PROVA ATIVIDADE PRÁTICA - SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação 
O processo de identidade e autorização é parte importante da proteção, especialmente 
no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à 
rede, aos recursos computacionais e à informação estando fora do perímetro de 
segurança da organização. 
O processo de identificação precisa ser completado com a verificação, com base em: 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática 
do solicitante. 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, 
alguma coisa que o solicitante possui no momento da autorização. 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de 
voz, caligrafia e taxa de digitação. 
Assinale a única alternativa que confere com o material e com o que foi apresentado 
na aula: 
 
Nota: 10.0 
 A Somente as afirmações I e III são corretas. 
 
 B Somente as afirmações II e IV são corretas. 
 
 C Somente as afirmações III e IV são corretas. 
 
 D Somente as afirmações I e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, página 4 da Rota de Aprendizagem (versão impressa). 
 
 E Todas as afirmações são corretas. 
 
 
Questão 2/10 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas 
estratégias, ou grande parte delas, são oriundas de estratégias militares de defesa e 
foram validadas por sua aplicação por milhares de vezes no decorrer da história da 
humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um 
superior é um caso de aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são 
equivalentes pois sempre atuam em um mesmo nível de proteção. 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a 
obscuridade é necessário utilizar mecanismos muito complexos. 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. 
Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que 
pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se 
dimensionar 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V 
para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no 
material e em aula: 
 
Nota: 10.0 
 A V-F-F-F 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa). 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
 D F-V-V-V 
 
 E V-V-V-F 
 
 
Questão 3/10 - Segurança em Sistemas de Informação 
A análise de impacto nos negócios ou BIA – Business Impact Analysis - é uma 
ferramenta essencial para a gestão da continuidade dos negócios. O propósito da BIA 
é o conhecimento dos processos de negócio e a avaliação dos mesmos quanto as 
possibilidades de incidentes que possam interrompê-los. No que se refere à BIA é 
correto afirmar que: 
I – A BIA serve para identificar todas as ameaças às quais os sistemas e as 
informações estão sujeitas e que demandam um tratamento preventivo. Por isso os 
dois insumos básicos da BIA são os relatórios de BCP – Business Continuity Plan e a 
análise de riscos. 
II – A avaliação de possíveis perdas ou interrupções da capacidade produtiva da 
organização é suportada pelo BPM – Business Process Management ou 
gerenciamento dos processos de negócio. 
III - A BIA é apoiada nas normas ISO/IEC 27005 e ISO/IEC 22301 e visa 
principalmente manter a confidencialidade da informação. 
IV - Riscos de negócios, para a BIA, referem-se à possibilidade de perda de recursos 
requeridos para a entrega de produtos e serviços, como por exemplo pessoal, 
instalações, equipamentos, fornecedores e tecnologia. 
Avalie as afirmações e selecione a única alternativa a seguir que confere com o 
conteúdo apresentado em aula: 
 
Nota: 10.0 
 A Somente as afirmações I e II são corretas. 
 
 B Somente as afirmações I, II e III são corretas. 
 
 C Somente as afirmações II e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema 2 da Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, páginas 6, 5 e 7 da Rota de Aprendizagem. 
 
 D Somente as afirmações II, III e IV são corretas. 
 
 E Todas as afirmações são corretas. 
 
 
Questão 4/10 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a 
Constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do 
assunto em seus incisos, de maneira ampla e geral. Já a legislação específica tem 
sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a 
aplicação de regulamentos legais ao uso da Internet. 
Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, 
foi aprovada em tempo recorde a seguinte legislação: 
 
Nota: 0.0 
 A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica 
de documentos. 
 
 B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico. 
 
 C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua comercialização no país, 
etc. 
 
 D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet. 
 
Conteúdo apresentado em tema da aula "A Organização da Segurança da Informação", Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
 E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. 
 
 
Questão 5/10 - Segurança em Sistemas de Informação 
Cada sistema computacional possui suas particularidades, quer seja em função de 
suas capacidades – processamento, memória, interfaces, autonomia – quer seja em 
função de sua constituição física ou mobilidade, e também da programação à qual é 
capaz de corresponder. E estas particularidades determinam e requerem proteção 
adequada. É possível classificar e separar os tipos de proteção necessária aos 
componentes do sistema computacional em grupos com características distintas. 
Analise as afirmativas a seguir com base nesta abordagem: 
I – A proteção contra intempéries e fenômenos naturais evita que haja falta de energia 
devido à interrupção do fornecimento por parte da rede elétrica. 
II – Os controles de qualidade atuam sobre a disponibilidade da energia evitando a 
interrupção do fornecimento. 
III – Os controles de acesso, criptografia e capacidade de tráfego são aplicados sobre 
as comunicações dos sistemas computacionais. 
IV – Hardware e software requerem mecanismos de proteção distintos, embora estes 
possam trabalhar de forma conjunta ou interdependente. 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado 
nas aulas e com a sua análise: 
 
Nota: 10.0 
 A Somente as afirmações I, II e III são corretas. 
 
 B Somente as afirmações I, II e IV são corretas. 
 
 C Somente as afirmações II, III e IV são corretas. 
 
 D Somente a afirmação III é correta. 
 E Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas da Aula 4, páginas 3 e 4 da Rota de Aprendizagem (versão impressa). 
 
 
Questão6/10 - Segurança em Sistemas de Informação 
Os negócios feitos por meio da comunicação eletrônica e dos computadores, 
conhecido como e-commerce, não estão restritas à Internet, pois existem outras 
soluções como o uso de bancos e cartões, compras e negociações feitas por terminais 
e dispositivos de comunicação específicos, como tablets, celulares, totens e outros. 
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as como 
(F)alsas ou (V)erdadeiras: 
( ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes 
adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o 
não-repúdio é um aspecto de suma importância, pois evita que falsos compradores 
assumam outra identidade, comprando em nome de outros. 
( ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio 
dos sites de compra, venda e troca, e requer especial atenção ao aspecto de 
identidade dos participantes, uma vez que é difícil comprovar, por meio eletrônico, 
quem realmente está do “outro lado”. 
( ) O B2B – Business to Business, como as operações financeiras, de logística e 
suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já 
que trata especificamente de comunicação entre organizações confiáveis. 
( ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o 
comportamento humano é fator essencial para que as defesas e a proteção sejam 
efetivas. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 A V-F-F-V 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
 D F-V-F-V 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da Aula 4, páginas de 11 a 13 da Rota de Aprendizagem (versão impressa). 
 
 E V-V-F-F 
 
 
Questão 7/10 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que 
provê o controle de acesso à rede. Neste processo é necessário que o requisitante de 
acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que 
determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de 
regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos 
recursos requisitados e devidamente concedidos. 
Assinale a única afirmação abaixo que representa a correta relação entre os serviços 
utilizados com esse intuito. 
 
Nota: 10.0 
 A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede criado pelo MIT para a comunicação individual segura e devidamente 
identificada que utiliza criptografia simétrica. 
 
 B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, autorização e contabilização de acessos para controlar os computadores que 
se conectarão e usarão um determinado serviço de rede. 
 
 C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na internet que inclui a autenticação e identificação do requisitante e a 
criptografia do tráfego. 
 
Você acertou! 
Conteúdo apresentado no tema Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 16 e 17 da Rota de Aprendizagem (versão impressa). 
 
 D O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de forma especial para a comunicação na web, em conjunto com 
navegadores e servidores web. 
 
 E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o 
SSL. 
 
 
Questão 8/10 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura 
que suporta a informação em si, quer sejam os computadores e os componentes das 
redes de computadores, e determinadas funções destes dispositivos acabam 
mesclando-se. 
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando 
cada uma delas como (F)alsa ou (V)erdadeira. 
( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções 
claramente definidas, como os proxies, os firewalls e os detectores de intrusão. 
( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações 
indesejadas ou danosas à informação e aos sistemas, combatendo as ameaças e 
reduzindo a vulnerabilidade destes ambientes. 
( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra 
externa – normalmente a internet, executando operações de autenticação e 
identificação, filtragem de informações, log de acessos e tradução de endereços 
internos para externos (NAT). 
( ) Os firewalls atuam entre a rede de computadores interna da organização - 
geralmente considerada como um ambiente conhecido e seguro – e a rede externa, 
geralmente considerada como um ambiente desconhecido e inseguro. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 0.0 
 A V-F-F-V 
 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 4 e 5 da Rota de Aprendizagem (versão impressa). 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
 D F-V-V-V 
 
 E V-V-V-F 
 
 
Questão 9/10 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que 
provê o controle de acesso à rede. Neste processo é necessário que o requisitante de 
acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que 
determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de 
regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos 
recursos requisitados e devidamente concedidos. 
Analise as afirmativas a seguir, relativas aos serviços utilizados com esse intuito. 
I - O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo 
de rede destinado a centralizar os serviços de autenticação, autorização e 
contabilização de acessos para controlar os computadores que se conectarão e 
usarão um determinado serviço de rede. 
 II - O Kerberos é um protocolo de rede criado pelo MIT para a comunicação individual 
segura e devidamente identificada que utiliza criptografia simétrica. 
III - O HTTPS é uma combinação do HTTP com o SSH, utilizado para a navegação 
segura na internet que inclui a autenticação e identificação do requisitante e a 
criptografia do tráfego. 
IV - O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre 
redes TCP, de forma especial para a comunicação na web, em conjunto com 
navegadores e servidores web. 
Assinale a única alternativa que contempla a avaliação correta das afirmativas 
apresentadas: 
 
Nota: 10.0 
 A Somente as afirmações I e II são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 16 e 17 da Rota de Aprendizagem (versão impressa). 
 
 B Somente as afirmações I, II e IV são corretas. 
 
 C Somente as afirmações II, III e IV são corretas. 
 
 D Somente as afirmações III e IV são corretas. 
 
 E Todas as afirmações são corretas. 
 
 
Questão 10/10 - Segurança em Sistemas de Informação 
Em uma definição simplificada, um banco de dados é um conjunto organizado de dados 
com características comuns, que tem por objetivo possibilitar o armazenamento, a 
recuperação e a modificação da maneira mais rápida possível. E, obviamente, preservar 
estes dados de maneira confiável e segura. O que é necessário para que a segurança 
da informação seja obtida, em um sistema gerenciador de banco de dados – SGBD? 
Nota: 10.0 
Um sistema gerenciador de banco de dados – SGBD, seus mecanismos e componentes devem prover a segurança pormeio de controle de acesso e permissões, registro de atividades e histórico 
de modificações – o log – e a preservação por meio de cópias de segurança – os backups e redundância. 
Conteúdo apresentado no tema 3 da Aula 04, “Banco de Dados”, página 8 da Rota de Aprendizagem. 
Resposta:Os mecanismos e componentes do SGBD devem prover a segurança por meio de controle de acesso e permissões, registro de atividades, histórico de 
modificações(conhecidos como logs) e a preservação por meio de cópias de segurança(backups e redundância).