apol segurança de sistemas

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas.
Com relação a esses referenciais, pode-se afirmar que:
Nota: 10.0
	
	A
	O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades.
	
	B
	O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para identificar e classificar os riscos.
	
	C
	O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação.
	
	D
	Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações.
	
	E
	As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação.
Você acertou!
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão impressa).
Questão 2/10 - Segurança em Sistemas de Informação
A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente de grande valor. Na era da informação na qual vivemos, o volume de informação que produzimos, manipulamos e armazenamos é muito elevado, dada a facilidade de fazê-lo através dos meios eletrônicos. Embora a informação possa manifestar-se em diversos meios – impressa ou eletrônica, analógica ou digital, etc., é no modelo digital e eletrônico que tem seu expoente em termos de volume, flexibilidade e facilidade de uso e acesso. Nesse contexto essa mesma informação está continuamente exposta a riscos de segurança, os quais atentam contra as suas características básicas: a confidencialidade, a integridade e a disponibilidade da informação. Estes riscos, quando concretizados, resultam no que se denomina incidente de segurança.
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada uma como (F)alsa ou (V)erdadeira:
(  ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas interfaces estão sujeitos a falhas, erros e faltas.
(  ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, geralmente referenciados genericamente como malwares.
(  ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que interferem no hardware, tais como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de temperatura de operação, e portanto não podem ser consideradas como vulnerabilidades.
(  ) Algumas características de dispositivos e ambientes computacionais eliminam as vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de personalização, a conectividade, a convergência de tecnologias e capacidades reduzidas de armazenamento e processamento de informações.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula:
Nota: 10.0
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
	
	E
	V-V-F-F
Você acertou!
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 9 a 15 da Rota de Aprendizagem (versão impressa).
Questão 3/10 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por anos a fio no decorrer da história da humanidade.
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa:
(  ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar
 (  ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de aplicação do princípio do menor privilégio.
(  )  Os princípios da diversidade da defesa e da defesa em profundidade são convergentes,  embora possam ser aplicados em diferentes níveis ou estágios da proteção.
(  ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula:
Nota: 10.0
	
	A
	V-F-F-F
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
Você acertou!
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa).
	
	E
	V-V-V-F
Questão 4/10 - Segurança em Sistemas de Informação
Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, a partir da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da fotografia, seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de informação produzida, disponível e transportada ganhou tamanha proporção.
Avalie as afirmações sobre os conceitos de informação a seguir:
I – A informação é restrita a um conjunto de nomes, números, imagens e sons.
II – No mundo moderno a informação somente pode existir com o uso da tecnologia.
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na separação entre a informação e os dados.
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter sua utilidade e seu valor.
V – Os dados são os resultados da análise ou processamento que, mediante processos e regras definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos.
Assinale a única alternativa coerente com o conteúdo apresentado na disciplina:
Nota: 10.0
	
	A
	Somente as afirmações I e II estão corretas.
	
	B
	Somente as afirmações II e IV estão corretas.
	
	C
	Somente as afirmações III e IV estão corretas.
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 3 e 4 da Rota de Aprendizagem (versão impressa).
	
	D
	Todas as afirmações são corretas.
	
	E
	Nenhuma das afirmações é correta.
Questão 5/10 - Segurança em Sistemas de Informação
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetiva.
Considere as afirmações a seguir quanto à Política de Segurança da Informação:
(  ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável.(  ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação.
(  ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita.
(  ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela segurança da informação da organização, levando em conta que a segurança da informação não é responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula:
Nota: 10.0
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-V-V-V
	
	D
	V-V-V-F
	
	E
	F-F-V-V
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 8 e 9 da Rota de Aprendizagem (versão impressa).
Questão 6/10 - Segurança em Sistemas de Informação
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em ocorrências, podem causar impactos indesejados em suas características. Quanto à essas características pode-se afirmar que:
I – A confidencialidade refere-se à manutenção do valor e das características originais da informação.
II - Uma informação integra é aquela que jamais sofreu qualquer tipo de alteração durante o seu ciclo de vida.
III – A disponibilidade da informação é o oposto da confidencialidade, já que qualquer informação disponível não é confidencial.
IV – A legalidade, a privacidade e a auditabilidade são também características da informação ligadas à segurança da informação, segundo alguns autores.
V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por intermédio da Internet.
Assinale a única alternativa que confere com o que foi apresentado na aula:
Nota: 10.0
	
	A
	Somente as afirmações I e II estão corretas.
	
