Professional Documents
Culture Documents
ISBN: 978-85-66649-01-7
Autor: Fernando Fonseca
Todos os direitos reservados. Este manual no pode ser copiado, fotocopiado, reproduzido, traduzido para outras lnguas ou convertido em qualquer forma eletrnica ou legvel por qualquer meio, em parte ou no todo, sem a aprovao prvia
por escrito da Antebellum Capacitao Profissional
www.antebellum.com.br
Material do Aluno
cursos@antebellum.com.br
Verso 1.0
Responsabilidade Social
Este material foi impresso pela Ekofootprint, utilizando papel reciclado e tecnologia de cera (Solid Ink) da
Xerox, que reduz o impacto ambiental das impresses
em 90%, se comparado tecnologia Laser.
www.ekofootprint.com
Sumrio
O Programa de Certificao do Exin................................. 6
1
- Informao e Segurana................................................... 15
- Alinhamento Estratgico.................................................. 75
2.1 - Governana...................................................................... 75
2.2 - Modelagem de Processos................................................ 91
2.3 - Classificao da Informao............................................. 96
3
Sumrio
6
- Conformidade................................................................ 266
6.1
6.2
- Avaliao....................................................................... 275
O EXIN - Examination Institute for Information Science, uma empresa global, prestadora de exame independente de TI que oferece programas de capacitao para ISO/IEC 20000, ISO/IEC 27000, ITIL , MOF, entre outros.
misso do EXIN melhorar a qualidade do setor de TI, os profissionais de TI e
os usurios de TI, por meio de testes e certificaes.
A tecnologia da informao a pedra fundamental do competitivo mundo
dos negcios de hoje. Como profissional de TI, voc enfrenta o desafio dirio
de fornecer servios de TI confiveis e acessveis. Seu mundo movido pelo
desempenho e est em constante mutao. Muitas novas profisses de TI
continuam a surgir. So mais de 350.000 profissionais certificados em mais
de 125 pases exercitando-se em Tecnologia da Informao em todos os nveis. Estes profissionais obtiveram sua valiosa certificao EXIN atravs de
7
1.2 Valor da informao (2,5%) - O candidato entende o valor da informao para as organizaes. O candidato capaz de:
incluir o Chief Information Security Officer, o Gerente de Segurana da Informao, Implementador de Segurana da Informao e Arquitetos de Sistemas de Informaes.
10
3.3 Gerenciamento de Incidentes (5%) - O candidato compreende a importncia da gesto de incidentes e escaladas. O candidato capaz
de:
2.2 Relacionamento entre ameaas, riscos e confiabilidade das informaes (15%) - O candidato compreende a relao entre as ameaas,
riscos e confiabilidade das informaes. O candidato capaz de:
2.2.1 Reconhecer exemplos dos diversos tipos de ameaas
2.2.2 Descrever os efeitos que os vrios tipos de ameaas tm sobre a informao e ao tratamento das informaes
4. Medidas (40%)
4.1 Importncia das medidas de (10%) - O candidato entende a importncia de medidas de segurana. O candidato capaz de:
11
12
5.1 Legislao e regulamentos (10%) - O candidato entende a importncia e os efeitos da legislao e regulamentaes. O candidato capaz
de:
14
Requisito de exame
a da informao;
Padro aceito no mundo, com mais de 2500 certificaes;
Aumento da conscientizao dos funcionrios para assuntos referen-
Especificao de exame
ao nvel de maestria
1 Informao e segurana
O conceito de informao
1.1
Valor da informao
1.2
Aspectos de confiabilidade
1.3
Entendimento
Entendimento
Lembrana
Subtotal
Formato do Exame
Peso
(%)
Nmero
de questes
2.5
2.5
10
15
15
30
12
2 Ameaas e riscos
Ameaas e riscos
2.1
2.2
Tipo de exame
mltipla escolha
Nmero de questes
40
Subtotal
Durao do exame
60 minutos
65%
Caractersticas
Entendimento
Entendimento
3 Abordagem e organizao
Literatura: O material do aluno cobre todos os requisitos do exame, inclusive com questoes ao final de cada captulo e respostas comentadas
no apndice A.
