SEGURANÇA INFORMÁTICA
GRUPO I (Verdadeiro/Falso)
A implementação e o controlo da segurança dos sistemas informáticos podem ser um objectivo
da AI. Verdadeiro
A password constitui um serviço de autenticação. Verdadeiro
Os manuais técnicos dos sistemas operativos não interessam à auditoria de segurança. Falso
Numa auditoria de segurança lógica é necessário considerar a continuidade das operações.
Verdadeiro
A uma auditoria de segurança lógica interessa saber quem pode atribuir passwords. Verdadeiro
A auditoria de segurança lógica não tem de considerar o acesso às BD do SI. Falso
Uma auditoria de segurança não tem de considerar o acesso às componentes do SI. Falso
A auditoria de segurança de uma rede serve apenas para resolver problemas inesperados. Falso
A auditoria de segurança de sistemas dedica-se somente à análise dos sistemas informáticos da
organização. F also
É conveniente que um sistema de segurança de um SI integre a definição de responsabilidade
dos utilizadores. Verdadeiro
A utilização de questionários e entrevistas não faz parte das actividades do auditor de segurança
informática. F also
Um firewall é um controlo de acesso externo que protege um LAN. Verdadeiro
A ausência de rejeição não é um serviço de segurança dos SI. Falso
Uma chave criptográfica permite autenticar a identidade de um utilizador. Verdadeiro
A autenticação de um utilizador é sempre feito utilizando uma password encriptada. Falso
A criptografia é um mecanismo de segurança embutido. Falso (é especifico)
Os controlos directivos podem ser objecto de uma auditoria de segurança. Verdadeiro
Os controlos de acessos fazem parte apenas da segurança lógica do SI. Falso (tb fazem parte da
física)
A disponibilidade de dados e de ficheiros não se integra na política de segurança dos SI. Falso
Autenticação é o momento em que um utilizador se dá a conhecer no contexto do SI. Falso
Numa autenticação forte, o emissor utiliza um criptossistema de chave pública. V erdadeiro
Com a sincronização de passwords, um utilizador acede a um só sistema com varias passwords.
Verdadeiro
É conveniente que um utilizador tenha varias passwords para obter maior nível de segurança. V
erdadeiro
Os firewalls podem permitir apenas o tráfego de correio electrónico. Verdadeiro
Finalidades, organização e equipamentos são os principais capítulos da Politica de Segurança
em Redes. Falso
Na técnica do “Cavalo de Tróia”, um utilizador não autorizado pretende ser reconhecido como
autorizado. Falso
Os SI podem incluir a análise da envolvente transaccional. Verdadeiro
O “security recovery” é um mecanismo embutido que indica níveis de sensibilidade do sistema.
Falso
“security recovery”: este mecanismo embutido intervém em acções de recuperação como
resultado da aplicação de um conjunto de regras e nas tarefas de outros mecanismos, por ex: a
gestão de eventos e gestão de funções.
O limite da humidade do ar não deve ir acima dos 50% para evitar a deterioração dos
equipamentos do SI. Verdadeiro
O treino de operação de simulação não é incluído num sistema de segurança. Falso
Um dos objectivos da criptografia é impedir a confidencialidade dos dados. Falso
O user.dat é um ficheiro de Registry que identifica o hardware. Falso
Um dos benéficos do SSO é a administração de uma politica de passwords descentralização.
Falso
A segurança das transacções pode ser objecto da auditoria de uma intranet. Verdadeiro
A análise dos riscos implica a avaliação económica do respectivo impacto. Verdadeiro
As portas de segurança são dispositivos que protegem a segurança física dos SI. Verdadeiro
Aperfeiçoar as comunicações internas é uma das fases de implementação de um Plano de
Segurança. Verdadeiro
O acesso entre 2 redes pode ser bloqueado ou filtrado por uma firewall. Verdadeiro
A assinatura digital permite comprovar a fonte dos dados numa mensagem. Verdadeiro
A auditoria de segurança lógica não considera a autenticação dos utilizadores. Falso, A primeira
defesa da aioria dos SI é a identificação de qualquer possível utilizador, a verificação e
confirmação do seu nível de acesso e de autorização e, finalmente, a autenticação da sua
identidade. Identificação é o momento em que o utilizador se dá a conhecer no contexto do SI e
a autenticação é a análise e verificação que o SI realiza relativamente a esta identificação. Deste
modo, evita-se a entrada de pessoas não autorizadas, impedindo-as, assim, de perturbarem a
estabilidade operacional do SI, a sua estrutura e de praticarem qualquer acto hostil.
