Segurança da Informação Flashcards
No que consiste a proteção de informações e de sistemas de informações contra acesso, uso, divulgação, interrupção, modificação ou destruição não autorizados?
Na Segurança da Informação
A literatura acadêmica afirma que existe uma trindade sagrada da segurança da informação. São três princípios (também chamados de propriedades ou atributos). Quais são esses atributos?
Confidencialidade, Integridade e Disponibilidade – conhecidos pela sigla CID.
Se um ou mais desses princípios forem desrespeitados em algum momento, significa que houve um incidente de segurança da informação
O que é a Confidencialidade, princípio da Segurança da Informação?
É o princípio de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados
O que é a Integridade, princípio da Segurança da Informação?
É o princípio de salvaguarda da exatidão e completeza de ativos de informação
O que é a Disponibilidade, princípio da Segurança da Informação?
É o princípio da capacidade de estar acessível e utilizável quando demandada por uma entidade autorizada.
Controles de segurança de informações adequados podem ajudar uma organização a reduzir seus riscos a níveis aceitáveis.
Em geral, eles são divididos em dois tipos, quais são eles?
Controles Físicos; e
Controles Lógicos.
O que são os Controles Físicos da segurança da informação?
São barreiras que impedem ou limitam o acesso físico direto às informações ou à infraestrutura que contém as informações. Ex: portas, trancas, paredes, blindagem, vigilantes, geradores, sistemas de câmeras, alarmes, catracas, cadeados, salas-cofre, alarmes de incêndio, crachás de identificação, entre outros.
O que são os Controles Lógicos da segurança da informação?
Também chamados de controles técnicos, são barreiras que impedem ou limitam o acesso à informação por meio do monitoramento e controle de acesso a informações e a sistemas de computação. Ex: senhas, firewalls, listas de controle de acesso, criptografia, biometria, IDS, IPS, entre outros.
Os mecanismos utilizados para a segurança da informação consistem em controles físicos e controles lógicos. Os controles físicos constituem barreiras de hardware, enquanto os lógicos são implementados por meio de softwares. CERTO ou ERRADO?
ERRADO! O controle de acesso físico não se limita ao hardware e o controle de acesso lógico não se limite ao software (Errado)
Na segurança da informação, controles físicos são soluções implementadas nos sistemas operacionais em uso nos computadores para garantir, além da disponibilidade das informações, a integridade e a confidencialidade destas. CERTO ou ERRADO?
ERRADO! Controles físicos são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que suporta essa informação
Em Segurança da Informação, como é chamado qualquer coisa que tenha valor para instituição, tais como: informações, pessoas, serviços, software, hardware, documentos físicos, entre outros?
Ativo
Em Segurança da Informação, como é chamado o ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e, por isso, deve ser adequadamente protegido?
Informação
Em Segurança da Informação, como é chamado a fonte produtora de um evento que pode ter um efeito adverso sobre um ativo de informação, como um funcionário, meio ambiente, hacker, etc?
Agente
Em Segurança da Informação, como é chamada as fragilidades presentes ou associadas a ativos que, quando exploradas por ameaças, levam à ocorrência de incidentes de segurança?
Vulnerabilidades
Em Segurança da Informação, como é chamado um agente externo que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação?
Ameaça
Em Segurança da Informação, como é chamado o evento decorrente da exploração de uma vulnerabilidade por uma ameaça com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso?
Ataque
Em Segurança da Informação, como é chamado a ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a Segurança da Informação?
Evento
Em Segurança da Informação, como é chamado o fato decorrente de um ataque bem-sucedido, com consequências negativas, uma ocorrência indicando uma violação, uma falha ou situação desconhecida, algo que possa ser relevante para a segurança da informação?
Incidente
Em Segurança da Informação, como é chamada a abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio?
Impacto
Em Segurança da Informação, como é chamada a probabilidade potencial da concretização de um evento que possa causar danos a um ou mais ativos da organização?
Risco
Em Segurança da Informação, qual a diferença entre ameaça e risco?
