Questões de Segurança da Informação - Vírus e malwares

O escopo da análise dos riscos deve sempre atuar sobre toda a
organização.

A NBR ISO/IEC 15999 estabelece as bases para a gestão de
riscos em segurança da informação e a NBR ISO/IEC 27005
trata da gestão de continuidade de negócios.

Gerenciar os riscos é um dos principais processos da gestão de
segurança da informação, pois visa identificar, avaliar e
priorizar riscos para, em seguida, se poder aplicar, de forma
coordenada e econômica, os recursos para minimizar,
monitorar e controlar a probabilidade e o impacto de eventos
negativos, de modo a se reduzir o risco a um nível aceitável.

No sentido de ganhar agilidade na identificação, avaliação e
priorização dos riscos, o gestor de segurança da informação
pode deixar de consultar a alta direção, sem que isso acarrete
prejuízo à gestão de riscos.

A gestão de segurança da informação pode arbitrar alguns
riscos a priori e realizar o tratamento do risco sem prejuízo dos
resultados.

deve conter procedimentos e controles de apoio ao
sistema de gerenciamento da segurança da informação.

não contempla um relatório de análise de riscos do
sistema de gerenciamento da segurança da informação.

não inclui uma descrição do escopo do sistema de
gerenciamento da segurança da informação.

não contempla um plano de tratamento de riscos do
sistema de gerenciamento da segurança da informação.

deve contemplar a listagem completa dos programas
fonte inseridos no sistema de gerenciamento da segurança da informação.

I e II.

II e IV.

I e III.

I, III e IV.

III e IV.

O estabelecimento de controles que ajustem o nível de
segurança para o tratamento da informação classificada deve
ser diferenciado em função da natureza da informação quanto
a valor, requisitos legais, grau de sensibilidade, grau de
criticidade e necessidade de compartilhamento.

O uso de biometria como mecanismo de autenticação do
usuário no acesso aos sistemas de informação é cada dia mais
utilizado e tem a vantagem de rápida implantação com baixo
custo.

Devido aos constantes ataques aos usuários do sistema
bancário, é cada vez mais comum a adoção de mecanismos de
autenticação com base em segundo fator de autenticação para
o acesso bancário. Nesses casos, o usuário entra com a sua
senha duas vezes consecutivas para autenticar o seu acesso.

Para a segurança da informação, todas as informações são
igualmente importantes. A isonomia na classificação da
informação garante que todas as informações devem ser
protegidas.

Um dos controles de acesso aos sistemas de informação mais
utilizados é a identificação pelo uso de login do tipo usuário e
senha. A vantagem nesse tipo de controle de acesso relacionase ao seu baixo custo e à possibilidade de se garantir o não
repúdio no acesso.

A seleção de mecanismos e controles a serem implementados
para promover a segurança da informação deve seguir critérios
com base na avaliação do que se deseja proteger, dos riscos
associados e do nível de segurança que se pretende atingir.

Todos os mecanismos de segurança disponíveis devem ser
utilizados, tendo em vista que a segurança da informação exige
sempre o grau máximo de proteção dos ativos de informação.

Controles físicos, barreiras que limitem o contato ou acesso
direto a informação ou à infraestrutura para garantir a
existência da informação, não são geridos pela área de
segurança da informação.

Mecanismos de cifração ou encriptação que permitem a
transformação reversível da informação, de forma a torná-la
ininteligível a terceiros, em geral, são suficientes para apoiar
uma boa estratégia de segurança da informação.

Os mais importantes mecanismos de segurança da informação
incluem, necessariamente, o emprego de firewalls, detectores
de intrusões, antivírus, filtros anti-spam e controle de acesso.