Muito raramente, uma empresa desenvolve todos os componentes de um software. O normal é que utilizem componentes de outros empresas. Em termos de produtividade, faz bastante sentido, mas há o risco de inserir vulnerabilidades no sistema da empresa. Nesse sentido, selecione a opção correta com uma forma de reduzir os riscos de inserir vulnerabilidades. Apesar de todos os cuidados que possamos ter com um sistema, ainda assim, estamos sujeitos a ataques. É claro que o interesse dos invasores aumenta com a importância dos dados que estamos trabalhando. Nesse sentido, selecione a opção correta que trata sobre uma forma eficiente de evitarmos que um sistema fique indisponível devido a um ataque.

A imagem contém duas questões distintas sobre Segurança da Informação e Engenharia de Software. Abaixo, apresento a análise e a resolução de cada uma delas.

Análise da Questão 9

Contexto: A questão aborda o uso de componentes de terceiros (bibliotecas, frameworks, softwares prontos) no desenvolvimento de sistemas. O foco é mitigar riscos de segurança (vulnerabilidades) provenientes dessa cadeia de suprimentos (Software Supply Chain).

Alternativa Correta: E

Justificativa Didática:

Quando uma empresa utiliza componentes externos, ela não tem controle total sobre o código desenvolvido. Para reduzir o risco de vulnerabilidades ocultas ou mau funcionamento, a melhor prática de mercado é:

• Confiabilidade da Fonte: Utilizar componentes de empresas com boa reputação. Grandes fornecedores investem em equipes de segurança dedicadas e processos rigorosos de teste.
• Transparência: Empresas com documentação clara permitem que a equipe interna entenda como o componente funciona e como configurá-lo de forma segura.
• Por que as outras estão erradas?
• (A) Licença comercial não garante qualidade de segurança; há softwares pagos com falhas críticas.
• (B) Código aberto é ótimo para auditoria, mas "apenas trabalhar com ele" é limitante e não garante que o projeto seja seguro (depende da comunidade mantê-lo atualizado).
• (C) Estudar o código-fonte é ideal, mas nem sempre é possível (código proprietário). Além disso, a análise manual é cara e lenta comparada à escolha de fontes confiáveis.
• (D) Criptografia protege dados em trânsito ou em repouso, mas não impede que um componente tenha uma vulnerabilidade de lógica ou execução remota.

Análise da Questão 10

Contexto: A questão trata da garantia de Disponibilidade do sistema diante de ataques cibernéticos. O objetivo é evitar que o sistema fique fora do ar (indisponível) ou recuperar sua operação rapidamente.

Alternativa Correta: D

Justificativa Didática:

Ainda que existam medidas preventivas, ataques ocorrem. Para garantir que a organização continue operando mesmo sob ataque, é necessário um planejamento estratégico:

• Plano de Recuperação de Desastres (DRP): É o documento e processo que define como o sistema será restaurado após um incidente grave. Ele garante a continuidade dos negócios.
• Eficiência: Um plano bem estruturado inclui backups, procedimentos de failover, comunicação de crise e testes regulares.
• Por que as outras estão erradas?
• (A) Sistemas de empresas conhecidas também sofrem ataques (ex: vazamentos massivos).
• (B) Criptografia protege a confidencialidade (sigilo) dos dados, não impede que o servidor pare de responder (disponibilidade).
• (C) "Versões redundantes" é um termo ambíguo. Embora a Redundância (ter equipamentos extras) ajude na disponibilidade, sozinha não garante a recuperação se não houver um plano definido de como ativá-la e gerenciá-la. O plano (D) engloba a estratégia de uso da redundância.
• (E) Mudar de fornecedor não resolve o problema imediato de indisponibilidade durante um ataque ativo.

Resumo