O LDAP é um protocolo que suporta vários aspectos de segurança forte(autenticação,
privacidade e integridade) dos dados. Verdadeiro
O SSL é um protocolo que possibilita realizar comunicações seguras através de criptografia e
autenticação Verdadeiro
A classificação da informação é uma das medidas usadas para proteger a confidêncialidade da
informação. Verdadeiro
A educação dos utilizadores não é importante para proteger confidêncialidade da informação.
Falso
A integridade das informações e dos dados diz respeito directamente à utilização a informação
no tempo e local requeridos. Falso
A segurança da informação envolve três comunidades destintas de interesses. Verdadeiro
A segurança informática relaciona-se sobretudo com acessos não autorizados. Falso
A trilogia CIA é composta por Confidencialidade, Integridade e Autenticidade. Falso
O planeamento de segurança dos SI só interessa aos nível operacional. Falso
A assinatura digital garante a integridade dos dados numa mensagem. Verdadeiro, pode-se
definir assinatura digital como o conjunto de dados que se associam a uma unidade de dados
para protegê-los contra a falsificação, permitindo ao receptor comprovar a fonte e a integridade
dos mesmos. Esta serve para assinar o envio de um conjunto ou para verificar a sua origem, ou
seja, são importantes para identificar a entidade emissora da informação
A protecção da confidencialidade dos dados, relaciona-se com privilégios de acesso.
Verdadeiro
Nas camadas de aplicação pode-se usar ferramentas de monitorização e auditoria. Verdadeiro
A utilização de uma FW destina-se a garantir a confidencialidade dos dados. Falso
A segurança na camada física tem a considerar as diferentes tecnologias da rede. Falso
Finalidades, organização e equipamentos são os principais capítulos da politica de segurança
em redes. Falso
GRUPO II
A avaliação de riscos tem de considerar as deficiências de gestão do sistema de informação e
as consequências no seu desempenho.
O secure electronic transactions é um método seguro para realizar transacções financeiras, nas
quais o número do cartão de crédito do utilizador é enviado directamente para a companhia
que opera esse cartão.
Também periódicamente deve ser monitorizado o estado de conservação e de limpeza de
todos os equipamentos e das suas interligações.
A segurança lógica diz respeito à segurança da utilização do software, à protecção dos dados e
ao acesso autorizado dos utilizadores.
A segurança lógica baseia-se, sobretudo, na gestão das autorizações de acesso aos recursos
informáticos assentes nas autenticações dos utilizadores.
Uma correcta implementação de uma politica de segurança depende do conhecimento e da
cooperação dos utilizadores.
A segurança lógica baseia-se, sobretudo, na gestão das autorizações de acesso aos recursos
informáticos assentes nas autenticações dos utilizadores.
A segurança lógica diz respeito à segurança na utilização, do software à protecção dos dados e
ao acesso autorizado dos utilizadores
A avaliação de riscos tem de considerar as deficiências de gestão do sistema de informação e
consequências no seu desempenho
O secure electronic transactions é um método seguro para realizar transacções financeiras, nas
quais o número do cartão de crédito do utilizador é enviado directamente para a companhia que
opera esse cartão
A segurança lógica diz respeito à segurança da utilização do software, à protecção dos dados e
ao acesso autorizado dos utilizadores
Também periodicamente deve ser monitorizado o estado de conservação e de limpeza de todos
os equipamentos e das suas interligações.
A segurança lógica diz respeito à segurança da utilização do software, à protecção dos dados e
ao acesso autorizado dos utilizadores.