3.1
Lembrana
2.5
Componentes
3.2
2.5
Gerenciamento de incidentes
3.3
Lembrana
Entendimento
10
10
10
10
10
40
16
10
10
100
40
Subtotal
4 Medidas
Importncia de medidas
4.1
Medidas fsicas
4.2
Medidas tcnicas
4.3
Medidas organizacionais
4.4
Entendimento
Lembrana
Lembrana
Lembrana
Subtotal
5 Legislao e regulamentao
Legislao e regulamentao
Subtotal
Total
15
16
5.1
Entendimento
Conforme visto anteriormente, devido sua natureza abstrata, as informaes precisam de uma mdia para serem transmitidos e armazenados, essas
mdias no entanto precisam de um cuidado especial quanto a seu manuseio,
armazenamento, transporte e descarte. O critrio utilizado varia de acordo
com a classificao da informao que armazenam
As boas prticas recomendam que, ao se classificar uma informao se especifique o tempo e as condies do armazenamento considerando sempre que
quanto maior a sensibilidade de uma informao, mais rgidos devem ser os
controles de prazo e condies de guarda.
importante destacar que as informaes podem ser reclassificadas a qualquer tempo, o que pode ocasionar uma reviso do prazo e das condies de
armazenamento das mesmas.
17
18
Quando uma informao no mais necessria, necessrio estabelecer procedimentos na Poltica de Segurana da organizao para o seu descarte, avaliando se a mdia utilizada para guardar aqueda informao, assim como as
que receberam suas cpias, pode ser sanitizada para receber novas informaes (ex: HD, Fita, Carto de Memria, DVD-RW), ou deve ser descartada
(Ex: papel, fita no final da vida til, DVD-ROM).
Por ltimo temos a tecnologia, que fornece ferramentas para forar com
que as polticas sejam seguidas monitorar o uso dos recursos de informao, e alertar de diversas formas quanto a incidente e desvios no cumpri-
mento da poltica.
19
20
samento da informao e da informao da organizao, que so acessados, processados, comunicados ou gerenciados por partes externas
Gesto de ativos
Responsabilidade sobre os ativos - Objetivo: Alcanar e manter a pro-
relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da infor-
mao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano.
21
22
processamento da informao
zao.
Controle de acesso
Gerenciamento das Operaes e Comunicaes`
acesso informao
Procedimentos e responsabilidades operacionais - Objetivo: Garantir a
formao.
zados
24
moto
o
Requisitos de segurana de sistemas de informao Objetivo: Garan-
es em aplicaes.
for o caso.
Conformidade
cos
Segurana dos arquivos do sistema Objetivo: Garantir a segurana de
arquivos de sistema
o.
sistemas de informao.
26
Segundo a matria, a Boeing diz que est ciente do risco e est trabalhando
Segundo um relatrio da agncia americana FAA (Federal Aviation Administration), o novo jato tem uma vulnerabilidade sria de segurana na arquitetura de suas redes internas de computadores, que pode permitir que passageiros acessem os sistemas de controle do avio a partir da rede criada para
prover acesso internet durante o voo. De acordo com o relatrio, a rede destinada aos passageiros est conectada com as redes dos sistemas de controles
de voo, de navegao, comunicao e a rede administrativa da compania area (responsvel por sistemas administrativos e de manuteno da equipe de
terra). No atual design, a conexo fsica entre estas redes, anteriormente isoladas, faz com que todo o sistema seja mais facilmente vulnervel a hackers.
27
28
TI e a alta gesto.