A ameaça trata de um dano potencial, isto é, caso ocorra um incidente, poderá haver dano ou não.
Já o risco trata de um dano real, isto é, caso ocorra um incidente, necessariamente haverá perdas ou danos.
As ameaças são fatores externos que podem gerar incidente de segurança da informação por intermédio da exploração das vulnerabilidades dos ativos de informação. CERTO ou ERRADO?
CERTO! A ameaça é um agente externo que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação
Qual princípio da Segurança da Informação é a capacidade de um sistema de não permitir que informações estejam disponíveis ou sejam reveladas a entidades não autorizadas - incluindo usuários, máquinas, sistemas ou processos?
A Confidencialidade
Qual princípio da Segurança da Informação é a capacidade de garantir que a informação manipulada está correta, fidedigna e que não foi corrompida?
A Integridade
Qual princípio geralmente trata da salvaguarda da exatidão e completeza da informação, com o intuito de aferir que a informação não tenha sido alterada sem autorização durante seu percurso, de sua origem ao seu destino, mantendo todas as características originais estabelecidas pelo proprietário da informação?
Princípio da Integridade
O Princípio da Integridade sinaliza a conformidade dos dados armazenados com relação às inserções, alterações e processamentos autorizados efetuados. CERTO ou ERRADO?
CERTO!
Confidencialidade e integridade são princípios independentes, isto é, a quebra de um princípio não implica a quebra do outro. CERTO ou ERRADO?
CERTO!
Qual é a propriedade de uma informação estar acessível e utilizável sob demanda por uma entidade autorizada?
A Disponibilidade
A Disponibilidade garante que usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. CERTO ou ERRADO?
CERTO!
A confidencialidade garante que a informação somente esteja acessível para usuários autorizados. Já a disponibilidade garante que a informação esteja disponível aos usuários autorizados sempre que necessário. CERTO ou ERRADO?
CERTO!
Um ataque à infraestrutura de conectividade de um banco à Internet, interrompendo o acesso a seus serviços de home banking, afeta qual princípio da segurança da informação?
A Disponibilidade
Alguns autores consideram como princípios fundamentais da Segurança da Informação apenas Confidencialidade, Integridade e Disponibilidade. Outros incluem mais princípios, quais são eles?
Autenticidade e Irretratabilidade
Que princípio da Segurança da Informação trata da garantia de que o emissor de uma mensagem é de fato quem alega ser?
A Autenticidade
Autenticar é confirmar a identidade de uma entidade visando, por exemplo, garantir que a entidade é quem ela diz ser.
As técnicas para autenticação podem basear-se na verificação de informações como, por exemplo, senhas. CERTO ou ERRADO?
CERTO! Autenticar é realmente confirmar a identidade de uma entidade, isto é, garantir que ela é legítima – uma senha é realmente uma forma de verificação de autenticidade, visto que – em tese – apenas o proprietário conhece a senha
Que princípio da Segurança da Informação trata da capacidade de garantir que o emissor da mensagem ou participante de um processo não negue posteriormente a sua autoria?
A Irretratabilidade (Irrefutabilidade ou Não-repúdio)
Quando garantimos a autenticidade e a integridade (mensagem sem modificações), nós garantimos automaticamente a irretratabilidade. CERTO ou ERRADO?
CERTO! Porque o autor não pode repudiar sua autoria, isto é, não pode se esquivar de ter enviado aquela mensagem.
O princípio de não repúdio impede que o autor de um documento negue a criação e a assinatura desse documento. CERTO ou ERRADO?
CERTO!
O que é Criptologia?
Basicamente a Criptologia se ocupa da ocultação de informações e da quebra dos segredos de ocultação. A primeira pode ser alcançada por Esteganografia ou Criptografia, e a segunda pode ser alcançada por Criptoanálise.
Como pode-se ocultar informações, por meio da Criptologia?
Por Esteganografia ou Criptografia
Como pode-se quebrar segredos de ocultação, por meio da Criptologia?
Por Criptoanálise.
A criptografia possui dois grandes grupos: códigos e cifras.
