unidade 1 - Conformidade com proteção de segurança de dados

Prévia do material em texto

Exercícios unidade - 1 
Exercícios
1. 
O crescimento da tecnologia exige cada vez mais um pensamento computacional voltado para a resolução de problemas, já que a tecnologia também envolve algumas ameaças, como o roubo de dados confidenciais. O conhecimento sobre a segurança da informação é fundamental para proteger as organizações. Escolha a alternativa correta a respeito da segurança da informação:
A. 
Os recursos são tidos como os ativos de maior valor de uma organização; por isso, é indispensável que sejam protegidos de ameaças.
B. 
A segurança da informação reúne diversos procedimentos que têm por objetivo proteger as organizações de ameaças exclusivamente digitais.
C. 
A segurança da informação envolve um conjunto de ações que visam a proteger as organizações especificamente de ameaças externas.
D. 
Os controles da segurança da informação precisam ser definidos, concretizados, controlados, observados e aperfeiçoados sempre.
Por que esta resposta é a correta?
A capacidade de pensamento computacional é fundamental diante do avanço da tecnologia. A tecnologia também apresenta alguns riscos, como invasão e roubo de dados confidenciais, sendo necessário ter um sólido conhecimento sobre segurança da informação. Proteger os ativos de uma organização é algo fundamental, então, ter uma segurança da informação bem estruturada é um ponto crucial para a sobrevivência dessa empresa. Os ativos da tecnologia da informação das empresas envolvem dispositivos de computação, infraestrutura, aplicações, serviços e seus dados, sejam eles em transmissão ou armazenados. As informações são os ativos de maior valor de qualquer organização, portanto, exigem proteção contra uma grande diversidade de ameaças, acidentais ou deliberadas, necessitando de diferentes controles de segurança. A segurança da informação envolve a proteção de informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, tendo como objetivo a redução da probabilidade e do impacto de incidentes de segurança. Todos esses controles necessitam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados para que assegurem que os objetivos do negócio e a segurança da informação da organização sejam atendidos.
E. 
Por ser o ativo de maior valor de uma organização, a transmissão necessita de uma atenção especial da segurança da informação.
2 )A segurança da informação tem a função de proteger a informação e os sistemas de informação de possíveis ataques às organizações, tendo como pilares a confidencialidade, a integridade e a disponibilidade. Sobre a disponibilidade, pode-se afirmar:
I. A criptografia e a autenticação são algumas das formas que são usadas para garantir a disponibilidade.
II. A disponibilidade está condicionada também a um sistema eficaz, bem como ao funcionamento da rede.
III. É fundamental que existam planos de recuperação frente aos possíveis desastres, para manter a disponibilidade.
IV. Tem como objetivo assegurar o estado original dos dados, para que sejam assim disponibilizados.
V. Os métodos para a manutenção da disponibilidade dependem diretamente da confiabilidade.
São verdadeiras:
A. 
I, III e IV.
B. 
II, IV e V.
C. 
II e III.
Por que esta resposta é a correta?
Apenas são verdadeiras as afirmações II e III.
A segurança da informação tem a função de proteger a informação e os sistemas de informação de possíveis ataques às organizações, tendo como pilares a confidencialidade, a integridade e a disponibilidade.
A confidencialidade diz respeito aos dados armazenados e também aos dados que estão sendo transmitidos e precisam ser protegidos durante a transmissão. O uso de senhas, criptografia, autenticação e defesa contra ataques de penetração são técnicas que podem ser utilizadas para preservar a confidencialidade, o que torna a afirmativa I incorreta.
A disponibilidade é a garantia de que os dados estarão disponíveis sempre que necessário. Para que isso ocorra e seja eficaz, depende de fatores como funcionamento apropriado da rede e eficácia dos sistemas, o que confirma a afirmativa II.
Planos de recuperação de desastres e backups eficientes são essenciais para que as informações se mantenham disponíveis mesmo em casos de acidentes, o que confirma a afirmativa III.
A integridade tem como objetivo garantir o estado original dos dados, isto é, certificar que as informações acessadas não foram modificadas, destruídas ou sofreram fraudes, o que torna a afirmativa IV incorreta.
As técnicas usadas para garantir a confiabilidade são o caminho para a integridade, já que um invasor não conseguirá modificar o que não for possível acessar, o que torna a afirmativa V incorreta.