A avaliação de riscos tem de considerar deficiências de gestão do sistema de informação e as
consequências no seu desempenho
O Secure Electronic transactions é um método seguro para realizar transacções nas quais o
número do cartão de crédito do utilizador é enviado directamente para a companhia que opera
esse cartão.
Ao tipo de encriptação que usa duas chaves distintas dá-se o nome de sistema criptográfico
assimétrico.
A Internet Protocol Security (IPSEC) é um conjunto de protocolos que utilizam mecanismos de
identificação de modo a implementar serviços de comunicação e encriptação ao nível do IP.
Se há um desastre inesperado, é muito importante que se conheça em pormenor a causa e a
dimensão de danos a fim de tentar recuperar as perdas havidas.
A norma Data Encryption System (DES) para protecção dos dados informáticos foi
complementada pelos sistemas de chave pública.
Um Firewall (Router, microprocessadores, Firewall) deve ser capaz de controlar (controlar,
prever, capturar) o acesso a serviços (instalações, impressoras, serviços) relacionados com
servidores específicos.
Uma arquitectura protocolos (de equipamentos, protocolos, de acesso) pode usar Firewall
(Firewall, certificados x509, fibras opticas) que garantem segurança (acesso a , segurança na
,integridade na).
GRUPO III
O que é a “Key Tool”? Script em linha de comando para gerir chaves.
O que é “Criptografia de Chave Assimétrica”? Utilização de um par de chave pública e chave
privada.
O que é “Criptografia de Chave Simétrica”? Utilização de uma única chave para cifrar e
decrifrar uma mensagem.
O que é o “Policy Tool”? Script em linha de comando para atribuição de permissões a
programas.
O que é um “Key agreement”? Uma forma em que várias partes concordam numa
confidencialidade partilhada sem, no entanto, trocarem qualquer informação secreta.
O que é um “Message Digest”? Um hash fiável e único que atesta ao receptor que a mensagem
recebida é a mensagem enviada.
O que se usa para encriptar uma mensagem? Uma cifra com uma chave criptográfica.
Porque é que as APIs de criptografia são uma norma de extensão do Java 2? Para separar o
processo de criptografia do processo de geração de chaves.
Qual a função do “java.security.manager”? Inicia uma aplicação num ambiente restrito.
Qual a função de um “Certificado Digital”? Certificar um utilizador de uma assinatura digital.
GRUPO IV
Diga o que entende:
SHTTP (“Secure Hypertext Transfer Protocol”) é um protocolo de segurança que utiliza criptografia
de chave pública e serve para proteger os dados transportados pelo protocolo http entre o servidor e o
cliente e vice-versa. Como o uso do S-HTTP, os dados fornecidos pelos utilizadores através de um
formulário contido numa página web seguem de forma encriptada entre o cliente e o servidor.
SSL (“Secure Sockets Layer”) é um protocolo destinado a fornecer uma maior segurança, actuando a
nível da camada IP sockets, implementando a encriptação de dados, o processo de autenticação e a
integridade de comunicação entre o servidor IIS e uma estação-cliente. Oferece um nível de segurança
superior em relação ao S- HTTP, pois protege todas as operações feitas dentro de uma sessão entre o
servidor e a estação-cliente, e não só as que utilizam o protocolo HTTP.
PCT (“Private Communications Technology”) é um protocolo que amplia a funcionalidade de
segurança do SSL, através da utilização de uma maior complexidade da encriptação da informação de
autenticação do utilizador.
SET (“Secure Electronic Transactions”) não é exactamente um protocolo, mas um método seguro
que permite realizar com segurança transacções financeiras. O processo é feito da seguinte forma: por
exemplo, quando se efectua uma compra, ocorrer uma transacção através do SET, onde o número do
cartão de crédito do utilizador é enviado directamente para a companhia que opera esse cartão, sem que
a empresa que tenha efectuado a venda tenha disso conhecimento.