O que são os códigos?
Os códigos são palavras, frases, letras, símbolos usados para substituir elementos do texto claro.
A criptografia possui dois grandes grupos: códigos e cifras.
O que são as cifras?
As cifras são algoritmos de criptografia e descriptografia de mensagens.
As cifras, em um processo de criptografia, se caracterizam por dois tipos básicos de transformação. Quais são eles?
Transposição; e
Substituição
O que é a esteganografia?
Uma técnica para ocultar uma mensagem dentro de outra, de forma que não sejam percebidas por terceiros
Como é conhecida a técnica de esconder informações dentro de arquivos como imagens, sons, vídeos ou textos?
Esteganografia.
No que consiste a técnica de tornar uma mensagem ininteligível?
Na Criptografia
Atualmente quais são as técnicas de criptografias?
Simétricas;
Assimétricas; e
Híbridas
Atualmente são empregadas técnicas de criptografias simétricas, assimétricas e híbridas. Essas técnicas empregam dois fundamentos principais:
Substituição e Transposição.
O que é a substituição?
Por essa técnica, cada elemento no texto claro é mapeado para outro elemento (trocado por outro).
Atualmente são empregadas técnicas de criptografias simétricas, assimétricas e híbridas. Essas técnicas empregam dois fundamentos principais:
Substituição e Transposição.
O que é a transposição?
Por essa técnica, os elementos no texto claro original são reorganizados. (trocados de lugar)
Que tipo de criptografia implica o uso de uma chave secreta utilizada tanto para codificar quanto para decodificar informações?
A Criptografia Simétrica
O que é chave de encriptação?
É uma informação que controla a operação de um algoritmo de criptografia (EX: cada letra representa letras a frente)
Na criptografia simétrica, a chave de encriptação é utilizada tanto para codificar quanto para decodificar a mensagem. CERTO ou ERRADO?
CERTO!
Em um sistema de criptografia simétrica é primordial que a chave seja protegida. Como se trata da mesma chave, ela deve ser trocada antes da comunicação iniciar. CERTO ou ERRADO?
CERTO!
Na criptografia simétrica, o risco de a chave ser comprometida fica maior com o aumento do número de partes envolvidas na troca de mensagens com a mesma chave. CERTO ou ERRADO?
CERTO!
A criptografia simétrica garante apenas o princípio da confidencialidade, integridade e autenticidade. CERTO ou ERRADO?
ERRADO! Garante apenas o princípio da CONFIDENCIALIDADE.
Ou seja, ela garante que a mensagem – caso interceptada – seja ininteligível para o interceptador.
A criptografia simétrica não é capaz de garantir o princípio da integridade, ou seja, que a mensagem não foi alterada no meio do caminho. CERTO ou ERRADO?
CERTO!
De que forma a criptografia simétrica pode garantir o princípio da autenticidade?
Caso APENAS DUAS entidades tenham conhecimento da chave secreta.
Os algoritmos: DES, 3DES, AES, IDEA, RC4, Blowfish, Cifragem de Júlio César são feitos com base em que tipo de criptografia?
Criptografia Simétrica
Que tipo de criptografia uma só chave para encriptar e decodificar a mesma mensagem?
A Criptografia Simétrica
Como também é chamada a Criptografia Assimétrica?
Criptografia de Chave Pública
A Criptografia Simétrica tinha uma falha: havia a necessidade de compartilhar a chave de cifragem/decifragem. A Criptografia Assimétrica acabou com essa vulnerabilidade, de que forma?
Criou duas chaves distintas e assimétricas – sendo uma pública e uma privada.
Na Criptografia Assimétrica a chave pública é disponibilizada para qualquer um e a chave privada é de uso personalíssimo e restrito a um usuário, instituição ou equipamento. CERTO ou ERRADO?
CERTO!
Em relação à Criptografia Assimétrica, ao se utilizar a chave pública para codificar a mensagem, somente a chave privada correspondente pode decodificar a mensagem, funcionando portanto com um par. CERTO ou ERRADO?