Os objetivos de negcio que forem definidos pela alta direo geram requisi-
tos para os objetivos de TI. Uma vez implementados, esses controles geram
da organizao
O Gerenciamento de TI encontra-se em uma esfera mais operacional, e representa o sistema de controles e processos necessrio para alcanar os objetivos estratgicos estabelecidos pela direo da organizao. O gerenciamento est sujeito s diretrizes, s polticas e ao monitoramento estabelecidos pela governana corporativa
A alta gesto responsvel por passar o direcionamento e recursos necessrios para a rea de TI, que servem como entrada nos objetivos de controle, e
a governana de TI devolve informaes importantes para que os executivos
e o conselho possa exercer suas funes.
29
30
Mensurao de desempenho: acompanha e monitora a implementao da estratgia, trmino do projeto, uso dos recursos, processo de performance e en
Segundo o CobiT (Control Objectives for Information and related Techno-
-trega dos servios, usando, por exemplo, balanced scorecards que tradu-
zem as estratgia em aes para atingir os objetivos, medidos atravs de processos contbeis convencionais Existe um importante fluxo de informaes
entre os objetivos de controle de TI e a alta gesto.
31
32
O BSC mede o desempenho da organizao sob a ptica de quatro perspectivas que assim se inter-relacionam:
Resultados financeiros,
Satisfao do cliente,
Processos internos do negcio e
Aprendizado e crescimento.
A melhoria do aprendizado e crescimento dos empregados resulta em melhoria dos processos internos do negcio, os quais criam melhores produtos
e servios e, consequentemente, maior satisfao do cliente e maior participao no mercado, conduzindo a melhores resultados financeiros para a organizao.
O Balanced ScoreCard (BSC) uma metodologia que estabelece um sistema de medio de desempenho das organizaes. Foi proposto por Kaplan
e Norton em 1992 ao nvel empresarial.
33
34
As quatro perspectivas do Balanced Scorecard esto contempladas em objeCada objetivo de negcio (Business Goal) aponta para um ou mais objetivos
de TI, conforme indicado na tabela acima, e descrito a seguir:
Perspectiva Financeira
35
36
Perspectiva do Cliente
Perspectiva Interna
1 - Responder aos requerimentos de negcios de maneira alinhada com a estratgia de negcios. (PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1)
2 - Responder aos requerimentos de governana em linha com a Alta Direo. (PO1 PO4 PO10 ME1 ME4)
3 - Assegurar a satisfao dos usurios finais com a oferta e nveis de servios. (PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13)
4 - Otimizar o uso da informao. (PO2 DS11)
Perspectiva de Aprendizagem
6 - Definir como funes de negcios e requerimentos de controles so convertidos em solues automatizadas efetivas e eficientes. (AI1 AI2 AI6)
38
Duas dezenas de oficiais da Fora Area Brasileira (FAB) estiveram envolvidos em uma misso sigilosa no meio da selva amaznica, no Par, 30 anos
atrs. Denominada Operao Prato, ela a mais impressionante investigao
de vnis (objetos voadores no identificados) realizada pela Aeronutica
que se conhece. uma espcie de caso Roswell brasileiro, com misses secretas, histrias e fenmenos sem explicao. Enquanto em Roswell, marco
39
40
veriam ser pblicas, mas na prtica no o que ocorre. "No se quebra uma
para a opera-o, que ocorreu nos quatro ltimos meses de 1977, afirmam
a privacidade das pessoas, induzem pnico populao ou colocam a segurana do Pas em risco", defende o brigadeiro Jos Carlos Pereira, ex-
slia. Desde o ano passado, esto vindo a pblico documentos, alguns guardados h mais de 50 anos. Todos os arquivos secretos de UFO esto sob
relatos dos anos 50 e 60. O ltimo, aberto em maio e do qual faz parte a
42
Hoje, a pessoa que quiser relatar a apario de um vni dificilmente encontrar eco na FAB. "A Aeronutica no dispe de estrutura especializada para realizar investigaes cientficas", informou a FAB ISTO. Porm, durante o funcionamento do Sioani, no IV Comar, toda testemunha era submetida a
43
44
Uma ameaa pode ser definida de diversas formas, dentre elas selecionamos
1)
2)
chance de se perder todo o dinheiro (risco negativo alto), mas existe a possi-
As ameaas so latentes, e dependem de uma ao externa para que se concretizem. O Agente de ameaa um elemento que atravs de uma ao prpria capaz de concretizar uma ameaa.