“Engenharia Social” manipulação de utilizadores para convencê-los a revelar credenciais de acesso ou
outra informação pretendida. Manipulação de utilizadores para convencê-los a realizarem operações de
normalmente não são realizadas, para que revelem tudo quanto é necessário para superar as barreiras da
segurança. Se o atacante tem experiência suficiente na utilização destas técnicas, pode enganar
facilmente o utilizador, o qual desconhece as mínimas medidas de segurança.
“Single-sign on” e comente e sincronização de passwords e refira os problemas deste processo?
Criptografia assimétrica também designada encriptação com chave publica (PKE) são utilizadas 2
chaves, uma secreta ou privada e outra não secreta ou publica. Uma delas para operações de
codificação e outra para as operações de descodificação da informação. Este processo baseia-se na
geração de um par de chaves para cada utilizador envolvido na comunicação. As chaves publicas
podem ser trocadas livremente, dado que qualquer mensagem codificada usando uma dada chave
publica só pode ser descodificada utilizando a correspondente chave privada. Dada a complexidade da
geração dos pares de chaves (publica e privada) e as limitações em termos de desempenho, a
encriptação assimétrica é pouco usada para garantia de confidencialidade, sendo mais utilizada nos
processos de autenticação utilizando assinaturas digitais.
Criptografia simétrica também designada encriptação com chave secreta (SKE) é utilizada a
mesma chave para as operações de codificação e descodificação de informação. Antes do envio de uma
mensagem, esta é codificada utilizando um algoritmo conhecido e uma chave secreta. Depois de
codificada, a mensagem é enviada e, posteriormente, descodificada pelo receptor que utiliza, para tal, a
mesma chave secreta que foi utilizada para a codificação. Se a chave for apenas do conhecimento do
emissor e do receptor da informação, apenas estes tem acesso ao conteúdo da mensagem. No entanto,
há sempre o risco de descoberta da chave por terceiros utilizando métodos de força bruta, que serão
tanto mais eficazes quanto for a chave. Um dos problemas associados é a gestão de chaves secretas,
dado que a robustez deste mecanismo depende de forma critica do facto de as chaves serem mantidas
secretas. Por outro lado é muito utilizado para garantia da confidencialidade, pois pode ser
implementado em hardware.
Infra-estruturas de chaves publicas (PKI)
“Man-in-the-middle” É um tipo de ataque como o TCP. Um invasor comanda uma sessão da conexão
de rede, e depois pode ler e talvez modifica os dados transferidos dessa conexão.
Indique 3 motivos que causem a insegurança dos SI? Desconhecimento, Negligência, Decisões dos
níveis estratégicos das organizações no sentido de não serem adoptados procedimentos de segurança.
No que se refere a redes, indique 4 factores de defesa da segurança do SI? Politica de segurança,
Controlos de acesso, Backups, Cultura de segurança, Legislação, Ferramentas, Segurança Física,
Normas e padrões, Planos de contingência, Assinaturas electrónicas, Criptografia, Administração de
segurança e auditorias
Diga quais são as diferenças entre os ataques “Masquerade” e “Cavalo de Tróia”. “Masquerade”
Este tipo é usado com outras formas de ataque activas, tais como o replay e a alteração de mensagens.
Neste caso, há sempre uma entidade que pretende assumir o papel de outra, isto é, um utilizador não
autorizado tenta fazer-se passar por um utilizador autorizado; “Cavalo de Tróia” trata-se de uma
entidade do próprio SI que, além das suas funções normais, tem a capacidade de produzir acções não
autorizadas que podem auxiliar terceiros a introduzir-se no SI. Como exemplo, pode-se referir a
possibilidade de enviar cópias de documentos sigilosos para os devidos utilizadores, mas também para
um utilizador não autorizado a recebê-las.
Mostre a diferença entre vários tipos de ameaças das redes? Ameaça Incidental: este tipo de ameaça
é muitas vezes inerente Às próprias condições de operacionalidade quotidiana. Existe sem intenção
premeditada e/ou não provem de uma entidade identificada. Como por exemplo, pode-se apontar a
ausência de backups devidamente autorizados, o que pode apontar à perda irreparável de dados, ou uma
falha de corrente eléctrica, sem que haja um outro dispositivo (bateria ou gerador) que impeça a perda
de algumas operações de processamento. Ameaça Intencional: tanto se pode referir a uma intromissão
não autorizada e com intenções de aproveitamento dos recursos informático com fins alheios à
organização proprietária, como à possibilidade de serem perpetrados sofisticados ataques, com a
utilização de amplos conhecimentos do sistema operativo. Ameaça Passiva: embora possa ser de
natureza incidental ou intencional, não corresponde nem a nenhuma modificação da informação, nem à
alteração dos recursos ou do funcionamento do SI. Ameaça Activa: independentemente do seu nível,
conduz a uma modificação da informação presente no SI ou dos seus processos de funcionamento.
Como por exemplo, pode-se indicar alterações de ficheiros, de caminhos, de directórios e de
passwords.
Indique os principais aspectos de análise numa auditoria de segurança lógica? A segurança lógica
baseia-se na gestão das autorizações de acesso aos recursos informáticos, baseadas na identificação e
na autenticação. Esta gestão abarca: O processo de pedido, o acompanhamento e o encerramento das
contas dos utilizadores; Revisões periódicas sobre a gestão de todas as contas e as autorizações de
acesso estabelecidas; Procedimentos a ter em conta no caso de o utilizador se desligar da organização,
quer por despedimento justificado quer por vontade própria.
Diga quais são os principais objectivos da segurança lógica de um SI? Restringir o acesso aos
programas e arquivos; Assegurar que os operadores possam trabalhar sem uma supervisão minuciosa e
não possam modificar os programas nem os arquivos que não correspondam ao seu domínio de
trabalho; Assegurar que sejam utilizados os dados, os arquivos e os programas de acordo com
procedimentos correctos; Que a informação transmitida seja recebida só pelo destinatário ao qual foi
enviada e não também a outros; Que a informação recebida seja a mesma que tenha sido transmitida;
Que existam sistemas alternativos secundários de transmissão entre diferentes pontos; Que se disponha
de passos alternativos de emergência para a transmissão de informação.
Diga quais são as falhas de segurança mais frequentes em SI distribuídos?
Mostre como é que os SI podem apoiar a formulação de estratégias empresariais? A analise
interna da empresa no que se refere a capacidades, competências distintivas, vantagens competitivas,
recursos financeiros, humanos e técnicos, pontos fortes e fracos, estratégias formuladas e
implementadas no passado e respectivos resultados, e ainda as implicações da cultura empresarial. A
analise pormenorizada e integrada das envolventes contextual e transaccional, nomeadamente da
industria em que a organização se insere, das industrias de produtos/serviços substitutos, das estratégias
e da evolução de concorrentes directos e indirectos, da evolução dos segmentos de mercado em que a
empresa tem operado e dos cenários prováveis das diversas linhas de tendência futura.
Relacione a configuração de Firewall com a sua utilização numa Intranet? Na 1ª linha de defesa
utiliza um screening router, no 2º nível um firewall que dá acesso a uma DMZ e um segundo firewall
de entrada na intranet. Os 2 firewalls devem usar tecnologias diferentes dificultando ainda mais
qualquer acesso não autorizado. Há um 3º firewall para controlo de acesso de e para outras intranets
componentes da mesma extranet.
Diga em que consistem os ataques DoS (Denial of Service) e DDoS (Distributed Denial of
Service)? Soluções possíveis? DoS é um tipo de ataque cujo objectivo é tirar do ar um servidor,
bombardeando-o com tráfego inútil e de grandes solicitações. DDoS quando os sistemas múltiplos são
organizados num ataque simultâneo.
Relacione a segurança dos SI com a Recuperação de Desastres (DRP) e com a Continuidade do
Negocio (BCP). DRP é restaurar operações na localização inicial depois de o desastre ocorrer, avaliar
os danos na determinação imediata dos possíveis danos em confidencialidade, integridade e
disponibilidade nos activos informacionais, recolher e conservar provas caso o incidente seja parte de
um crime. Quando o desastre ameaça a organização na localização inicial, o DRP torna-se um BCP.