D. 
I e V.
E. 
II e IV.
Exercícios
3. 
A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A utilização da internet inseriu muitas vulnerabilidades de segurança, pois ela pode ser portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, o número de ameaças à segurança também aumentou. Entre essas ameaças, há os ataques direcionados. Sobre esse tipo de ataques, considere as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F).
( ) O ataque direcionado não segue uma linha específica, pois ele é direcionado às informações em geral das organizações.
( ) São ataques que não tem constância, já que os invasores não permanecem ativos após a abordagem inicial.
( ) Uma das principais ameaças virtuais e exemplo de ataque direcionado é o business email compromise.
( ) O possível invasor estuda muito bem as organizações que pretende atacar e identifica um profissional de alta função.
( ) Os invasores fazem de tudo para que, mesmo após o ataque inicial, o ataque continue sendo efetuado.
Assinale a alternativa que contenha a sequência correta:
A. 
F – F – V – V – V.
Por que esta resposta é a correta?
A sequência correta é: F – F – V – V – V.
A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A utilização da internet inseriu muitas vulnerabilidades de segurança, pois pode ser portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, o número de ameaças à segurança também aumentou. Entre essas ameaças, temos os ataques direcionados, que usam informações específicas de uma empresa, para executar o ataque, sendo portanto a primeira afirmativa falsa.
Esses ataques são persistentes, pois os invasores fazem o possível para que o ataque continue após a penetração inicial, o que confirma a quinta afirmativa e torna a segunda afirmativa falsa.
O business email compromise é um exemplo de ataque direcional e também é uma das principais ameaças virtuais, o que confirma a terceira afirmativa.
O atacante estuda muito bem o seu alvo e faz uso da engenharia social, com o objetivo de induzir as vítimas ao erro, como fazer depósitos em uma conta. Ele estuda tão bem a organização a ponto de identificar um profissional de alto cargo e um funcionário da área financeira, por exemplo, responsável por pagamentos, o que confirma a quarta afirmativa.
B. 
V – F – F – V – V.
C. 
F – V – V – F – V.
D. 
F – F – V – V – F.
E. 
V – V – F – F – F.
4) Entre as possíveis ameaças que fazem parte das ações dos cibercriminosos, que usam computadores como instrumentos para cometer atos ilegais, há as ameaças persistentes avançadas (APT, do inglês advanced persistent threats). A respeito desse tipo de ameaça, pode-se afirmar que:
I. É uma técnica de ataque continuado em que o atacante procura o acesso a um sistema e então permanece nele durante um tempo.
II. O governo e as grandes organizações costumam ser os principais alvos desse tipo de ameaças, que usam técnicas como malwares.
III. O acesso contínuo efetuado a partir da ameaça persistente avançada ocorre por meio de quatro etapas bem direcionadas pelo atacante.
São verdadeiras:
A. 
II e III.
B. 
I e II.
Por que esta resposta é a correta?
São verdadeiras: I e II.
Entre as possíveis ameaças que fazemparte das ações dos cibercriminosos, que usam computadores como instrumentos para cometer atos ilegais, temos as ameaças persistentes avançadas, que usam técnicas de hacking contínuas — tentativas de explorar sistemas de computadores, com propósitos ilícitos —, clandestinas e sofisticadas. Tais técnicas objetivam obter o acesso a um sistema e manter-se dentro dele por um longo período, o que confirma a afirmativa I.
Geralmente, esses ataques são direcionados a alvos como o governo ou grandes organizações. São usadas técnicas como malwares e phishing para obter acesso à rede desejada, o que confirma a afirmativa II.
Kaspersky (2020) afirma que um APT tem como propósito obter acesso contínuo aos sistemas por meio de cinco estágios, o que torna a afirmativa III incorreta.
C. 
I e III.
D. 
III.
E. 
I.
Exercícios
5. 
Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram conectados a uma rede, é fundamental que as organizações tenham um gerenciamento de segurança eficiente, que possa proteger os acessos às redes, bem como os dados armazenados e transmitidos por meio delas. A respeito do gerenciamento de segurança, escolha a alternativa correta:
A. 
Como uma das técnicas usadas no gerenciamento de segurança, há a autenticação, que atualmente, devido ao avanço das ameaças, já não diminui os riscos de ataques, mesmo quando é exitosa. 
