Unidade 3 - Conformidade com proteção de segurança de dados

Prévia do material em texto

EXERCICIOS UNIDAD 5
1. 
Com o crescente número de usuários na web, cada vez mais surgem criminosos que tentam tirar proveito da situação para roubar alguma informação, utilizando-se de conversas falsas, links mal-intencionados, mensagens fraudulentas, spam e malwares. Ao observar os variados os problemas de segurança que podem ocorrer na internet, qual das alternativas é a que descreve corretamente uma ameaça?
A. 
Força Bruta: ocorre quando alguém busca adivinhar, por tentativa e erro, um nome de usuário e senha para ter acesso aos seus privilégios, em sites, computadores ou serviços.
Por que esta resposta é a correta?
Força bruta (brute force) quando se busca adivinhar, por tentativa e erro, um nome de usuário e senha para ter acesso aos seus privilégios, em sites, computadores ou serviços. Phishing é quando se tem a intenção de adquirir dados pessoais, como dados bancários e senhas, por meio da imitação de um site confiável ou conhecido. Perda do controle é quando um intruso obtém o controle do computador de um usuário e o utiliza para cometer um crime. Negação de serviço (denial of service) ocorre quando há um bloqueio intencional da operação um serviço, um site ou uma rede conectada à Internet para impedir ou dificultar atividades de negócios e comércio. E-mail spoofing ocorre quando são modificados campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra.
B. 
Misrepresentation: acontece quando se tem a intenção de adquirir dados pessoais, como dados bancários e senhas, imitando um site confiável ou conhecidos. 
C. 
Phishing: acontece quando um intruso obtém o controle do computador de um usuário e o utiliza para cometer um crime.
D. 
Perda do Controle: quando um computador é utilizado para tirar de operação um serviço, um site da Internet ou uma rede conectada à Internet, sendo um ataque realizado principalmente para impedir ou dificultar atividades de negócios e comércio.
E. 
E-mail Spoofing: consiste em uma técnica onde o atacante enche a caixa de entrada do usuário com e-mails aleatórios e falsos.
2. 
Uma política de segurança da informação deve prever a proteção de dados de uma organização tanto quanto as organizações protegem o acesso aos seus recursos físicos, por exemplo, a entrada em suas dependências. Sabendo que uma organização pode definir diversas políticas que compreendem a segurança de seus dados, marque a alternativa que colabora com a política de identificação dos privilégios dos usuários em uma rede de dados.
A. 
Política de acesso à Internet.
B. 
Política de autenticação.
Por que esta resposta é a correta?
A política de autenticação representa a identificação dos privilégios em uma rede, pois os privilégios são concedidos a determinados usuários e/ou grupos. O acesso à Internet, o compartilhamento de dados e a postura e prática fazem parte da política de monitoramento utilizada por administradores das redes de dados das organizações.
C. 
Política de compartilhamento de dados. 
D. 
Política de monitoração.
E. 
Política de postura e prática.
Exercícios
3. 
Em se tratando de uma rede de dados, é possível que as mensagens trafegadas entre os dispositivos de uma rede sejam interceptadas por espiões, ocasionando o acesso indevido ou até a modificação dessas mensagens. Em relação às técnicas existentes nas políticas de segurança, identifique a que tem relação com a garantia de que uma mensagem chegou íntegra e sem modificação intencional ao seu destinatário.
A. 
Bits de paridade.
B. 
Checksum. 
C. 
Código de Hamming.
D. 
CRC.
E. 
Hashing.
Por que esta resposta é a correta?
Hashing é a técnica que garante a integridade contra a modificação intencional das mensagens trafegadas em uma rede, pois realiza um cálculo por meio de um algoritmo de criptografia. Bits de paridade, checksum, código de Hamming e CRC não impedem que, em um ataque planejado, um invasor modifique a mensagem e a recalcule para torná-la válida.
4. 
Uma das técnicas mais utilizadas para garantir a privacidade e a integridade dos dados trafegados em uma rede é a criptografia. Por meio da criptografia, as mensagens são embaralhadas de modo que apenas o destinatário consiga decifrar algo que foi enviado por um determinado remetente. Com base nos padrões de criptografia existentes, identifique aquele em que o sistema utiliza um par de chaves, que são utilizadas tanto pelo remente quanto pelo destinatário, para cifrar e decifrar as mensagens que são trocadas em uma rede.
A. 
Criptografia de chave dupla.
B. 
Criptografia de chave individual.
C. 
Criptografia de chave privada. 
D. 
Criptografia de chave pública.
Por que esta resposta é a correta?
A criptografia de chave pública é o padrão que utiliza duas chaves, conhecidas por pública e privada. Nesse padrão, o remetente conhece a chave pública do destinatário e envia a sua chave privada junto com a mensagem para que possa ser decifrada pelo destinatário. Já no padrão de chave privada, ambos, remetente e destinatário, utilizam a mesma chave privada para cifrar e decifrar uma mensagem. As demais opções não fazem referência a padrões válidos de chave de criptografia de acordo com a sua nomenclatura.