Uma invaso uma ameaa latente, por outro lado um cracker pode ser o
fortuna para um sortudo que ousou apostar uma fortuna (risco positivo),
46
Um rootkit um pacote de programas maliciosos, que substituem o arquivos binrios (programas compilados) por um kit de programas que mantm
uma porta aberta sem que verdadeiro root (administrador do unix) perceba.
privilgios do root (ou do usurio do servio que ele tenha utilizado, para
realizar absolutamente qualquer ao dentro do computador, inclusive,
47
48
essa porta aberta. Esse tipo de Malware tambm recebe o nome de rootkit
no Windows
nismo anti-cpia.
Os rootkits so extremamente difceis de serem detectados, e infectam o
sistema sem que o usurio perceba nada. difcil garantir a completa re-
sistema.
Porta de Manuteno / Backdoor so uma possvel fonte de vazamento de
nais que dos quais os usurios ignoram a existncia. Estes canais so cha-
contra cpias junto com seus CDs que secretamente instalava um rootkit nos computadores. Essa ferramenta executada sem o conhecimen-
e um hacker pode obter e manter acesso ao seu sistema sem que voc
saiba.
So considerados Backdoors os programas ou partes de cdigos escondidos em outros programas, que permitem que um invasor entre ou retorne a
um computador comprometido por uma porta dos fundos, sem ter que
es sobre voc para a Sony. E ele no pode ser removido; tentar livrar-
50
A histria foi acolhida por outros blogs (inclusive o meu), e logo depois
pela mdia de informtica. Finalmente os grandes meios de comunicao
trouxeram isso tona.
uma histria sobre extrema arrogncia. A Sony distribuiu seu incrivelmente invasivo esquema de proteo contra cpia sem sequer discutir
publicamente seus detalhes, confiando que os benefcios justificariam a
modificao nos computadores de seus clientes. Quando essa ao foi
inicialmente descoberta, a Sony ofereceu um fixque no removia o rootkit, apenas a camuflagem.
um pico de aes judiciais coletivas na Califrnia e em outros lugares, e o foco das investigaes criminais. O rootkit teria sido encontrado
em computadores executados pelo Departamento de Defesa, para desgosto do Departamento de Segurana Interna de. Enquanto a Sony poderia ser processada sob a legislao de cybercrime dos EUA, ningum
acha que vai ser. E aes nunca so toda a histria.
maior paste das pessoas nem sequer sabem o que um rootkit, ento
52
compra CDs com suas msicas, voc pode confiar nela para lhe vender
o tipo de coisa que voc est pagando essas empresas para detectar,
- no a verdadeira histria.
Mas muito pior do que no detect-lo antes da descoberta Russinovich
ainda outra situao onde os usurios do Macintosh podem assistir,
no a histria real.
A McAfee no adicionou um cdigo de deteco de at 09 de novembro,
A histria de prestar ateno aqui o conluio entre grandes empresas
no mundo esto infectadas com este rootkit da Sony. So nmeros surpreendentes de infeco, tornando esta uma das epidemias mais graves
da Internet de todos os tempos, no mesmo nvel de worms como Blaster,
do que "este rootkit foi projetado para esconder uma aplicao legtima,
mas pode ser usado para esconder outros objetos, incluindo software
malicioso".
54
A nica coisa que torna este rootkit legtimo o fato de uma empresa
multinacional coloc-lo no seu computador, e no uma organizao criminosa.
Voc poderia esperar que a Microsoft fosse a primeira empresa a condenar este rootkit. Afinal, o XCP corrompe o interior do Windows "de uma
Segurana ruim acontece. Isso sempre foi e sempre ser. E as empresas fazem coisas estpidas, sempre fizeram e sempre faro. Mas a razo que ns compramos produtos de segurana da Symantec, McAfee e
outros, para nos proteger de segurana ruim.