B. 
Uma das formas mais seguras do gerenciamento de segurança, quando se trata da técnica de autenticação, é a autenticação em duas etapas de verificação, como o uso do token. 
Por que esta resposta é a correta?
Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram conectados a uma rede, é fundamental que as organizações tenham um gerenciamento de segurança eficiente, que possa proteger os acessos à rede, bem como os dados armazenados e transmitidos por meio dessas redes. Para que isso aconteça, é necessária a utilização de algumas técnicas e estratégias de segurança, para que sejam evitadas as ameaças.
A autenticação é uma dessas técnicas, sendo que, nos sistemas de computadores, podem ser usados quatro fatores para autenticar:
· algo que o sujeito sabe;
· algo que o sujeito possui;
· algo que o sujeito é; e
· o lugar onde o sujeito está localizado.
A autenticação é um dos principais fatores para qualquer sistema de segurança e, quando é bem-sucedida, diminui os riscos de ataques. A forma mais utilizada de autenticação é por meio de usuário e senha. A segurança física depende do segundo fator, algo que o sujeito possui.
Tokens e smartcards estão sendo muito utilizados pelas empresas como forma de autenticação. Trata-se de dispositivos que devem ser conectados fisicamente aos computadores para que o usuário seja identificado e autenticado nos sistemas. A autenticação em dois fatores é um mecanismo ainda mais seguro, em que é usada uma combinação de dois dos fatores citados anteriormente, considerando-se apenas os três primeiros. Por exemplo, quanto ao token, além da necessidade de possuí-lo fisicamente, o sujeito precisa saber o código de acesso e, só então, será autenticado.
Nos sistemas de segurança, diferentes usuários possuem diferentes autorizações de acesso. Dentro de uma organização, por exemplo, colaboradores do setor financeiro não devem possuir acesso aos arquivos do setor de recursos humanos. Dentro de uma rede, essas autorizações são dadas de acordo com o nome de usuário, que são nomes únicos definidos para cada usuário.
C. 
Para um bom gerenciamento de segurança, é importante que, dentro de uma organização, os colaboradores possuam acesso às informações dos demais setores dessa organização, mesmo que não atuem neles.
D. 
As diferentes técnicas que são utilizadas para um gerenciamento de segurança eficiente incluem o token e o smartcard, que são senhas individuais fornecidas para os usuários. 
E. 
No processo de gerenciamento de segurança em que é utilizada a autenticação dos usuários para evitar possíveis ameaças, o acesso se dá de forma simplificada, apenas pela senha do usuário.
Exercicios unidade 2 
1. 
Entre as modalidades de segurança, destacam-se a física e a lógica. Sobre essas duas, é correto afirmar:
I. A segurança lógica usa meios mecânicos, como fechaduras tubulares, para proteger ativos como os computadores dos usuários. A partir dessa proteção, o computador e os sistemas nele armazenados estão seguros. 
II. A segurança física compreende meios mecânicos ou eletrônicos que são utilizados com o intuito de coibir as atividades de espionagem industrial, tendo como principal objetivo o vazamento de segredos de negócio.
III. Como forma de proteção lógica, uma empresa decide adquirir máquinas para todos os funcionários sem portas USB, evitando que segredos de negócio sejam copiados para dispositivos como pendrives. No entanto, esta não é a medida eficaz para evitar o vazamento de tais segredos.
Está(ão) correta(s) somente a(s) afirmativa(s):
A. 
II.
B. 
I e II.
C. 
II e III.
D. 
III.
Por que esta resposta é a correta?
A segurança lógica versa sobre a forma como um sistema é resguardado. Um sistema armazenado em um computador pode ser protegido por meio de login e senha individuais a cada usuário, garantindo que ninguém não autorizado acesse a máquina. Um dispositivo com fechadura tubular pode ser usado para proteger o bem (no caso o computador em si) de ser furtado, mas não protege o sistema em si. Se o usuário compartilhar seus dados de login e senha ou deixá-los expostos em um pedaço de papel ou, mesmo se, ao se ausentar de sua estação de trabalho, não bloquear a tela, o computador estará acessível para qualquer um fazer o que quiser em seu nome. 