	B
	Somente as afirmações IV e V estão corretas.
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 6 e 7 da Rota de Aprendizagem (versão impressa).
	
	C
	Somente as afirmações III e IV estão corretas.
	
	D
	Todas as afirmações são corretas.
	
	E
	Nenhuma das afirmações é correta.
Questão 7/10 - Segurança em Sistemas de Informação
A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir).
Com relação ao processo de gestão de riscos é correto afirmar que:
Nota: 0.0
	
	A
	Impacto é a medida do resultado que um incidente pode produzir nos negócios da organização.
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 12 a 14 da Rota de Aprendizagem (versão impressa).
	
	B
	A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos, e auxilia no cálculo do ROI – return of investiment.
	
	C
	Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela eliminação de vulnerabilidades ou tratamento contra as ameaças.
	
	D
	Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do risco.
	
	E
	Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo aplicando um tratamento aos riscos é improvável que se consiga eliminá-los totalmente.
Questão 8/10 - Segurança em Sistemas de Informação
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Entretanto alguns dispositivos desta infraestrutura têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão.
Avalie as afirmativas a seguir, referentes a estes dispositivos.
I – Softwares antivírus podem incluir um conjunto de funcionalidades como personal firewall, combate ao spam, ao keylogging e ao pishing, entre outras.
II - A tradução de endereços, principal função de um Proxy, é uma medida de segurança que impede a identificação de endereços da rede interna aos elementos da rede externa.
III - Os tipos de firewalls mais empregados podem ser classificados em filtros de pacotes, stateful inspection e application proxy gateway.
IV – Proxies, Firewalls e IDSs são geralmente instalados em pontos críticos das redes – fronteiras ou bordas, e, dependendo da configuração, podem transformarem-se em gargalos para a comunicação.
Assinale a única alternativa que confere com o conteúdo que foi apresentado:
Nota: 10.0
	
	A
	Somente as afirmações I, II e III são corretas.
Você acertou!
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas de 4 a 8 da Rota de Aprendizagem (versão impressa).
	
	B
	Somente as afirmações I, II e IV são corretas.
	
	C
	Somente as afirmações I, III e IV são corretas.
	
	D
	Somente as afirmações II, III e IV são corretas.
	
	E
	Todas as afirmações são corretas.
Questão 9/10 - Segurança em Sistemas de Informação
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para a gestão financeira, transparência e publicidade dos dados contábeis.É  consequência de prejuízos causados a investidores por meio de fraudes contábeis, resultando em impacto na segurança da informação e dos sistemas por todo o mundo.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das informações dos usuários desse segmento.
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro.
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas.
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
Nota: 10.0
	
	A
	Somente as afirmações I, II e III são corretas.
	
	B
	Somente as afirmações I, II e IV são corretas.
	
	C
	Somente as afirmações I, III e IV são corretas.
	
	D
	Somente as afirmações II, III e IV são corretas.
	
	E
	Todas as afirmações são corretas.
Você acertou!
Conteúdo apresentado no tema AOrganização da Segurança da Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa).
Questão 10/10 - Segurança em Sistemas de Informação
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se.
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como (F)alsa ou (V)erdadeira.
(  ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão.
(  ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou danosas à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes ambientes.
(  ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, log de acessos e tradução de endereços internos para externos (NAT).
(  ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada como um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente desconhecido e inseguro.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula:
Nota: 0.0
	
	A
	V-F-F-V
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 4 e 5 da Rota de Aprendizagem (versão impressa).
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
	
	E
	V-V-V-F