Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ABNT, 2013). Envolve qualquer coisa que possa afetar ou atingir o funcionamento, operação, disponibilidade e integridade da rede ou do sistema. No que se refere à classificação das ameaças a que se sujeitam informação e ativos de informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Ameaças ambientais envolvem desastras como fogo, chuva, terremoto, contaminação por produtos químicos, falhas decorrentes de falta de energia e do sistema de climatização. ( ) Ameaças técnicas ocorrem por códigos maliciosos e invasão de sistemas. ( ) Ameaças lógicas são decorrentes de configuração incorreta de componentes de tecnologia da informação, ou seja, de hardware e software. ( ) Ameaças humanas são erros de operação, fraude e sabotagem. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ABNT. NBR ISO/IEC 27001: tecnologia da informação - técnicas de segurança - sistema de gestão da segurança da informação - requisitos. Rio de Janeiro: ABNT, 2013.
Questão
Ameaça é a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização (ABNT, 2013). Envolve qualquer coisa que possa afetar ou atingir o funcionamento, operação, disponibilidade e integridade da rede ou do sistema. No que se refere à classificação das ameaças a que se sujeitam informação e ativos de informação, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Ameaças ambientais envolvem desastras como fogo, chuva, terremoto, contaminação por produtos químicos, falhas decorrentes de falta de energia e do sistema de climatização.
( ) Ameaças técnicas ocorrem por códigos maliciosos e invasão de sistemas.
( ) Ameaças lógicas são decorrentes de configuração incorreta de componentes de tecnologia da informação, ou seja, de hardware e software.
( ) Ameaças humanas são erros de operação, fraude e sabotagem.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ABNT. NBR ISO/IEC 27001: tecnologia da informação - técnicas de segurança - sistema de gestão da segurança da informação - requisitos. Rio de Janeiro: ABNT, 2013.
Alternativas
A) V - V - V - F.
B) V - F - F - V.
C) F - F - V - F.
D) V - F - F - F.
Explicação
Vamos classificar cada sentença conforme a tipologia usual de ameaças em Segurança da Informação (ambientais/naturais, técnicas/tecnológicas, humanas e lógicas).
-
Ameaças ambientais: envolvem eventos do ambiente/natureza e infraestrutura predial (ex.: incêndio, chuva/inundação, terremoto, contaminação química, falta de energia, falhas de climatização). A descrição está compatível com essa categoria. V.
-
Ameaças técnicas: em classificações comuns, “técnicas”/“tecnológicas” referem-se a falhas de tecnologia, defeitos, problemas de software/hardware, telecom, etc. Já códigos maliciosos e invasão normalmente são tratados como ameaças lógicas (ataques via software/rede) e/ou ações humanas deliberadas. Portanto, do jeito que está, a sentença não corresponde bem à classificação. F.
-
Ameaças lógicas: costumam abranger ameaças no nível de software, serviços, redes e controles lógicos (malware, exploração de vulnerabilidades, acesso não autorizado, ataques). “Configuração incorreta de hardware e software” é mais coerente com ameaça técnica (falha/deficiência de TI e de seus componentes) ou com erro operacional/humano, não como definição de ameaça lógica em si. Logo, a sentença está inadequada. F.
-
Ameaças humanas: incluem erros de operação, fraude e sabotagem (intencionais e não intencionais). Correto. V.
Sequência: V - F - F - V. Alternativa correta: (B).