Um sistema de gestão de Segurança da Informação (SGSI) deve ser estabelecido nas organizações, considerando o escopo definido, os riscos e as oportunidades que precisam ser gerenciadas para o alcance de seu objetivo.

De acordo com a NBR ISO/IEC 27001, para realizar o gerenciamento desses riscos e oportunidades, a organização deve planejar ações para:

José, que trabalha no Tribunal Regional Federal da 1ª Região, precisa fazer uso de um certificado digital com o objetivo de utilizar a sua chave privada para assinar documentos digitalmente e enviá-los ao receptor, que então usará a chave pública do emissor para confirmar a autenticidade da assinatura. Qualquer pessoa que tenha acesso à chave pública pode realizar a verificação da assinatura de José.

Para atender a essa demanda, José deverá gerar um certificado tipo:

Gilberto, um investidor da bolsa de valores, recebeu um email, supostamente enviado pela Bolsa de Valores de São Paulo (Bovespa), solicitando que verificasse sua conta na corretora, pois poderia ter sido alvo de ransonware. Gilberto abriu o e-mail, leu seu conteúdo e depois seguiu as instruções apresentadas, acessando sua conta. O que Gilberto não sabia é que no e-mail havia um código malicioso que passou a monitorar as atividades executadas e enviar as informações coletadas para terceiros.

Após ter perdido seus ativos, Gilberto descobriu que foi alvo de um:

Amanda precisa enviar um documento para a sede de sua empresa. O documento não tem nada que seja crítico, ou seja, não é necessária a garantia da confidencialidade; porém é obrigatório garantir que foi realmente Amanda que a enviou. Amanda usará o princípio da assinatura digital e, para isso, usará um algoritmo de criptografia assimétrico que possui apenas essa funcionalidade.

O algoritmo utilizado por Amanda será:

Iago trabalha em um banco e pretende encaminhar uma mensagem a Joyce, que trabalha na mesma rede, mas está fisicamente distante. Iago e Joyce compartilham um valor secreto comum que deve ser utilizado no trâmite da mensagem para assegurar sua autenticidade e confidencialidade.

Para garantir os critérios da comunicação, Iago deverá aplicar uma:

Aline é policial investigativa e recebeu uma denúncia sobre a compra de registros de domínios de segundo nível. Ao buscar informações, identificou uma prática na qual indivíduos registravam vários domínios apenas para esperar vendê-los a uma parte interessada a um preço muito mais alto.

Aline fez um estudo do caso e viu que os indivíduos que executavam essa prática são conhecidos como:

A Infraestrutura de chaves públicas brasileiras (ICP-Brasil) foi instituída para garantir a autenticidade, a integridade e a validade jurídica de documentos eletrônicos e aplicações que utilizem certificados digitais.

A cadeia de autoridades certificadoras ICP-Brasil possui uma Autoridade Certificadora Raiz (AC Raiz), que é responsável por:

O servidor web corporativo do órgão ABC sofreu um ataque DDOS (Distributed Denial of Service), no qual o atacante realizou consultas DNS oriundas de diversos computadores. Os pacotes enviados pelos computadores atacantes tiveram seus endereços IP de origem alterados, por meio da técnica de IP Spoofing, para o endereço IP do servidor web do órgão. As solicitações para o servidor DNS foram realizadas com argumentos “ANY”, resultando em respostas bem grandes, congestionando a rede e levando o servidor Web a negar seus serviços.

O servidor web sofreu um ataque DDOS do tipo:

Para incrementar a segurança no acesso aos sistemas sigilosos, a equipe de desenvolvedores de um órgão implementou uma autenticação baseada em múltiplos fatores. Além do uso de senhas pessoais e biometria, os usuários passaram a receber uma mensagem em seus dispositivos móveis para confirmar ou cancelar o acesso.

A terceira opção de autenticação baseada em múltiplos fatores, implementada pelos desenvolvedores, foi:

De acordo com a ISO/IEC 27001, a Alta Direção de um órgão tem como atribuição a análise crítica contínua do Sistema de Gestão da Segurança da Informação (SGSI) do órgão para garantir que os requisitos estabelecidos estejam alinhados e em conformidade com as suas necessidades, permitindo implementação de melhorias após as avaliações realizadas.

Durante a análise crítica do SGSI, a Alta Direção deve considerar: