Questões de Concurso Público TCU 2007 para Analista de Controle Externo - Tecnologia da Informação

Os riscos de segurança da informação identificados no âmbito da organização deverão ser analisados quanto às possíveis opções de tratamento: mitigação ou redução; aceitação; eliminação ou contorno; e transferência. Entre as quatro alternativas de tratamento, a que apresenta maior demanda por implantação de controles é a mitigação ou redução. Os riscos aceitos são os de menor nível ou que atendam a critérios de avaliação previamente definidos.

A ISO 17799 define diretrizes para certificação de que uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma auditoria de terceira parte, nos moldes da ISO 19011.

Conforme a ISO 17799, é obrigatório o relatório de incidentes de segurança ao ponto de contato designado. Assim, um funcionário de uma organização que realiza operações de alto risco e identifica uma violação de acesso, porém encontra-se sob coação, poderá utilizar-se de um método secreto para indicar esse evento de segurança. Esse método é conhecido como alarme de coação.

A segurança de um sistema criptográfico depende, entre outros fatores: do segredo da guarda da chave ou das chaves; da dificuldade em se adivinhar ou tentar uma a uma as possíveis chaves; da dificuldade de se inverter o algoritmo de cifração sem conhecimento da chave; da existência ou não de formas de uma mensagem cifrada ser decifrada sem conhecimento da chave; da possibilidade de se decifrar uma mensagem cifrada conhecendo-se apenas como parte dela é decifrada; da possibilidade de se conhecer e usar propriedades das mensagens em claro para decifrar mensagens cifradas.

Atualmente, os sistemas criptográficos utilizados são incondicionalmente seguros por se basearem na dificuldade de resolução de problemas matemáticos específicos ou em limitações na tecnologia computacional vigente.