BCP é o estabelecimento das operações em localização alternativa
O Plano de Contingência (CP) é um dos elementos especiais a criar num CI. Diga as suas
finalidades? O CP prepara para: detectar, reagir a, e recuperar de acontecimentos inesperados que
ameaçam os recursos e activos da segurança da informação. O seu objectivo é a restauração dos modos
normais de operação a custo mínimo, mínima perturbação e depois de acontecimentos inesperados.
Refira e comente 4 técnicas de autenticação da identidade de um utilizador. Podem ser utilizadas
individualmente ou combinadas: Passwords, chaves criptográficas e PIN; Cartões magnéticos;
Impressões digitais ou a voz; Padrões de escrita.
Caracterize a encriptação? Estas práticas servem para ocultar tanto as mensagens, tornando-as
ininteligíveis, como os próprios movimentos dessas entidades no interior de um sistema informático.
Embora possam ser detectados, não é facilmente possível conhecer a sua natureza e propósitos, dado
que os arquivos descobertos estão encriptados. A encriptação não é perigosa em si mesma. Até
apresenta mais vantagens do que desvantagens. Porém, pode ser utilizada por entidades sem escrúpulos
e para atingir objectivos socialmente reprováveis.
Indique os riscos emergentes ao existir por um lado segurança em excesso no SI, e por outro,
acesso em demasia. O excesso de segurança num SI pode limitar e influenciar a produtividade de
quem efectua tarefas e pode comprometer o negócio da empresa se criar restrições que afectem a forma
da organização de funcionar. Acesso em demasia a terminais e instalações aumenta o risco para a
organização, ficando susceptivel a espionagem, a confidêncialidade dos dados é afectada. A SI é
fundamental para garantir que quem tem acesso aos dados é o interveniente correcto. Limita também os
erros provocado insconscientemente, como por exemplo instalação de software ilicito ou de origem
desconhecida
Identifique as políticas e controlos de segurança de uma intranet. Apresente os benefícios de cada
uma.
Indique os passos principais de uma política de segurança da intranet.
Descreva os principais aspectos a ter em conta na segurança física do equipamento informático?
Proteger o hardware computacional, outros equipamentos, as suas interligações e o fornecimento de
energia.
O que é, para que serve, um relatório de auditoria informática? Quando o SI apresenta um
funcionamento e/ou um desempenho deficiente, a empresa pode utilizar auditorias internas e/ou
externas, no sentido de analisar todo o SI, avaliar os seus processos de funcionamento e recomendar as
melhorias e níveis mais elevados de segurança. Os sintomas da necessidade de uma auditoria são:
descoordenação e desorganização; deficiente imagem e insatisfação dos utilizadores; deficiências
económico- financeiras; insegurança.
Caracterize as redes privadas virtuais (VPN), refira sua utilidade e aspectos a considerar na sua
adopção e montagem? É uma rede de ligações onde o acesso e a troca de dados somente é permitido a
utilizadores e/ou redes que façam parte de uma comunidade de interesses. Ocorre sobre uma infraestrutura
compartilhada. Utilizando a técnica de tunelamento, os pacotes de dados são transmitidos na
rede pública -como por exemplo a Internet -em um túnel privado que simula uma ligação ponto-aponto.
A tecnologia IPSec é uma das opções para se implementar VPNs. Sendo uma plataforma aberta
formada por um conjunto de protocolos que tipo de serviços fornece? IPSec (Internet Protocol
Security) é utilizado para a criação de túneis, encriptação e autenticação. Na fase de concepção do
protocolo é feita a resolução de: Controlo de acessos, Integridade da ligação, Autenticação da origem
dos dados, Protecção contra reprodução dos dados, Confidencialidade do fluxo.
