Informática para Concursos 2024 | Aula 13 de Conceitos Básicos

Olá alunos sejam todos bem-vindos a mais uma aula de conceitos básicos de informática para concursos de 2024 e antes de começar nossa aula de hoje sempre lembrando pessoal quem desejar adquirir o nosso curso com o conteúdo de informática para concursos pode acessar o nosso site O endereço é vonc concurso.com.br e o link para acesso está aqui na descrição desse vídeo Então vem comigo e vamos para aula de hoje onde eu vou comentar com vocês pessoal sobre as políticas de segurança da informação quando a gente fala Claro no âmbito das empresas nos no âmbito das organizações

porque nós temos que imaginar que uma empresa precisa de uma documentação que Indique quais são as políticas de segurança da informação para essa empresa certo Então nada mais é quando a gente diz ah o que que são as políticas de segurança de informação é uma documentação que vai espelhar as decisões da empresa com respeito à manipulação e também à proteção da informação então é dentro do espectro aí das políticas de segurança essa documentação tem que falar sobre a manipulação da informação como ela deve ser feita dentro dessa empresa mas também já tem que dar é

Claros indicativos de como será feita a proteção dessa informação no ambiente daquela empresa certo o objetivo básico de uma política de segurança é justamente PR uma orientação PR também um apoio da direção paraa segurança da informação de acordo com os requisitos do negócio e com as leis que são eh regulamentadas e que também são relevantes para essa política de segurança o Brasil tem diversas legislações relacionadas à segurança da informação por exemplo a lgpd a lei geral de proteção de dados pessoais então de fato a O objetivo dessa política tem que se ocupar também com as

leis e os regulamentos vigentes na atualidade certo a política de segurança ela deve ser analisada criticamente H determinados intervalos regulares né que são planejados ou quando alguma mudança significativa ocorrer para assegurar a sua contínua pertinência adequação e eficácia alguém vai dizer mas como assim alguma mudança significativa uma mudança de legislação por exemplo vamos imaginar que não existia determinada lei Geral de proteção de dados pessoais anos atrás no momento que começou que entrou em vigor a lgpd a lei geral de proteção de dados pessoais todas as empresas tiveram que rever as suas políticas de segurança teve

que haver uma revisão dessas políticas de segurança para assegurar justamente essa contínua pertinência adequação e eficácia da política de segurança da informação daquela empresa certo a orientação da política de segurança da informação ela deve estar alinhada sempre claro aos objetivos do negócio há que se observar a legislação há que se observar diversos parâmetros técnicos mas obviamente tem que estar alinhado de acordo com o objetivo daquele negócio daquela empresa e essa empresa deve declarar que a informação é um ativo dessa empresa que ela é propriedade da organização Então deve constar nas políticas eh de segurança da

informação essa declaração da empresa dizendo Olha a informação é um ativo da nossa empresa é propriedade dessa organização e o conjunto de políticas deve ser definido aprovado pela direção publicado e também comunicado para todos os funcionários e também para partes externas relevantes porque existem e uma coisa dizer assim al polícias de segurança só importa para para para os funcionários não é para os diretores gerentes funcionários né mas também pessoal alguns elementos externos que são relevantes o conhecimento das políticas de segurança da informação para aquela empresa por quê porque existem muitas partes externas que se relacionam

com essa organização de forma bem íntima qu dizer participam muito intimamente do tratamento dessas informações mesmo sendo uma parte externa Então essas partes externas relevantes elas também devem ser comunicadas das políticas de segurança da informação dessa empresa as diretrizes para a implementação da política de segurança da informação devem incluir inclusive uma declaração relativa ao comprometimento da direção com essas políticas certo tem que ter lá uma declaração a direção se comprometendo com as políticas de segurança da informação que são indicadas lá nessa documentação as políticas de segurança da informação elas podem classificar os incidentes eh de

segurança por exemplo em níveis de severidade vamos imaginar aqui agora um exemplo mais prático uma empresa resolve eh construir a sua documentação de política da eh de segurança informação e resolve classificar os incidentes de segurança em níveis de severidade o que que ela poderia usar como exemplos de níveis de severidade poderia usar assim ó baixa média alta ou muito alta severidade em relação ao incidente de segurança aí ela poderia colocar no nível de baixa severidade aquele que tem um impacto limitado na organização geralmente esses incidentes envolvem por exemplo a perda ou o comprometimento de alguns

