Anderson Arruda

Lista de Exercícios 6

1) a) As ameaças podem originar-se de fatores técnicos, organizacionais e ambientais, agravados por decisões
administrativas equivocadas. No ambiente de computação cliente/servidor multicamadas ilustrado, existem
vulnerabilidades em cada camada e nas comunicações entre camadas. Os usuários da camada cliente podem causar
danos ao introduzir erros ou ao acessar sistemas sem autorização. É possível acessar os dados enquanto vagam pela
rede, roubar dados valiosos durante a transmissão ou alterar mensagens sem autorização. A radiação também pode
interromper a rede em vários pontos. Intrusos podem deflagrar ataques de recusa de serviço ou inserir softwares
mal-intencionados para interromper a operação de sites. Além disso, quedas de energia, enchentes, incêndios ou
outros desastres naturais podem prejudicar sistemas de computador.

b) Malware – são programas de software mal-intencionados que incluem uma variedade de ameaças, tais
como vírus de computador, worms e cavalos de Tróia. Os vírus de computador é um programa de software
espúrio que se anexa a outros programas de software ou arquivos de dados a fim de ser executados,
geralmente sem conhecimento e permissão do usuário. Os worms são programas de computador
independentes que copiam a si mesmos de um computador para outro por meio de uma rede.
Diferentemente dos vírus, eles podem funcionar sozinhos, sem se anexar a outros arquivos de programas,
e dependem menos do comportamento humano para si disseminar. Os Worms, se espalham muito mais
rapidamente que os vírus. O cavalo de Tróia é um software que parece benigno, mas depois faz diferente
do esperado. O cavalo de Tróia não é um vírus, porque não se replica, mas em geral é uma porta de
entrada para diversos vírus.

c) Hacker é um indivíduo que pretende obter acesso não autorizado a um sistema de computador. Os
Hacker obtém acesso não autorizado após encontrar fragilidades nas medidas de segurança empregadas
pelos sites e sistemas de computador, muitas vezes tirando proveito das várias características de internet
que a tornam um sistema aberto e fácil de usar.

d) De acordo com o Depto de justiça dos Estados Unidos, o conceito de crime de informática é definido
como quaisquer violações da legislação criminal que envolvem conhecimento de tecnologia da informática
em sua perpetração, investigação ou instauração de processo.

Computadores como alvo de crimes: violar a confidencialidade de dados computadorizados protegidos,

acessar um sistema de computador sem autorização.

Computadores usados como instrumento de crime: Roubo de segredos comerciais, esquemas para
defraudação.

e) Phising – envolve montar sites falsos ou enviar mensagens de e-mail parecidas com as enviadas por
empresas legítimas, a fim de pedir aos usuários dados pessoais confidenciais. Roubo de identidade – é um
crime em que um impostor obtém informações pessoais importantes, como número de identificação da
Previdência Social, número da carteira de motorista ou número do cartão de crédito para se passar por
outra pessoa. A informações podem ser usadas para obter crédito, mercadorias ou serviços em nome da
vítima, ou para dar falsas credenciais ao ladrão.

f) Eles tem acesso a informações privilegiadas e, na presença de procedimentos de segurança interno

frouxos, muitas vezes podem perambular por todos os sistemas da organização sem deixar vestígios.
Muitos funcionários esquecem a senha para acessar sistema de computadores ou permitem que colegas a
utilizem, o que compromete o sistema todo.

g) Os defeitos de software causam perdas incalculáveis na produtividade e, às vezes, colocando em risco as

pessoas que utilizam ou depende dos sistemas. A crescente complexidade e o tamanho de programa de
software têm contribuído para o aumento de falhas ou vulnerabilidades de software. Um problema sério
com o software é a presença de bugs escondidos ou defeitos do código do programa.

