do escopo
das propriedades básicas. A alternativa E menciona o antivírus,
ferramenta (software) que verifica a existência de códigos maliciosos
em arquivos, conceito que não se relaciona diretamente com a
integridade da informação (veremos mais sobre antivírus na seção a
seguir). A alternativa B, por sua vez, corresponde ao objetivo da
integridade, qual seja a garantia de que a informação circule sem
sofrer alterações indesejadas.
Gabarito: B
3. Conceitos Básicos
CESPE – PC-PE/2016
Considerando-se que uma política de segurança da informação deva
proteger os ativos de uma organização, assinale a opção que
apresenta corretamente a definição do termo ativo para uma política
de segurança da informação.
a) Política que define o bem a ser protegido na organização.
b) Bem, material ou imaterial, que tem valor para a organização.
c) Norma material que protege o conteúdo da informação.
d) Procedimento operacional que tem critério de valor para a
organização.
e) Bem imaterial que tem valor simbólico e abstrato na
organização.
Resposta: A opção B corresponde à definição que vimos acima, de
que os ativos são as coisas (bens) que têm valor para a organização
(alguns deles são materiais como, por exemplo, os equipamentos e
softwares, enquanto outros são imateriais – e.g.: pessoas)
Gabarito: B
Sistemas (software)
Exemplos Locais
ERP Exemplos
Bancos de dados Sala cofre
Sistemas de controle de acesso Salas de reuniões
Aplicações Ambiente de trabalho
Ações de Seg. da Informação Ações de Seg. da Informação
Manter as versões atualizadas Manter a saúde estrutural dos locais
Desenvolver soluções em software que se Utilizar layouts de salas adequados aos riscos e
adequem aos padrões do negócio às funções desempenhadas
Pessoas Informação
Exemplos Exemplos
Usuários Dados cadastrais
Administradores dos sistemas Relatórios gerenciais
Público externo Documentos em papel
Ações de Seg. da Informação Arquivos digitais
Efetuar treinamentos sobre as políticas de segurança Ações de Seg. da Informação
de informação Revisar periodicamente a
Revisar periodicamente as permissões de acesso dos confidencialidade de informações
usuários às informações Garantir o descarte seguro de
Orientar os usuários para não deixarem os informações em papel
computadores desbloqueados quando não Obedecer a uma rotina de backup de
estiverem em uso arquivos digitais.
CESPE – AGU/2010
A informação é um ativo que, como qualquer outro ativo importante
para os negócios, tem valor para a organização e, por isso, deve ser
adequadamente protegida.
Resposta: Como podemos ver, a banca se utilizou do conceito de
ativo nesta assertiva.
Gabarito: CERTO
VULNERABILIDADE
(Fraqueza na segurança da
informação)
RISCO AMEAÇA
(Possibilidade de (Evento que pode
uma ameaça se explorar uma
concretizar) vulnerabilidade)
AGENTE ATAQUE
(Entidade que (Ação deliberada
pode produzir que pode
efeitos adversos comprometer a
sobre os ativos de segurança)
informação)
INCIDENTE
IMPACTO
(Evento ocorrido
que tenha efeito (Efeito de um
adverso na incidente;
segurança da consequência
informação) avaliada)
FUNDATEC – SEFAZ-RS/2014
Considerando os aspectos da segurança da informação, a
possibilidade de uma determinada ameaça explorar vulnerabilidades
de um ativo ou de um conjunto de ativos, prejudicando a organização,
é chamada de:
A Eventos de segurança da informação.
B Incidentes de segurança da informação.
C Riscos de segurança da informação.
D Impacto organizacional.
E Criticidade de ativo.
Resposta: O enunciado diz respeito ao conceito de RISCO em
segurança da informação, que é possibilidade de uma ameaça
explorar alguma vulnerabilidade de um ativo.
Gabarito: C
FGV – SEFAZ-RJ/2007
As afirmativas a seguir apresentam vulnerabilidades relacionadas
ao uso de sistemas de informação, à exceção de uma. Assinale-a.
A acesso não-autorizado a banco de dados
B instalação não-autorizada de softwares
C falhas de firewall que protegem as redes
D destruição autorizada de hardware e dados
E ataques vindos do ambiente externo
Resposta: Todas as opções dizem respeito a fraquezas na segurança
da informação, exceto a destruição autorizada de hardware e
dados. Neste caso, por ser autorizada, a destruição não é uma
fraqueza do sistema, muito pelo contrário – trata-se de uma forma de
descarte de ativos segura.
Gabarito: D
3.3. Glossário
3.3.1. Hacker:
Os hackers são usuários experientes de informática com
conhecimentos avançados e profundos do funcionamento de sistemas
computacionais. Apesar de, por definição, não se tratar de uma
entidade de más intenções, popularmente o hacker é entendido como
um malfeitor.
3.3.2. Malware:
Malware é um gênero malicioso de software. O termo vem de
software malicioso e compreende códigos que objetivam
comprometer o funcionamento computacional, roubar dados, causar
danos e violar controles de acesso. As espécies listadas a seguir
fazem parte do gênero malware.
3.3.2.1. Vírus:
Um vírus é um tipo de software malicioso que, quando executado,
possui a capacidade de se replicar modificando (infectando)
outras aplicações – o código malicioso é inserido em outras
aplicações.
3.3.2.2. Adware:
Adwares são softwares que têm por objetivo exibir propagandas
(publicidade) em outras aplicações. O termo vem do inglês
advertisement, que significa propaganda/publicidade. É bastante
comum que versões “gratuitas” de alguns aplicativos incluam adware
(já que o usuário não paga pela aplicação, o desenvolvedor
disponibiliza espaço para propagandas na aplicação, sendo pago por
empresas que queiram colocar anúncios).
Um adware pode comprometer o funcionamento de um computador,
seja pelo uso excessivo da capacidade de processamento para
mostrar anúncios ou, frequentemente, pela junção de código
malicioso de roubo de informações.
3.3.2.3. Bug:
Um bug é uma falha de funcionamento de um sistema/aplicação,
gerando um resultado indesejado. Bugs existem em quase todas as
aplicações e são fruto de erro humano no desenvolvimento
(programadores).
Bugs podem se manifestar como pequenos erros em aplicações, mas
são mais perigosos quando representam falhas de segurança.
3.3.2.4. Cavalo de Tróia (Trojan horse):
Cavalo de Tróia (Trojan) é um software malicioso que se disfarça de
software inofensivo, enganando o usuário a fazer download e
instalar outros malwares ou liberar acesso remoto ao seu computador.
3.3.2.5. Ransomware:
Ransomware são aplicações que “sequestram” dados ou
capacidades de um sistema, sendo requerido que o usuário da
máquina/sistema sequestrado pague um resgate (isso mesmo:
dinheiro $$$$$). Ransom quer dizer “resgate” de um sequestro, em
inglês.
Recentemente, em meados de 2017, o caso do ransomware
WannaCry afetou grandes empresas e órgãos públicos no Brasil e no
mundo. Quando uma máquina é infectada com o WannaCry, seu
funcionamento é bloqueado até a liberação pelos seus
desenvolvedores. Os hackers pediram altos valores de pagamentos de
resgate em moeda digital BitCoin, em troca da solução.
3.3.2.6. Worm:
Worms são pequenos códigos maliciosos que invadem computadores
e causam danos à velocidade de redes de computadores,
criando uma sobrecarga do tráfego de dados. Podem, também,
incluir uma “carga” (payload), pedaço de código responsável por
deletar, roubar dados entre outras malfeitorias em uma máquina
infectada.
A diferença entre worms e vírus é que os vírus precisam de ação
humana para infectarem uma máquina (e.g.: instalar um
programa infectado). Já os worms entram por falhas em sistemas
operacionais (e.g.: Windows, Linux) e pela rede, sem
necessidade de interação humana.
3.3.2.7. Rootkit:
Um rootkit é um malware responsável por abrir um computador
para acesso remoto de forma escondida. Um hacker pode, por
meio de um rootkit em uma máquina remota infectada, acessar
arquivos, modificar configurações, roubar dados, fotos, etc.
3.3.2.8. Keylogger:
Um keylogger (do inglês keyboard logger) é uma aplicação capaz de
registrar as teclas que o usuário digita no teclado do
computador. É utilizado, principalmente, para descobrir senha (O
usuário digita o login e senha no teclado do computador para acessar
o sistema. O keylogger, então, registra as teclas que foram digitadas
e disponibiliza para um malfeitor). Alguns bancos implementam
“teclados virtuais” na tela em seus sites, de modo a prevenir a ação
deste tipo de malware.