dados que não são confidenciais ou ainda a interrupção de serviços de baixa importância esse seria um nível de severidade de incidente de segurança baixo né aí poderíamos dar como exemplo do que que entraria eh nesse nível baixo por exemplo uma tentativa de acesso não autorizado a um sistema que não contém dados confidenciais pô alguém tentou acessar de forma indevida o sistema não tem dados confidenciais estão um nível de severidade baixo como um incidente de segurança um ataque de Fishing o que que é Fishing Fishing são sites ou e-mails falsos parecido com os verdadeiros que tentam

capturar informações de identificação pessoal do usuário Mas vamos imaginar um ataque de Fishing que não resulte na perda de dados ou na instalação de algum tipo de malware de algum tipo de programa malicioso isso também poderia estar como um grau de severidade de incidente de segurança baixo né Por exemplo uma falha de hardware que resulta uma interrupção temporária de serviço por exemplo deu um problema na placa de vídeo tem um problema na placa de rede daquele computador específico Então foi uma interrupção temporária de serviço naquele computador nível baixo de severidade né agora podemos acrescentar um

nível médio também de severidade né que pode ter um impacto mais significativo na organização geralmente esses incidentes envolvem a perda ou comprometimento de alguns dados confidenciais ou ainda interrupção de serviço de importância moderada como exemplo disso podia ser a perda de alguns dados confidenciais como por exemplo números de cartão de crédito ou informações de identificação pessoal um ataque de maer que resulta numa infecção de algum sistemas uma interrupção de serviço que afeta as operações essenciais da organização aí já seria um nível de severidade Médio já no nível de severidade alto em relação a incidente de

segurança podia ter um impacto mais devastador naquela organização porque aí é alto geralmente incidentes que envolvem a perda ou comprometimento de dados que eram extremamente confidenciais ou até a interrupção de serviços essenciais como por exemplo um problema na rede né comprometimento então de dados confidenciais como informações financeiras ou estratégicas um ataque de ransonware que é aquele tipo de programa que criptografa os arquivos depois cobra Resgate para devolver acesso aos arquivos então um ataque de ronir levando bloqueio de acesso a determinados dados críticos uma interrupção de serviço que dura vários dias e semanas isso seria um

nível de severidade alto né mas ainda poderia colocar aí nesses níveis de severidade dos incidentes de segurança muito alto aí pode ter um impacto realmente catastrófico naquela empresa naquela organização geralmente esses incidentes envolvem aí a perda ou comprometimento de dados críticos ou a interrupção de serviços que são vitais para aquela organização poderíamos colocar aí a perda de dados críticos como informações por exemplo sobre o desenvolvimento de Novos Produtos daquela empresa ou ainda a posição financeira daquela anização ou ainda um ataque de negação de serviço que são os ataques doos ou ataque distribuído de negação de

serviço de doos que são aqueles ataques feitos poros vários computadores para tirar de operação um determinado sistema né E vamos imaginar esse ataque de doos então milhares de requisições de acesso ao sistema causam um dano que vem a incapacitar imagina toda a infraestrutura de Tecnologia da Informação daquela empresa isso seria um alto nível seria um nível de severidade muito alto né uma interrupção de serviço que causa danos significativos à própria reputação da organização então seria um grau de severidade muito alto em relação aos níveis de segurança Então isso que eu fiz agora pessoal foi um

exemplo de classificação dentro das políticas de segurança e informação para níveis de severidade dos incidentes de segurança poderia ter alguns exemplos aí como indiquei pra gente entender um pouquinho melhor como seria uma documentação relacionada às políticas de segurança certo perfeito pessoal a partir de agora então vamos resolver questões de prova sobre esse assunto Acompanha comigo política de segurança da informação é a documentação que espelha as decisões da empresa com respeito à manipulação e à proteção da informação o conjunto de políticas deve ser definido aprovado pela direção publicado e comunicado para letra todos os funcionários e