Relacione a segurança da informação com as necessidades de segurança? A segurança consiste em
estudar, localizar, diminuir, assumir ou transferir os riscos inerentes a qualquer actividade da
organização, dotando-a da protecção necessária ao seu correcto funcionamento e permitindo uma
cobertura tão ampla quanto possível contra situações adversas. Todos os negócios apresentam algum
grau de risco que tem de ser analisado e considerado pela função segurança. Logo é necessário uma
segurança da informação para conseguir que os recursos de um dado sistema tenham a possibilidade
plena de serem utilizados para alcançar os objectivos pretendidos.
Quais as principais motivações para se construir uma VPN? Custo, Conexões seguras, Acesso de
qualquer lugar da Internet
Quais os principais tipos de implementação de uma VPN? Intranet, Acesso Remoto, Extranet
Cite os três protocolos de tunelamento utilizados em VPNs? IPSec, PPTP, L2TP
Quais as etapas a serem seguidas ao se implementar uma VPN? Escolha do tipo da VPN,
Mecanismos de segurança a serem implementados, e a partir dai, Definição do protocolo a ser utilizado
Defina "VPN" VPN éuma conexão onde o acesso e a troca de dados somente épermitido a utilizadores
e/ou redes da mesma comunidade de interesses Utilizando técnica chamada de tunelamento, pacotes
são transmitidos na rede pública –como por exemplo a Internet –em um túnel privado que simula uma
conexão ponto-a-ponto
A encriptação e criptografia são termos sinónimos e estão associados à confidencialidade dos
dados.? V, a criptografia é uma técnica que possibilita a confidencialidade dos dados e da informação
que são transaccionados numa rede e os dados são codificados de acordo com modelos matemáticos
específicos, baseados em algoritmos de codificação e em chaves de descodificação que são utilizados
para proteger a informação confidencial. O que se envia através da rede não é a informação original,
mas a informação codificada, a qual não tem qualquer sentido, excepto para o receptor, dado que este
pode descodificá-la. Enquanto que a encriptação é utilizada para codificar dados através da utilização
de uma chave, como é o caso da password, e que só pode proceder à desencriptação quem possuir a
chave apropriada.
Os mecanismos específicos de segurança aplicam-se predominantemente aos ataques externos e à
confidencialidade dos dados. Os mecanismos específicos de segurança correspondem à criptografia,
mecanismos de assinatura digital, mecanismos de integridade de dados, autenticação, controlo do
encaminhamento de mensagens, certificação, controlo de tráfego de informação, traffic padding,
mecanismos de controlo de acesso, autorização e a gestão. Enquanto que a confidencialidade dos dados
corresponde a um serviço de protecção dos dados pessoais contra divulgações não autorizadas que
podem ser alvo de ataques externos, por exemplo, que tem por objectivo captar dados e a intercepção
de emissões.
A segurança lógica de um SI não se relaciona directamente com o acesso dos utilizadores, mas
sim com os delitos informáticos? FALSO, A segurança lógica consiste na utilização de barreiras e na
aplicação de procedimentos que controlem o acesso aos dados de acordo com a concessão de previas
autorizações, também, esta relacionado com a segurança da utilização do software, com a protecção
dos dados e dos processos e dos programas. Pretende-se que os objectivos incluam restringir o acesso
aos programas e arquivos, e que a informação transmitida atinja os destinos devidamente autorizados.
Enquanto que os delitos informáticos (vírus, crackers e hackers) correspondem a problemas que podem
afectar a segurança lógica.
A segurança informática tem tido um crescente valor estratégico, embora não assegure a
competitividade empresarial. A função informática e a segurança do SI podem mesmo constituir uma
vantagem competitiva por proporcionarem melhoramentos nos processos de produção de informação e
na integração informatizada das actividades dos outros departamentos. Sendo a informação um fluxo
autónomo, é necessário que os procedimentos de controlo permitam reduzir os níveis de incerteza e
garantir o conhecimento seguro de todos e garantir o conhecimento seguro de todos os domínios que
sirvam ao processo de tomada de decisão estratégica.
quarta-feira, 25 de junho de 2008
Assinar:
Postagens (Atom)