A segurança física pode compreender, sim, meios mecânicos ou eletrônicos. Pense na fechadura de combinação eletrônica, por exemplo. Ela nada mais é do que um pequeno programa que faz parte do esquema de segurança física (para proteger um pequeno cofre de um quarto de hotel ou para controlar o acesso a determinadas salas de uma empresa). Não está correta a parte da questão que versa sobre o objetivo de se evitar a espionagem industrial. Incidentes de segurança podem envolver também a ausência da disponibilidade, da integridade e da confidencialidade (a tríade da segurança da informação). 
De fato, considerando que todos os dispositivos utilizados atualmente têm entrada USB (HDs externos com grande capacidade de armazenamento, assim como pendrives, por exemplo), máquinas sem essas entradas podem ser uma medida para evitar o vazamento de segredos de negócio ou dados confidenciais, mas o simples fato de adquirir máquinas sem USB não evita a cópia de segredos de negócio ou dados importantes da organização. O funcionário pode usar outros mecanismos para vazar os dados, como o correio eletrônico, por exemplo. Mais importante do que o investimento em TI e uso de ferramentas é a consciência de todos os colaboradores. A segurança é responsabilidade de todos dentro da empresa.
E. 
I e III.
2 ) A segurança física e lógica em qualquer ambiente precisa ser garantida quando se trata de informações organizacionais. Analise as afirmações a seguir e informe quais dimensões da segurança estão sendo tratadas, respectivamente, em cada uma delas: 
I. Não instalar equipamentos (catracas) em áreas de acesso público (recepção da empresa, por exemplo) que permitam o acesso à rede interna da organização.
II. Os colaboradores não podem executar nenhuma operação de TI que seja incompatível com sua função profissional.
III. Apenas usuários autorizados devem ter acesso de uso aos sistemas.
IV. Proteger o local de armazenamento das unidades de backup e restringir o acesso a computadores.
A. 
Dimensão física, dimensão lógica, dimensão física, dimensão lógica.
B. 
Dimensão lógica, dimensão física, dimensão física, dimensão lógica.
C. 
Dimensão lógica, dimensão física, dimensão lógica, dimensão física.
D. 
Dimensão física, dimensão física, dimensão lógica, dimensão física.
E. 
Dimensão física, dimensão lógica, dimensão lógica, dimensão física.Por que esta resposta é a correta?
A afirmação I refere-se à instalação de um mecanismo de controle físico para evitar que alguém sem autorização entre na empresa. Já a afirmação II refere-se à dimensão lógica, porque menciona operações de TI incompatíveis com o perfil profissional do colaborador. A afirmação III também se refere à dimensão lógica, porque qualquer sistema dentro de uma empresa precisa ser configurado e acessado apenas pelos colaboradores que necessitarão trabalhar com ele. Ninguém sem a devida permissão deve ser autorizado a acessá-lo. Já a afirmação IV refere-se à dimensão física, porque o local onde estão armazenadas as unidades de backup, além dos computadores, é um local físico. Este deve ser preservado para que intrusos não o acessem.
Exercícios
3. 
A segurança da informação demanda a utilização de mecanismos de segurança tanto no ambiente lógico quanto no ambiente físico. A partir dessa afirmação, analise o cenário a seguir e escolha a alternativa correta:
Um cliente, ao contratar um serviço para tratamento e digitalização dos documentos sob guarda de sua contratada, exige que esses documentos sejam manuseados em uma sala separada somente para esse fim e com segurança de acesso adequada. Nesse caso, qual das opções a seguir é a mais recomendada para implementar a segurança solicitada pelo cliente?
A. 
Cartão com tarja magnética.
B. 
Fechadura de pinos.
C. 
Fechadura de combinação eletrônica.
Por que esta resposta é a correta?
A fechadura de combinação eletrônica é adequada para as exigências do cliente, porque, ao se implementar a segurança por meio de um código, a probabilidade de cloná-lo é praticamente nula. Além disso, o código de segurança para acesso à sala pode sempre ser trocado para manter a segurança no nível aceitável. E, se houver algum vazamento (alguém que tenha observado inadvertidamente a digitação do código), a senha pode ser alterada na hora. 
O cartão com tarja magnética não é adequado porque pode ser facilmente clonado ao ser substituído por outro leitor que grave os dados lidos no dispositivo, sendo possível sua clonagem sem grandes dificuldades. 