2) a) Considerando que as empresas têm ativos de informação valiosíssimos a proteger. Sistemas muitas
vezes abrigam informações confidenciais sobre impostos, ativos financeiros, registros médicos e
desempenho profissional das pessoas. Eles também podem conter informações sobre operações
corporativas, incluindo segredos de negócio, planos de desenvolvimento de novos produtos e estratégias
de marketing. Sistemas governamentais podem armazenar informações sobre armamentos, operações de
inteligência e alvo militares. Esses ativos de informação tem um valor incalculável e a repercussão pode ser
devastadora se forem perdidos, destruídos ou colocados em mãos erradas.

b) Controle e segurança inadequados podem criar sérios riscos legais. As empresas precisam proteger não
apenas seus próprios ativos de informação, mas também os de clientes funcionários e parceiros de
negócios, caso contrário podem ter de gastar muito em um litígio por exposição ou uso de dados. Uma
sólida estrutura de controle e segurança que proteja os ativos de informação da empresa pode, portanto,
gerar um alto retorno sobre o investimento e, além disso, estando fortalecida aumenta a produtividade do
empregado e diminuem os custos operacionais.
As recentes exigências regulatórias do governo, têm forçado as empresas a levar a segurança e o controle
mais a sério, pois exigem a proteção dos dados contra uso indevido, exposição e acesso não autorizado.
Com isso, as empresas enfrentam novas obrigações legais no que diz respeito a retenção de documentos e
à gestão de registros eletrônicos, bem como à proteção da privacidade.
A perícia forense computacional, é o procedimento científico de coleta, exame, autenticação, preservação
e análise de dados mantidos em ou recuperados por meios de armazenamento digital, de tal maneira que
as informações possam ser usadas como prova em juízo. Ela lida com os seguintes problemas:
- recuperar dados de computadores sem prejudicar seu valor probatório;
- armazenar e administrar com segurança os dados eletrônicos recuperados;
- encontrar informações significativas em um grande volume de dados eletrônicos;
- apresentar as informações em juízo.

3) a) Controles gerais controlam projeto, segurança e uso de programas de computadores, além da

segurança de arquivos de dados em toda a infraestrutura da TI da empresa. Em suma, os controle gerais se
aplicam a todas as aplicações computadorizadas e consistem de uma combinação de hardware, software w
procedimentos manuais que criam um ambiente global de controle.
Controle de software – Monitoram o uso de sistemas de software e previnem o acesso não autorizado a
programas de software, sistemas de software e programas de computador.
Controle de hardware – Garantem que o hardware do computador esteja fisicamente seguro e verificam o
mau funcionamento do equipamento.
Controles de operações de computador – Superviosionam o trabalho do depto de informática para
garantir que os procedimentos programados sejam consistentes e corretamente aplicados ao
processamento e armazenamento de dados.
Controles de segurança de dados – garantem que os valiosos arquivos de dados do sistema, gravados em
disco ou fita, não estejam sujeitos a acesso não autorizado, a modificações ou a destruição enquanto estão
em uso ou armazenados.
Controles de implementação – Auditam o processo de desenvolvimento de sistemas em diversos pontos
para garantir que ele seja devidamente controlado e gerenciado.
Controle administrativos – Formalizam padrões, regras, procedimentos e controlam disciplinas de modo a
garantir que os controles gerais e de aplicação da empresa sejam propriamente executados e cumpridos.

b) Controles de aplicação - Incluem procedimentos automatizados (ou manuais) para assegurar que
somente dados autorizados sejam processados pela aplicação.
Controles de entrada - Verificam a precisão e integridade dos dados que entram no sistema (controles de
entrada, tratamento de erros, etc).
Controles de processamento - Determinam se os dados estão completos e precisos durante a atualização.
Controles de saída - Garantem que os resultados do processamento sejam precisos, completos e
corretamente distribuídos.

c) Uma avaliação de risco determina o nível de risco para a empresa caso uma atividade ou um processo
específico não sejam controlados adequadamente. Os administradores da empresa, em cooperação com
os especialistas em SI, podem determinar o valor dos ativos de informação, os pontos de vulnerabilidade, a
frequência provável de um problema e seu prejuízo potencial. Por exemplo: se a probabilidade de um
evento ocorrer não for maior que uma vez por ano, com um limite máximo de mil dólares de prejuízo para
organização, não seria viável gastar US$ 20 mil no projeto e na manutenção de um controle para evitar
esse evento. Entretanto, se esse mesmo evento pudesse ocorrer, no mínimo, uma vez por dia, com um
prejuízo potencial de mais de US$ 300 mil por ano, gastar US$ 100 mil em um controle seria totalmente
apropriado.