E. 
Criptografia de chave única.
5)Um certificado digital atua na confirmação de que determinado agente de comunicação, seja um remente ou um destinatário, é realmente quem ele afirma que é. Sabendo que um certificado digital utiliza métodos de criptografia, marque a alternativa que representa como um remetente deve conseguir a chave pública de um destinatário de maneira confiável.
A. 
O remente obtém a chave pública de um destinatário por meio de uma autoridade de chaves (autoridade certificadora – AC). 
Por que esta resposta é a correta?
Um certificado digital utiliza o padrão de chave pública e necessita buscar essa chave do destinatário de um órgão que ateste a sua veracidade, por isso não deve ser obtida diretamente do destinatário. A maneira mais confiável é por meio de uma autoridade de chaves (autoridade certificadora), que tem tal competência, pois uma autoridade de registro tem tal finalidade.
B. 
O remente obtém a chave pública de um destinatário por meio de uma autoridade de registro de chaves (autoridade de registro – AR).
C. 
O remente obtém diretamente de um destinatário a sua chave pública.
D. 
O remente não precisa da chave pública do destinatário, pois a criptografia é realizada por ele mesmo.
E. 
A comunicação por certificado digital utiliza apenas chaves primárias, portanto não requer chaves públicas.
EXERCICIOS UNIDADE 6 
1. 
1. Por que os clientes podem vir a exigir, para fechar um negócio, que as organizações sejam certificadas ou demonstrem sua vinculação a uma norma ou padrão internacional?
A. 
Porque isso assegura que a entrega dos produtos será mais rápida.
B. 
Porque os preços dos produtos e serviços serão mais baratos.
C. 
Porque isso elimina totalmente as chances de um incidente de segurança da informação.
D. 
Porque, assim, a empresa demonstra sua preocupação com boas práticas internacionais e com a qualidade do que faz.
Por que esta resposta é a correta?
Porque, sendo certificada ou seguindo as diretrizes de uma norma, a organização demonstra que está preocupada com as boas práticas internacionais, o que assegura a qualidade de seus produtos e serviços com relação à gestão, à segurança, à inovação e aos processos.
E. 
Porque isso vai assegurar que a empresa cumpre toda a legislação pertinente.
2)São exemplos de macroáreas estabelecidas na Norma 17799:
A. 
gestão de recursos humanos e controle de passivos.
B. 
controle de acessos e política de segurança.
Por que esta resposta é a correta?
As macroáreas estabelecidas pela Norma 17799 são: política de segurança, segurança organizacional, classificação e controle dos ativos de informação, segurança de recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, desenvolvimento e manutenção de sistemas de informação, gestão de continuidade de negóciose conformidade.
C. 
gestão de continuidade de incidentes e inconformidade.
D. 
gestão de RH e segurança individual.
E. 
análise de projetos e análise de sistemas.
3. 
3. O que é um ativo, segundo a norma ISO 27002?
A. 
É qualquer coisa para a qual a organização atribua valor e importância, devendo ser protegido.
Por que esta resposta é a correta?
Um ativo é qualquer coisa que tenha importância e valor para a organização e que, por isso, precisa ser protegido de alguma maneira. Os ativos devem ser identificados, avaliados e ter regras para o tipo de uso a que se destinam, para que a organização possa manter um inventário deles.
B. 
É qualquer funcionário que não esteja aposentado e ainda exerça suas atividades.
C. 
É o patrimônio da empresa, suas máquinas e equipamentos.
D. 
É o funcionário que foi admitido e ainda não tirou férias trabalhando para a organização.
E. 
É a frota da organização, compreendendo todos os seus tipos de veículos. 
4) Para um profissional, para que serve uma certificação em segurança da informação?
A. 
Serve como único fundamento para solicitação de aumento salarial.
B. 
 Serve para demonstrar que o indivíduo entende somente o básico sobre o assunto da certificação.
C. 
Serve como forma de valorizar seu currículo, atestando sua vasta experiência em determinado assunto.
Por que esta resposta é a correta?
Uma certificação serve para valorizar o currículo dos profissionais que a possuem, representando uma espécie de atestado de que o indivíduo certificado tem grande conhecimento ou experiência nos assuntos relacionados à certificação obtida.
D. 
Serve para informar que o indivíduo não leva muito em consideração o estudo para exercer suas atividades.
E. 
Serve como atestado de que o indivíduo finalizou sua jornada de estudos durante sua carreira profissional.
5. Qual é a certificação mais adequada para quem está começando como profissional de segurança da informação?
A. 
CSA+.
B. 
Auditor Líder ISO 27001.
C. 
CISSP.
D. 
Security+.
E. 
 ISO 27002.
Por que esta resposta é a correta?
A certificação ISO 27002 é a certificação que serve para quem está começando como profissional da área de segurança da informação, pois seu foco está nos conceitos básicos de segurança da informação, o que vai auxiliar na compreensão de quais são as informações vulneráreis em uma organização e quais são as medidas mais adequadas para protegê-las.