3.3.2.9. Backdoor:
Um backdoor (porta dos fundos, em inglês) é uma característica de
malwares que facilitam a entrada de hackers a uma máquina.
ESAF – RFB/2006
Analise as seguintes afirmações relacionadas a vírus e antivírus.
I. Um cookie é um vírus do tipo malware que pode ser
armazenado pelo browser se um website requisitar. A informação não
tem um tamanho muito grande e, quando acionados, alteram a
configuração de segurança do browser.
II. Qualquer malware que possua um backdoor permite que o
computador infectado seja controlado totalmente ou parcialmente
através de um canal de IRC ou via conexão com uma porta.
III. O Cavalo de Tróia é um programa que, explorando
deficiências de segurança de computadores, propaga-se de forma
autônoma, contaminando diversos computadores geralmente
conectados em rede. O Cavalo de Tróia mais conhecido atacou
quantidades imensas de computadores na Internet durante os anos
90.
IV. A Engenharia Reversa é a arte de reverter códigos já
compilados para uma forma que seja legível pelo ser humano.
Técnicas de engenharia reversa são aplicadas na análise de vírus e
também em atividades ilegais, como a quebra de proteção anticópia.
A engenharia reversa é ilegal em diversos países, a não ser que seja
por uma justa causa como a análise de um malware.
FCC – SEFAZ-RJ/2014
O site Convergência Digital divulgou a seguinte notícia: O Brasil segue
como o no 1 na América Latina em atividades maliciosas e figura na
4a posição mundial, ficando atrás apenas dos EUA, China e Índia, de
acordo a Symantec. Os ataques por malwares cresceram 81%. ... Um
desses malwares segue sendo o grande vilão nas corporações, sendo
responsável por mais de 220 milhões de máquinas contaminadas no
mundo. É um programa capaz de se propagar automaticamente
pelas redes, enviando cópias de si mesmo de computador para
computador.
Considerando que o malware citado como vilão não se propaga por
meio da inclusão de cópias de si mesmo em outros programas ou
arquivos, mas sim pela execução direta de suas cópias ou pela
exploração automática de vulnerabilidades existentes em programas
instalados em computadores, trata-se de um
A vírus de macro
B botnet
C worm
D spyware
E backdoor
Resposta: Note que o enunciado deixa claro que trata-se de um
malware que NÃO se propaga pela cópia (replicação) de si mesmo em
outros programas e arquivos. Daí, podemos eliminar a opção “vírus de
macro”. Como se trata de um programa capaz de se propagar
automaticamente na rede e explora vulnerabilidades em programas
instalados, trata-se de um WORM (vide nossa definição de worm).
Gabarito: C
Conceitos Básicos
Ativos:
o Meios de armazenamento, transmissão e processamento
Exemplos:
Armazenamento na nuvem
Transmissão via rádio
Ex. de ações:
Monitorar execução de contratos de prestação de
serviços
Monitorar serviço das operadoras de telefonia e
internet
o Equipamentos:
Exemplos:
Computadores PC
Servidores
Switches de rede
Roteadores
Ex. de ações:
Manutenção
Aquisição de equipamentos de tecnologia atual
o Sistemas (software):
Exemplos:
ERP
Bancos de dados
Sistemas de controle de acesso
Aplicações
Ex. de ações:
Manter versões atualizadas
Desenvolver soluções seguras que atendam ao
negócio
o Locais:
Exemplos:
Sala cofre
Salas de reunião
Ambiente de trabalho
Ex. de ações:
Manter a saúde estrutural dos locais
Adequar layout das salas ao desempenho das
atividades
Questões Propostas
Questão 1: FGV – ISS-NITERÓI/2015
A Segurança da Informação (SI) está associada a um conjunto de
atributos básicos que devem ser respeitados na análise e
planejamento de mecanismos e procedimentos para proteção.
Considere uma suposta lista desses atributos, mostrada a seguir.
I. Autenticidade
II. Confidencialidade
III. Conformidade
IV. Disponibilidade
V. Integridade
VI. Irretratabilidade
VII. Presteza
Dessa lista, um item que NÃO é usualmente reconhecido como um
dos atributos básicos da SI é:
A Presteza;
B Integridade;
C Disponibilidade;
D Confidencialidade;
E Autenticidade.
Gabarito:
1–A
2–C
3–B
4–C
5–E
6–C
7–C
8–E
9–B
10 – C
11 – E
12 – D
13 – A
14 – A
15 – B