d) Política de segurança é uma declaração que estabelece hierarquia aos riscos de informação e identifica
metas de segurança aceitáveis, assim como os mecanismos para atingi-las. Uma política de uso aceitável,
define os usos aceitáveis dos recursos de informação e do equipamento de informática da empresa,
incluindo computadores de mesa e laptops, dispositivos sem fio, telefones e internet. A política deve
deixar clara a posição da empresa no que diz respeito a privacidade, a responsabilidade do usuário e ao
uso pessoal do equipamento de informática e das redes. A gestão de identidade ou política de
autorização consiste em processos de negócios e ferramentas de software para identificar os usuários
válidos de um sistema e controlar o seu acesso aos recursos do sistema.

e) Auditoria de sistema de informação – avalia o sistema geral de segurança da empresa e identifica todos
os controles que governam sistemas individuais de informação. O auditor deve monitorar o fluxo de uma
amostra de transações por meio do sistema e, caso necessário, realizar testes usando software de
auditoria automatizada. A auditoria de sistemas também pode avaliar a qualidade dos dados.

4) a) Senhas - conhecidas apenas por usuários autorizados. O usuário final usa uma senha para efetuar o
login ao sistema de computador e também pode usar senhas para acessar sistemas ou arquivos
específicos. Token - É um dispositivo físico, parecido com um cartão de identificação, projetado para
provar a identidade do usuário e que exibem senhas que mudam a toda hora. Smart card – é um
dispositivo com tamanho aproximado de um cartão de crédito, que contém um chip formatado com a
permissão de acesso e outros dados. Usados também em sistemas de pagamento eletrônico, após
interpretar os dados do Smart Car, o dispositivo permite ou nega acesso.

b) Firewalls é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de
um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de
transmissão ou recepção de dados podem ser executadas. "Parede de fogo", a tradução literal do nome, já
deixa claro que o firewall se enquadra em uma espécie de barreira de defesa. A sua missão, por assim
dizer, consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos bem-vindos.

Um sistema de detecção de intrusos geralmente detecta manipulações de sistemas de computadores

indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de
hackers. Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem
comprometer a segurança e a confiabilidade de um sistema. Eles incluem ataques pela rede contra
serviços vulneráveis, ataques baseados em uma estação, como aumento de privilegio, logins não
autorizados e malware.

O software antivírus, previne, detecta e remove malware, e atua na remoção de programas de software
maliciosos, como vírus e worms. São programas usados para proteger e prevenir computadores e outros
aparelhos de códigos ou vírus, a fim de dar mais segurança ao usuário.
c) Em linhas gerais, criptografia é o nome que se dá a técnicas que transformam informação inteligível em
algo que um agente externo seja incapaz de compreender. De forma mais simples, a criptografia funciona
como códigos: sem ela, um criminoso poderia interceptar a sua senha de e-mail durante o login. Com a
criptografia, caso ele intercepte seu acesso, mas não tenha a chave correta, verá apenas uma lista
desordenada e aparentemente confusa de caracteres, que não leva a lugar nenhum.A criptografia é um
método de proteção e privacidade de dados muito importante e cada vez mais presente. Do ponto de vista
prático para quem usa Internet e dispositivos que oferecem proteção criptográfica, há tipos ou termos,
que é preciso conhecer: criptografia simétrica e assimétrica (ou de ponta a ponta).

d) A autoridade certificadora (AC), verifica off-line a identidade do usuário e, em seguida passa a

informação para um servidor da AC, que gera um certificado digital criptografado contendo a identificação
do proprietário e uma cópia de sua chave pública. O certificado autentica que a chave pública pertence ao
proprietário designado. A AC disponibiliza publicamente a sua própria chave pública em meio impresso, ou
à vezes na internet.

e) A diferença entre tolerância a falhas e alta disponibilidade, é esta: Um ambiente tolerante a falhas não
possui interrupção de serviço, mas possui um custo significativamente mais alto, enquanto um ambiente
altamente disponível possui um mínimo de interrupção de serviço.