A fechadura de pinos não é recomendável porque sua chave pode ser copiada sem grandes dificuldades, sendo possível a chave cair em mãos erradas, ocasião em que a segurança é comprometida. 
O código de barras não é recomendado porque ele é uma tinta sobre um dispositivo (na maior parte, em papel), que pode ser copiado. No caso aqui estudado, o código de barras utilizado para o acesso à sala poderia ser replicado e lido sem esforço algum. Um invasor poderia fotografar o código de barras em seu celular, e o leitor do código liberaria o acesso à sala a partir da leitura da foto no smartphone. 
O RFID não é adequado porque sua tecnologia é mais adequada para rastreamento. Se o cliente desejasse saber a localização exata de seus documentos dentro da organização, então o RFID seria a melhor opção, mas não para a liberação de acesso de uma sala com o controle de acesso exigido pelo cliente.
D. 
Código de barras.
E. 
RFID.
4) . 
A segurança da informação é uma responsabilidade holística na organização, independentemente do cargo e da atividade de cada um. A partir dessa afirmação, analise a situação a seguir: 
Um colaborador elaborou um relatório e o repassou para seu chefe revisar antes que o documento fosse enviado ao cliente. O chefe fez os ajustes e, então, ordenou a esse colaborador que se logasse no sistema X para gerar o relatório em PDF e enviá-lo ao cliente. O colaborador se logou no sistema X com seus dados, visualizou o relatório e fez uma alteração no honorário do documento sem querer, gerando o arquivo PDF logo em seguida para envio ao cliente. 
Que tipo de problema de segurança se evidencia aqui? 
A. 
Autenticidade.
B. 
Confidencialidade.
C. 
Disponibilidade.
D. 
Privacidade.
E. 
Integridade.
Por que esta resposta é a correta?
A integridade é a propriedade da exatidão da completeza da informação. Se o documento foi alterado, ele já não está mais íntegro, razão pela qual essa opção está correta. 
A autenticidade é a propriedade que garante que a informação veio de uma fonte conhecida e não sofreu nenhum tipo de alteração ao longo de um processo. Se o usuário se logou no sistema com seus dados, ele cumpriu com o requisito da autenticidade, mas o problema relatado não foi dessa ordem. 
A confidencialidade diz respeito à propriedade de que a informação não é disponibilizada ou divulgada a indivíduos, entidades ou processos não autorizados, o que não é o caso aqui. 
A disponibilidade é a propriedade que diz respeito ao fato de a informação ser acessível e utilizável sob demanda por uma entidade autorizada, o que não é o caso aqui.
A privacidade consiste em limitar o acesso a informações pessoais, ou seja, um indivíduo pode desejar que suas informações não sejam compartilhadas, o que não é o caso aqui. 
5) A confidencialidade e a disponibilidade são parte integrante da segurança da informação. Analise os itens I, II e III a seguir e escolha a opção que mostra corretamente esses dois construtos: 
I. post-it com os dados de login e senha disponibilizados no monitor;
II. orientações de como acessar um servidor digitadas em aplicativo de mensagem instantânea (WhatsApp ou Telegram, por exemplo) do smartphone;
III. documento financeiro que ficou disponível na impressora logo após a impressão pelo gerente financeiro.
A. 
As afirmativas I e III referem-se à disponibilidade, e a afirmativa II refere-se à confidencialidade.
B. 
As afirmativas I e II referem-se à disponibilidade, e a afirmativa III refere-se à confidencialidade.
C. 
As afirmativas I, II e III referem-se à confidencialidade.
Por que esta resposta é a correta?
As afirmativas I, II e III dizem respeito à confidencialidade. Esta é a propriedade da informação que garante que a informação não estará disponível indevidamente ou não deverá ser divulgada a indivíduos ou outras entidades sem autorização. As alternativas I, II e III não podem estar relacionadas com disponibilidade, porque esta diz respeito ao fato de a informação ser acessível e utilizável sob demanda por uma entidade autorizada, o que não é o caso de nenhuma das afirmativas.
D. 
As afirmativas I e II referem-se à confidencialidade, e a afirmativa III refere-se à disponibilidade.
E. 
As afirmativas I, II e III referem-se à disponibilidade.