55
56
57
58
60
Os controles de segurana da informao devem ter uma origem bem justificada, e sofrer uma reviso peridica para analisar sua aderncia e eficincia.
A principal origem de controles se d nas regulamentaes. As organizaes
precisam atender s regulamentaes da rea em que esto inseridas, e para
isso precisam ter em sua poltica de segurana controles que enderecem es-
62
As cpias de segurana fundamentais para se manter a integridade e disponibilidade da informao. A politica de Backup deve levar em considerao
os seguintes aspectos:
produo de registros completos e exatos das cpias e documentao
Controles de entrada fsica: visam assegurar que somente pessoAs mdias de armazenamento devem ser definidas de acordo com o tempo de
reteno dos dados para que a informao no se deteriore antes do tempo
previsto.
63
64
funcionrio.
66
As autoridades certificadoras (ACs) agem como cartrios digitais, recolhendo, atravs de suas ARs (autoridades de registro) a documentao das
entidades para as quais os certificados sero emitidos, e criando um certificado digital que associa a entidade a um par de chaves.
As ACs emitem os certificados digitais a partir de uma poltica estabelecida, assim como alguns rgos emitem carteira de identidade, carteira de
motorista, reconhecimento de firma, etc. Elas possuem uma cadeia de certificao que garantem a identidade da entidade, atravs de uma rgida poltica de segurana, e por isso so consideradas um terceiro confivel.
67
68
Aps o lanamento de um software, uma vulnerabilidade no detectada nas fases de teste permanece latente at que algum pesquisador
(esse sim, geralmente um Hacker) contratado pelo prprio fabricante,
por terceiros ou independente a encontre.
70
Outra possibilidade a que ele no venha a public-la, e sim a disponibiliz-la para um criador de vrus que utilizam se de zero-days, ou
seja, explorao de vulnerabilidades zero ou menos dias antes da publicao da correo.
Uma vez que a correo publicada inicia-se o perodo de homologa-
po valioso em seu processo de homologao, que apesar de importante deve ser tratado com prioridade para que essa no fique exposta a
71
72
tadas em 14 horas
SQL Slammer (2003): B.O. no MS-SQL server: 75,000 mquinas infec-
73
74
Microsoft revirou o cdigo do Windows e descobriu diversas vulnerabilidades como esta, e medida em que as foi corrigindo foi distribuindo
atualizaes de segurana para os usurios, que na poca, Setembro de
2003, no tinham a cultura de aplicar as correes de segurana, e no
contavam com um programa de atualizao automtica do sistema.
75
76
A partir da dcada de 80, alguns organismos internacionais comearam a desenvolver padres de certificao para testar as aplicaes em homologao
pelo governo de seus respectivos pases.
Durante um perodo de cinco anos, entre 1993 e 1998, esses organismos uniram-se para criar um padro de certificao que facilitasse o trabalho e diminusse o custo dos fabricantes de software, antes obrigados a pagar por diferentes tipos de certificao, um para cada pas ou regio.
77
78
Trata-se de um dos princpios mais conhecidos e mais importantes da segurana da informao, e prega a diviso de tarefas e permisses na organizao, no concentrando o conhecimento em apenas uma pessoa e reduzindo o risco de fraudes, uma vez que seriam necessrios dois ou mais colaboradores trabalhando em conluio (ato de cooperao entre partes que cometem um ato ilcito) para que essa se consumasse.
A Segregao de funes complementar aos conceitos de need-to-know e
privilgio mnimo, que pregam que os colaboradores somente precisam
conhecer o suficiente para desempenhar suas tarefas, e que no necessitam
de mais permisses no sistema do que o necessrio para executar essas tarefas.
79
80
De acordo com a classificao da informao que est sendo protegida podemos utilizar uma combinao de mais de um fator de autenticao, tornando
o acesso muito mais seguro., com dois ou trs fatores
3 Fatores: Senha + Crach + Biometria
2 Fatores: Crach + Biometria, Senha + Cracha, Senha + Biometria
A maioria de ns j utilizou algum tipo de autenticao com dois fatores, alguns exemplos so:
Senha + Carto de Senhas (Bancos)
Senha + Token (Bancos, VPN)
Senha + SmartCard (VPN)
81
82
Anexo A
Exerccios com Respostas Comentadas
estatutos;
regulamentaes;
obrigaes contratuais;
O Fator chave para manter-se em conformidade identificar a legislao vigente, assim como as regulamentaes s quais nossa organizao est subordinada.
83
84
C. incorreto. A indispensabilidade dos dados para os processos de negcios, em parte, determina o valor.
D. incorreto. Dados crticos para os processos de negcio importantes, portanto, valiosos.
3 de 40 Nosso acesso informao cada vez mais fcil. Ainda assim, a
informao tem de ser confivel, a fim de ser utilizvel. O que no um
aspecto de confiabilidade da informao?
A. Disponibilidade
B. Integridade
C. Quantidade
D. Confidencialidade
A. incorreto. A disponibilidade um aspecto de confiabilidade da informao
B. incorreto. A integridade um aspecto de confiabilidade da informao
C. correto. Quantidade no um aspecto de confiabilidade das informaes.
D. incorreto. A confidencialidade um aspecto de confiabilidade da informao
4 de 40 "Completeza" faz parte de qual aspecto de confiabilidade da informao?
A. Disponibilidade
B. Exclusividade
C. Integridade
D. Confidencialidade
A. incorreto. As informaes podem estar disponveis sem ter que ser completas
B. incorreto. A exclusividade uma caracterstica de sigilo.
C. correto. Completeza faz parte da Integridade, que parte do aspecto de
confiabilidade.
86
A. Dependncia
B. Ameaa
C. Vulnerabilidade
D. Risco
A. incorreto. A dependncia no um evento.
B. correto. A ameaa um evento possvel que pode ter um efeito perturbador sobre a confiabilidade da informao.
C. incorreto. A vulnerabilidade o grau em que um objeto est suscetvel a
uma ameaa.
D. incorreto. Um risco o prejuzo mdio esperado durante um perodo de
tempo como resultado de uma ou mais ameaas levando ruptura
6 de 40 Qual o propsito do gerenciamento de risco?
A. Determinar a probabilidade de que um certo risco ocorrera.
B. Determinar os danos causados por possveis incidentes de segurana.
C. Delinear as ameaas a que esto expostos os recursos de TI.
D. Utilizar medidas para reduzir os riscos para um nvel aceitvel.
A. incorreto. Isso faz parte da anlise de risco.
B. incorreto. Isso faz parte da anlise de risco.
C. incorreto. Isso faz parte da anlise de risco.
D. correto. O objetivo do gerenciamento de risco o de reduzir os riscos para um nvel aceitvel.
87
A. correto. Nem todos os riscos so iguais. Como regra os maiores riscos so abordados em primeiro lugar.
B. incorreto. impossvel em uma anlise de risco examinar todos os detalhes.
C. incorreto. A anlise de risco considera todos os aspectos de confiabilidade, incluindo a integridade e confidencialidade, juntamente com a disponibilidade.
D. incorreto. Em uma anlise de riscos, questes raramente so aplicveis a
cada situao.
8 de 40 - Qual dos exemplos abaixo pode ser classificado como fraude?
1. Infectar um computador com um vrus.
2. Realizao de uma operao no autorizada.
3. Divulgao de linhas de comunicao e redes.
4. Utilizao da Internet no trabalho para fins privados.
A. 1
B. 2
C. 3
D. 4
88
10 de 40 - A fim de reduzir os riscos, uma empresa decide optar por uma estratgia de um conjunto de medidas. Uma das medidas que um acordo
stand-by organizado para a empresa. A que tipo de medidas um acordo
stand-by pertence?