A tolerância a falhas baseia-se em hardware especializado para detectar uma falha de hardware e alternar
instantaneamente para um componente de hardware redundante, seja o componente com falha um
processador, uma placa de memória, uma fonte de alimentação, um subsistema de E/S ou um subsistema
de armazenamento. Embora essa transição seja aparentemente fácil e ofereça serviço sem interrupção,
um valor elevado é gasto para cobrir os custos de hardware e desempenho, porque os componentes
redundantes não executam processamento. Mais importante ainda, o modelo tolerante a falhas não
abrange falhas de software, que são, de longe, o motivo mais comum para períodos de inatividade.

A alta disponibilidade entende disponibilidade não como uma série de componentes físicos replicados, mas
como um conjunto de recursos compartilhados em todo o sistema que cooperam para assegurar os
serviços essenciais. A alta disponibilidade combina software com hardware padrão de mercado para
minimizar o tempo de inatividade, restaurando rapidamente os serviços essenciais quando um sistema, um
componente ou um aplicativo falha. Embora não seja instantâneo, os serviços são restaurados
rapidamente, muitas vezes em menos de um minuto.

Muitos sites estão dispostos a absorver uma pequena quantidade de tempo de inatividade com a alta
disponibilidade em vez de pagar os custos muito mais altos do fornecimento de tolerância a falhas. Além
disso, na maioria das configurações altamente disponíveis, os processadores de backup estão disponíveis
para uso durante a operação normal.

Os sistemas de alta disponibilidade são uma excelente solução para aplicativos que devem ser restaurados
rapidamente e podem resistir a uma breve interrupção caso ocorra uma falha. Alguns segmentos de
mercado possuem aplicativos que dependem tanto do tempo que não podem resistir nem mesmo a alguns
segundos de tempo de inatividade. No entanto, muitos outros segmentos de mercado podem resistir a
pequenos períodos de tempo em que o banco de dados fica indisponível. Para esses segmentos de
mercado, o PowerHA SystemMirror pode proporcionar a continuidade de serviço necessária sem
redundância total.

A recuperação de desastres e o planejamento de continuidade de negócios são processos diferentes que

ajudam as organizações a se prepararem para os mais distintos problemas, que podem incluir, desde uma
queda de energia causada por uma forte tempestade, até um incêndio que atinja a sede da empresa,
danificando computadores e servidores.
A recuperação de desastres é o processo pelo qual a empresa visa restaurar as aplicações após, como o
próprio nome sugere, um desastre. Este "desastre" pode ser algo enorme, como um terremoto ou os
ataques terroristas ao World Trade Center, ou algo de menor expressão, como um mal funcionamento de
um software causado por um vírus.

Historicamente, nós sempre olhamos o lado positivo das situações e pensamos que esses incidentes nunca
vão acontecer conosco, o que faz com que muitos executivos estejam inclinados a ignorar a necessidade
de um plano de recuperação de desastres, pois trata-se de uma situação pouco provável.

Já o planejamento de continuidade de negócios sugere uma abordagem mais abrangente, para assegurar
que a empresa continue operando e gerando receita, não só após um desastre natural (como o exemplo
que demos no início do artigo), bem como no caso de problemas menores, como a saída de um funcionário
chave, problemas de parceiros que refletem na operação ou qualquer outro desafio que as empresas
possam encarar ao longo do tempo.

Toda a empresa deve trabalhar em conjunto e fornecer os indicadores para determinar qual é o tipo de
plano necessário e quais os sistemas e unidades de negócios são os mais cruciais para o core business.
Juntos, é possível que a empresa decida quais as pessoas são responsáveis por declarar um desastre e
atenuar seus efeitos. O plano de continuidade de negócios também deve estabelecer um processo para
localizar e comunicar-se com os funcionários durante ou após um problema como esses.

f) De forma geral, podemos separar os problemas de segurança na nuvem em 3 categorias:

