Por ocasião de vazamento de dados no website que hospeda o sistema de Processo Judicial Eletrônico (PJe), o Tribunal de Justiça do Estado X (TJEX) contratou a empresa de segurança digital SafePlus para análise de incidente. Em entrevista de investigação, o órgão informou que há três dias uma brecha provocou o acesso indevido às informações cadastrais de 2.200 pessoas. Devido ao fato de o TJEX ser responsável pelo tratamento dos dados, foi relatado acesso aos seguintes dados: informações processuais, dados pessoais de partes, advogados e magistrados, além de documentos sigilosos. Outrossim, em relato, os técnicos do TJEX informaram que uma licitação para contratar uma empresa especializada em ciclo de vida de desenvolvimento de software seguro estava em andamento em virtude da produção de um novo portal. Os requisitos do novo contrato de prestação de serviço referem-se ao emprego de duas técnicas:
• transformação dos dados que possuem a capacidade de identificar um titular de maneira que a probabilidade de os associar, diretamente ou indiretamente, a um titular específico é reduzida. Isto é, mesmo que o dado vaze, o atacante terá extrema dificuldade ou talvez não consiga identificar o real titular por trás dos dados;
• transformação do código-fonte de um software ou aplicativo difícil de entender e interpretar, protegendo a propriedade intelectual e os dados sensíveis de um software ao tornar o código mais complexo e menos legível. Como resultado, os desenvolvedores buscam evitar que atacantes consigam entender a lógica do programa, o que poderia levar a vulnerabilidades exploráveis.
Conquanto o incidente tenha sido identificado pelo departamento de segurança do TJEX, ainda não foi corrigido, uma vez que está pendente de manutenção para voltar a operar normalmente. Por fim, em reservado, os técnicos do TJEX também relataram dissidência de diretrizes entre a gestão e a diretoria do órgão.
Considerando o cenário apresentado, responda as perguntas a seguir.
a) A respeito da ocorrência de incidente de segurança conforme disposto na Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018 e suas alterações), quem deve ser comunicado devido ao risco ou dano relevante?
b) Em virtude da dissidência de diretrizes, qual é o objetivo da governança e do gerenciamento de acordo com os princípios do COBIT 2019?
c) Quais são as duas técnicas, referenciadas no texto, que devem atender ao requisito do novo contrato?
d) Qual é a diferença entre a monitoração e a observabilidade aplicadas aos sistemas em produção do TJRJ?
Ops! Esta questão ainda não tem padrão de resposta.
Ops! Esta questão ainda não tem resolução em texto.
Ops! Esta questão ainda não tem resolução em vídeo.
Questões Relacionadas
Um analista foi designado para liderar o processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) em uma secretaria municipal que atua nas áreas de saúde, educação e assistência social. A instituição ainda não possui políticas formais de proteção de dados, e há registros de compartilhamento indevido de informações entre setores, além da ausência de controles técnicos mínimos.
Considerando esse cenário, elabore um relatório respondendo aos seguintes tópicos complementares para a implementação da conformidade com a LGPD:
a) mapeamento e classificação dos dados pessoais tratados: como identificar os dados coletados, os fluxos de tratamento e os riscos associados?
b) definição das …
Considere a topologia de uma rede ilustrada no diagrama e suas respectivas características listadas a seguir.
1. Os comutadores dessa rede atuam apenas na camada de enlace;
2. Os computadores das três localidades se comunicam entre si;
3. O roteador X se conecta aos roteadores Y e Z através das interfaces 0 e 1, respectivamente;
4. O endereço IP da interface 0 do roteador X é 10.0.0.1/30;
5. O endereço IP da interface 1 do roteador X é 20.0.0.2/30;
6. Cada interface do roteador que se conecta a um comutador foi configurada com o primeiro endereço disponível da sub-rede;
7. A rede disponível para endereçamento é 192.168.0.0/24; e
8. A distribuição da quantidade de endereços IP necessária par…
Fraude financeira detectada por anomalias em dados heterogêneos
Uma instituição financeira começou a registrar reclamações de clientes sobre transações não reconhecidas realizadas em seu aplicativo mobile. Embora os logs estruturados de autenticação indicassem atividade aparentemente legítima — incluindo uso de dispositivos conhecidos, locais compatíveis e credenciais corretas —, análises posteriores revelaram que dados não estruturados, como mensagens de atendimento, transcrições de ligações e registros semiestruturados em formato JSON, já apresentavam sinais precoces de irregularidades.
Ao integrar e cruzar diferentes fontes de dados, os analistas identificaram padrões de comportamento atí…