A. Medidas corretivas
B. Medidas detetivas
C. Medidas preventivas
D. Medidas repressivas
89
90
A. Um cabo solto
B. Excluso acidental de dados
C. Utilizao privada de dados
D. Falsificao de dados
A. Disponibilidade
B. Exatido
C. Integridade
D. Confidencialidade
91
92
A. Confiabilidade
B. Registro
C. Confidencialidade e privacidade
93
94
A. 1
B. 2
C. 3
D. 4
21 de 40 - As medidas de segurana podem ser agrupadas de vrias maneiras. Qual das seguintes correta?
23 de 40 - Security Officer (ISO-Information Security Officer)), da companhia de seguros Euregio deseja ter uma lista de medidas de segurana em
conjunto. O que ele tem que fazer primeiramente antes de selecionar as medidas de segurana a serem implementadas?
95
A. Implantar o monitoramento.
B. Realizar uma avaliao.
C. Formular uma poltica de segurana da informao.
D. Realizar uma anlise de risco.
A. incorreto. O monitoramento uma medida possvel.
B. incorreto. A avaliao acontece depois que a lista de medidas montada.
C. incorreto. Uma poltica de segurana da informao importante, mas
no necessria a fim de selecionar medidas.
D. correto. Antes das medidas de segurana serem selecionadas, Euregio
deve conhecer os seus riscos para determinar quais os riscos requerem
uma medida de segurana.
96
30 de 40 - As cpias de segurana As cpias de segurana (backup) As cpias de segurana (backup) do servidor central so mantidas na mesma sala
fechada com o servidor. Que risco a organizao encara?
A. Se a falha no servidor, ele vai levar um longo tempo antes que o servidor
est novamente operacional.
B. Em caso de incndio, impossvel obter o sistema de volta ao seu estado
anterior.
C. Ningum responsvel pelos backups.
D. Pessoas no autorizadas tenham acesso fcil para os backups.
A. correto. Se os arquivos permanecem na memria podem ser impressos e levados por qualquer transeunte.
B. incorreto. No possvel usar uma impressora para copiar as informaes da rede.
C. incorreto. A indisponibilidade de uma impressora no forma um risco
para a informao da companhia.
29 de 40 - Qual das seguintes medidas de segurana uma medida tcnica?
A. Atribuio de Informaes a um dono
B. Criptografia de arquivos
C. Criao de uma poltica de definio do que e no permitido no email
D. Senhas do sistema de gesto armazenadas em um cofre
A. incorreto. Alocao de informaes para um proprietrio a classificao, que uma medida de organizao.
B. correto. Esta uma medida tcnica que impede que pessoas no autorizadas leiam as informaes.
C. incorreto. Esta uma medida de organizao, um cdigo de conduta que
est escrito no contrato de trabalho.
D. incorreto. Esta uma medida de organizao.
99
A. incorreto. Criptografia torna a informao impossvel de ser lida por qualquer pessoa, exceto aquela que possuem conhecimento especial, usualmente
feito por uma chave
B. incorreto. Hash um mtodo de criptografia da informao
C. incorreto. VPN uma conexo segura feita para acesso internet
D. correto. Todas essas so formas de tecnologias maliciosas que estabelecem
pedidos a um computador para fins maliciosos.
100
104
A lista apresenta o nome traduzido, o original utilizado nas provas e literatura em Ingls do Exin e o tpico na apostila onde encontrar o assunto.