partes externas relevantes pessoal já tá certo porque o conjunto de políticas de segurança e informação que foi definido foi aprovado pela direção agora ele deve ser publicado e comunicado não só para todos os funcionários mas também para as partes externas que se relacionam com essa empresa quer dizer que são relevantes para essa empresa por isso aqui a nossa letra a de América já tá certa né na letra B tinha botado apenas diretores da empresa não né tem que ser todos os funcionários também e as partes externas relevantes a letra C apenas diretores e gerentes não

vale todos funcionários e várias partes externas relevantes a letra D apenas diretores gerentes e supervisores a letra e apenas diretores gerentes supervisores e líderes de equipe não é para todos os funcionários e até mesmo partes externas relevantes a gente viu isso por isso letra a de América aqui o gabarito e a resposta desta questão e vamos lá para mais uma questão sobre esse assunto pessoal vem comigo e acompanha o objetivo de uma política de segurança é prover uma orientação e um apoio da direção para a segurança da informação de acordo com os requisitos do negócio

e com as leis e regulamentações relevantes a política de segurança deve letra a ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem para assegurar a sua contínua pertinência adequação e eficácia está perfeito Exatamente isso quando a gente fala das políticas de segurança e informação Ela deve ter uma análise crítica sofrer uma análise crítica deve ser feito a intervalos planejados né então a gente tem que pensar em intervalos planejado ou pessoal quando alguma mudança significativa ocorrer Como eu disse quando há uma mudança de legislação por exemplo aí tem que fazer uma adequação a essa

política de segurança para ela manter a sua pertinência a sua adequação e a sua eficácia por isso aqui a letra a de América gabarito e resposta já dessa questão né bem vamos lá para mais uma questão questão vem comigo a política de proteção da informação espelha as decisões da empresa com respeito à manipulação e à proteção da informação um dos pontos Chaves dessa política é que letra a a proteção está limitada à área de Tecnologia da Informação ti errado a proteção da informação não vai est limitada ou essas políticas de segurança não est limitada Só

área de TI e as outras áreas não precisam se preocupar com as políticas de segurança L errado a letra b Então vamos lá um dos pontos Chaves dessa política é que a empresa deve declarar que a informação é um ativo da empresa e é propriedade da organização perfeito isso sim quando a gente pensa nas políticas de segurança da informação a empresa deve sim declarar lá nas políticas de segurança que a informação é considerada assim um ativo da empresa e que aquela informação é propriedade da organização isso deve sim constar lá nas políticas de segurança da

informação e por isso nossa a letra B de Brasil aqui o gabarito e a resposta desta questão né a letra C dizia o processo de classificação da informação processo técnico que dispensa o papel ativo do setor gerencial da empresa Claro que não precisa envolver diversos entes da empresa inclusive obviamente o setor gerencial da empresa né letra D um processo ou sistema específico deve ser interrompido diante de um risco residual conhecido não um processo a um sistema específico deve ser mantido mesmo diante de um determinado risco né a letra e as reavaliações periódicas da política devem

ser evitadas para impedir distorções das decisões não pessoal imagina mudou uma lei mudou uma lei E aí diz assim não Tem que evitar alguma mudança reavaliações na política não podem ser feitas vamos evitar mas imagina se mudar uma legislação imagina quando entrou em vigor a lei geral de proteção de dados pessoais obviamente teve que ter uma reavaliação nas políticas de segurança para ela ficar adequada à Nova situação daquela lei Então tá errado dizer que as reavaliações periódicas da política devem ser evitadas não devem ser feitas periodicamente a tempos específicos para que ela continue com a

sua validade a sua adequação e a sua eficácia dentro daquela organização por isso a única resposta adequada nesse caso aqui nossa letra B de Brasil beleza pessoal mais um assunto muito importante Se gostou do nosso vídeo não esquece Marca um gostei e se inscreve aqui no nosso canal desejando adquirir o nosso curso com o conteúdo de informática para concursos pode acessar oo nosso site O endereço é vonc concurso.com.br e o link para acesso está aqui na descrição desse vídeo Valeu pessoal grande abraço até a próxima aula e bons estudos