 Disponibilidade: ocorre quando, devido a fatores técnicos ou por ação de terceiros, o proprietário
ou os usuários autorizados a acessar determinada informação não podem fazê-lo. Basicamente
estamos falando da indisponibilidade de sistemas ou bancos de dados.
 Confidencialidade: quando ocorre uma violação das regras de acesso e compartilhamento de
determinada informação, dizemos que houve uma perda de confidencialidade. Isso pode acarretar
no acesso a determinados arquivos por pessoas não autorizadas.
 Integridade: quando ocorre a perda de confidencialidade, podemos ter outro problema que é a
perda de integridade. Isto ocorre quando um usuário não autorizado realiza alterações indevidas e
fora do controle do proprietário da informação.

g) Gerenciamento de qualidade de software assegura que o software atende aos padrões adequados.
Padrões encapsulam conhecimento de boas práticas, revisões são amplamente usadas para avaliação de
qualidade. Medição podem ser aplicadas tanto ao processo quanto ao produto de software. Métricas de
produto podem ser usadas para identificar componentes potencialmente problemáticos

5) A segurança em Sistemas de informação deve envolver não só a questão tecnológica, mas também a
questão empresarial. O motivo disso, se justifica pela necessidade e importância dos dados tecnológicos
serem usados para o desenvolvimento e crescimento da empresa, isso envolve custo, qualidade e até
mesmo o desempenho das equipes em todos os setores da empresa. Infelizmente, em algumas empresas,
não é dado importância a segurança em sistemas da informação e muitas vezes, essas acabam sendo
prejudicadas pelo ataque de hackers, violação de dados pelos próprios funcionários e até mesmo
vazamento de informações.

6) Eu inicialmente, visava a criação de processos que garantia a execução e operação por qualquer
funcionário da empresa. Com base nos pontos abaixo:

1. Análise de risco: o que de ruim pode vir a acontecer? (saída de um funcionário, desastres naturais)
2. Análise de impacto: de que forma eventuais ameaças podem impactar o negócio? (queda nas vendas,
redução da produtividade)
 3. Planejamento estratégico: se uma ameaça se apresentar, quais atitudes e ações se fariam necessárias para a
retomada das operações? (analisar a situação junto ao Conselho de diretores e acionistas e tomar as
decisões com base em decisões corporativas e forma organizada).

As aplicações dos Subplanos abaixo, também seriam realizadas:

 Plano de Contingência (Emergência): deve ser utilizado em último caso, quando todas as prevenções
tiverem falhado. Define as necessidades e ações mais imediatas.
 Plano de Administração ou Gerenciamento de Crises (PAC): define funções e responsabilidades das equipes
envolvidas com o acionamento das ações de contingência, antes durante e após a ocorrência.
 Plano de Recuperação de Desastres (PRD): determina o planejamento para que, uma vez controlada a
contingência e passada a crise, a empresa retome seus níveis originais de operação.
 Plano de Continuidade Operacional (PCO): seu objetivo é reestabelecer o funcionamento dos principais
ativos que suportam as operações de uma empresa, reduzindo o tempo de queda e os impactos provocados
por um eventual incidente. Um exemplo simples é a queda de conexão à internet.

7) Manipulação do preço: o atacante consegue mudar o preço dos artigos manipulando a URL acessada.

Mensagens não solicitadas (SPAM Snowshoe): nessa modalidade de ataque, são colocados arquivos
infectados num e-mail, direcionando o indivíduo a abrir o arquivo expondo, assim, os dados do computador.

Código malicioso: vírus, trojan horse (ou popularmente conhecido Cavalo de Tróia) e malwares são usados
para infectar o computador da vítima com o objetivo de roubar informações como senha de cartões de
crédito. Esses ataques podem usar e-mail, pen-drive, sites maliciosos ou compartilhamento de arquivos.

Negação de serviço: alguns sites de e-commerce podem sofrer com uma quantidade de requisição maior do
que está preparado para processar, afetando assim o seu funcionamento e, consequentemente, as vendas.

Roubo de informações: como muitos sites permitem que as informações do cartão de crédito possam ser
armazenadas nos bancos de dados, alguns ataques são direcionados para invadir esses sistemas e roubar os
dados de compra dos clientes.