Anexo B
Lista de conceitos bsico do Exin
105
Termo em Portugus
Termo em Ingls
Tpico
Ameaa
Threat
3.1
Anlise da Informao
Information Analysis
1.1
Anlise de Risco
Risk analysis
3.3
3.3
3.3
Arquitetura da Informao
Information architecture
1.1
Assinatura Digital
Digital signature
5.3
Ativo
Asset
1.2
Auditoria
Audit
5.7, 6.2
Autenticao
Authentication
5.7
Autenticidade
Authenticity
1.3
Autorizao
Authorization
5.7
Avaliao de Riscos
Risk assessment
3.3
Backup
5.3
Biometria
Biometrics
5.3
Botnet
Botnet
3.2
Categoria
Category
5.1
Cavalo de Troia
Trojan
3.2
Certificado Digital
Certificate
5.3
Chave
Key
5.3
Ciclo de Incidentes
Incident cycle
4.3
Classificao
Classification (grading)
2.3
1.1
106
Termo em Portugus
Termo em Ingls
Tpico
Termo em Portugus
Termo em Ingls
Tpico
Cdigo de conduta
Code of conduct
4.2
Malware
3.2
5.2
Completeza (Totalidade)
Completeness
1.2
Gerenciamento da Continuidade de
Negcios (GCN)
5.8
Reliability of information
1.2
Gerenciamento da Informao
Information management
1.1
Confidencialidade
Confidentiality
1.3
5.7
Conformidade
Compliance
Gerenciamento de Mudana
Change Management
4.3
Continuidade
Continuity
1.3
Access control
5.7
Gerenciamento de riscos
Risk management
3.3
Controle de Acesso
Corrective
5.1
Hacking
Hacking
3.2
Corretiva
Criptografia
Cryptography
5.3
Hoax
Hoax
3.2
Dados
Data
1.1
Identificao
Identification
1.
Danos
Danos diretos
Danos indiretos
Damage
Direct damage
Indirect damage
3.3
Impacto
Impact
4.1
Incidente de Segurana
Security incident
4.3
Desastre
Disaster
5.8
Informao
Information
1.1
Detectiva
Detective
5.1
Infraestrutura
Infrastructure
1.1
Disponibilidade
Availability
1.3
5.3
Encriptar
Encryption
5.3
Integridade
Integrity
1.2
Engenharia Social
Social engineering
3.2
Escalation
Functional escalation
Hierarchical escalation
4.3
Interferncia
Interference
Escalao
Escalao funcional
Escalao hierrquica
ISO/IEC 27001:2005
1.1
ISO/IEC 27002:2005
1.1
Estratgia de Risco
Evitar riscos
Risk strategy
Risk avoiding
3.3
Copyright legislation
6.1
Exatido
Correctness
1.3
Exclusividade
Exclusivity
1.3
Fator de produo
Production factor
1.2
Firewall pessoal
Personal firewall
5.3
107
6.1
6.1
108
Termo em Portugus
Termo em Ingls
Tpico
Termo em Portugus
Termo em Ingls
Tpico
Medida de segurana
Security measure
Robustez
Robustness
1.3
No-repdio
Non-repudiation
1.3
Rootkit
Rootkit
3.2
Organizao de Segurana
Security Organization
4.2
Segregao de funes
Segregation of duties
5.6
Patch
Patch
5.4
Sistema de Informao
Information system
1.1
Phishing
Phishing
3.2
Spam
Spam
3.2
5.8
Software Espio
Spyware
3.2
5.8
Stand-by Arrangement
Stand-by arrangement
5.8
Mdia de armazenamento
Storage medium
1.1
5.2
Urgncia
Urgency
4.1
Privacidade
Privacy
1.3
Validade
Validation
1.2
Poltica de Segurana
Security Policy
4.1
Verificao
Verification
6.2
Porta de Manuteno
Maintenance door
3.2
Vrus
Virus
3.2
Preciso
Precision
1.3
Vulnerabilidade
Vulnerability
3.1
Preventiva
Preventive
5.1
Priority
4.1
Verme
Worm
3.2
Prioridade
Prontido
Timeliness
1.3
Redutiva
Reductive
5.1
Reduzir riscos
Risk Reduce
3.3
Regulamenta1o de segurana
para informaes especiais p/ o
governo
Regulamentao de Segurana
para o governo
6.1
Repressiva
Repressive
5.1
Reter risco
Risk bearing
3.3
Risco
Risk
3
109
110
Anexo C
Referncias Bibliogrficas
111
112
Anexo D
Sites Recomendados
113
114
115
116