CERTO! São duas chaves diferentes em um “chaveiro” único (analogia criada por mim hehe)
Em relação à Criptografia Assimétrica, o par de chaves formam um par exclusivo, de modo que um texto criptografado pela chave pública só pode ser descriptografado pela sua chave privada e um texto criptografado pela chave privada só pode ser descriptografado pela sua chave pública. CERTO ou ERRADO?
CERTO!
Em relação à Criptografia Assimétrica, quando eu quiser enviar uma informação sigilosa, eu devo usar a minha chave pública ou minha chave privada?
Devo utilizar a chave pública do destinatário para criptografar essa informação sigilosa.
E o destinatário vai conseguir descriptografar com a sua chave privada
Caso eu utilize a chave pública do destinatário para codificar uma mensagem, o princípio da Confidencialidade é garantido. CERTO ou ERRADO?
CERTO! Pois só o destinatário conseguirá decodificar a mensagem com sua chave privada.
Caso eu utilize a chave pública do destinatário para codificar uma mensagem, o princípio da Confidencialidade é garantido. CERTO ou ERRADO?
CERTO! Uma vez que somente o destinatário que possui a chave privada específica dessa chave pública conseguirá desfazer a operação de criptografia
O que acontece se eu utilizar minha chave privada para criptografar uma informação?
Nesse caso, qualquer um que possua sua chave pública conseguirá descriptografá-la e visualizá-la. E como sua chave pública é literalmente pública, você não garantirá o princípio da confidencialidade
Se eu utilizar minha chave privada para criptografar uma informação eu não vou garantir o princípio da confidencialidade. Por qual motivo?
Pois qualquer pessoa com a chave pública poderá decodificar a mensagem.
Se eu utilizar minha chave privada para criptografar uma informação eu não vou garantir o princípio da confidencialidade, mas garanto que outro princípio?
O da Autenticidade. Por que se alguém utilizar a minha chave pública para descriptografar uma informação e conseguir, ela terá certeza de que fui eu que realmente criptografei aquela informação.
Os algoritmos RSA, DSA, ECDSA, Diffie-Hellman são são feitos com base em que tipo de criptografia?
Criptografia Assimétrica
Quais chaves são menores, as assimétricas ou as simétricas?
As chaves Simétricas. (As Assimétricas são maiores - mais pesadas)
Em geral, as chaves simétricas são bem menores que as chaves assimétricas. Dessa forma, a Criptografia Assimétrica chega a ser até cem vezes mais lenta que a Criptografia Simétrica. CERTO ou ERRADO?
CERTO!
Por qual motivo é comum a utilização de uma Criptografia Híbrida, ou seja, uma combinação da Criptografia Simétrica e Criptografia Assimétrica?
Pois a Criptografia Assimétrica, por si só, pode ser muito lenta, devido ao tamanho da chave
Que tipo de Criptografia utiliza um algoritmo de Criptografia Assimétrica apenas para trocar chaves simétricas – chamadas de chaves de sessão – de forma segura. Logo, após a troca, toda comunicação é realizada utilizando um algoritmo de Criptografia Simétrica?
A Criptografia Híbrida
Na Criptografia Simétrica, a grande fragilidade está no envio da chave ao remetente para que esse possa decodificar a mensagem. Qual a solução para que esse tipo de criptografia tenha utilidade?
Utilizar a Criptografia Assimétrica somente para mandar a chave e a Simétrica para a mensagem.
Ou seja, eu mando a chave simétrica por meio da criptografia assimétrica (criptografada por meio da chave pública do destinatário). Desta forma eu garanto que somente uma pessoa terá a chave assimétrica, a dona da chave privada respectiva.
Na Criptografia Híbrida utiliza-se um algoritmo de Criptografia Assimétrica apenas para trocar chaves simétricas. Como são chamadas essas chaves?
Chaves de sessão.
Protocolos como Secure Sockets Layer (SSL) utilizam chaves de sessão para criptografar e descriptografar informações. CERTO ou ERRADO?
CERTO! É a criptografia híbrida