N2 - Segurança da Informação

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
Com relação à criptografia, avalie os itens a seguir. Depois, assinale a 
alternativa com as afirmativas corretas. 
 
I. Em sistemas de chaves simétricas, as chaves do emissor e do receptor da 
informação criptografada são idênticas e secretas. Em sistemas de chaves 
públicas, é utilizado um par de chaves, uma delas de posse tanto do 
emissor quanto do receptor e a outra de posse de apenas um deles. 
II. A tecnologia de chave pública é fundamentada no padrão X.509, sendo 
composta de programas, formatos de dados, procedimentos, protocolos de 
comunicação, políticas de segurança e mecanismos criptográficos de chave 
pública, de forma a viabilizar autenticação, a confidencialidade, o não-
repúdio e a integridade às informações compartilhadas. 
III. Os seguintes itens são fundamentais para que a criptografia e a 
descriptografia sejam viáveis: software, protocolos, algoritmos e chaves. 
Durante o processo de autenticação, os dois componentes selecionam a 
chave que será usada para prover a privacidade durante a comunicação 
posterior. Pode-se utilizar também um servidor de autenticação como 
terceiro ente confiável. 
IV. Assinatura digital é uma ferramenta para provar que os dados foram 
gerados pelo detentor de uma chave específica. Trata-se de um caso 
especial de código de integridade de mensagens, em que o código pode ter 
sido composto por apenas um dos participantes. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: 
I, II, III, IV. 
Resposta Correta: 
I, II, III, IV. 
Comentário 
da resposta: 
Resposta correta. Criptografia de chave privada ou única 
faz uso de uma única chave tanto para codificar como 
para decodificar informações, sendo utilizada 
majoritariamente para assegurar a confidencialidade das 
informações. A assinatura digital se baseia no fato de que 
apenas o dono conhece a chave privada e que, se ela foi 
usada para codificar uma informação, então apenas seu 
dono poderia ter feito isto. A verificação da assinatura é 
feita com o uso da chave pública, pois se o texto foi 
codificado com a chave privada, somente a chave pública 
correspondente pode decodificá-lo. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
O gerenciamento de riscos corresponde a processos coordenados para 
nortear e controlar uma instituição no que se refere a riscos. Considere e 
assinale a alternativa correta depois de avaliar os seguintes itens. 
 
I. As análises/verificações de riscos devem ser realizadas 
regularmente para abranger as modificações nos requisitos de Segurança 
da Informação e nas situações de risco, ou seja, em ativos, ameaças, 
vulnerabilidades, impactos, análises do risco e quando uma mudança 
relevante acontecer. 
II. O escopo de uma análise/avaliação de riscos pode ser toda a 
instituição, partes da instituição, um sistema de informação determinado, 
módulos de um sistema determinado ou processos específicos em que isto 
seja praticável, viável e útil. 
III. Antes de julgar o tratamento de um risco, a instituição deve definir 
os critérios para decidir se eles podem ser ou não aceitos. O risco pode ser 
aceito se, por exemplo, for avaliado que é pequeno ou que o desembolso 
para o tratamento não é financeiramente viável para a instituição. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: 
I, II e III. 
Resposta Correta: 
I, II e III. 
Comentário 
da resposta: 
Resposta correta. Todas as assertivas estão corretas pois 
a gestão de risco abrange desde avaliações periódicas de 
risco como à especificação da definição de critérios 
específicos a fim de decidir quais os riscos que podem 
ser aceitos. 
 
 
• Pergunta 3 
1 em 1 pontos 
 
Com relação ao uso da criptografia de chave simétrica e da criptografia de 
chave pública, é correto dizer que: 
 
Resposta 
Selecionada: 
 
A criptografia de chave simétrica possui maior 
desempenho e, por isso, é recomendada para grandes 
volumes de informação. Já a criptografia de chave 
pública possui desempenho inferior, sendo 
recomendada para assinaturas digitais e troca de chaves. 
Resposta 
Correta: 
 
A criptografia de chave simétrica possui maior 
desempenho e, por isso, é recomendada para grandes 
volumes de informação. Já a criptografia de chave 
 
pública possui desempenho inferior, sendo 
recomendada para assinaturas digitais e troca de chaves. 
Comentário 
da resposta: 
Resposta correta. A criptografia de chave simétrica, 
quando comparada com a de chaves assimétricas, é a 
mais recomendada para garantir a confidencialidade de 
grandes quantidades de informação, pois o seu 
processamento é mais rápido. Porém, quando utilizada 
para troca de informações, torna-se complexa e pouco 
escalável. 
 
• Pergunta 4 
0 em 1 pontos 
 
Na criptografia de chave assimétrica, as mensagens são codificadas com 
uma chave: 
 
Resposta 
Selecionada: 
 
privada e decodificadas com a chave pública 
correspondente. 
Resposta Correta: 
pública e decodificadas com a chave privada 
correspondente. 
Comentário da 
resposta: 
Sua resposta está incorreta. A chave pública é 
distribuída abertamente, sendo utilizada para codificar a 
informação. A chave privada serve para decodificar, 
considerando-se que é secreta. 
 
 
• Pergunta 5 
0 em 1 pontos 
 
Entende-se por plano de contingência: 
Resposta 
Selecionada: 
 
um conjunto de processos preventivos e alternativos que 
visam administrar o ambiente de contingenciamento de 
informações da organização. 
Resposta 
Correta: 
 
planejamento universal que tem como principal objetivo 
a manutenção do ambiente de informações da 
organização com total segurança, para prevenção contra 
quaisquer ameaças à integridade e às operações. 
Comentário da 
resposta: 
Sua resposta está incorreta. É necessário ter claro o 
conceito de plano de contingência para chegar à 
resposta correta. 
 
 
• Pergunta 6 
1 em 1 pontos 
 
Maria recebeu uma mensagem de Pedro e gostaria de ter a garantia que o 
texto não teve o conteúdo modificado por outra pessoa. De acordo com os 
princípios da Segurança da Informação, assinale a alternativa que indica o 
princípio com a finalidade precípua de garantir esse objetivo. 
 
Resposta Selecionada: 
Integridade. 
Resposta Correta: 
Integridade. 
Comentário 
da resposta: 
Resposta correta. A integridade é a propriedade que 
evidencia que a informação deve manter todas as 
características estabelecidas quando foi liberada pelo seu 
proprietário, garantindo a sua proteção contra alterações 
intencionais, indevidas ou acidentais. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Avalie as seguintes afirmações associadas à Segurança da Informação: 
 
I. Vulnerabilidade corresponde à ocorrência de um evento com 
consequências negativas originadas de um ataque efetivo. 
II. Ameaça corresponde à probabilidade de ocorrência de um evento 
acidental ou proposital, perpetrada por um agente, que pode afetar um local, 
sistema ou ativo de informação de uma instituição. 
III. A vulnerabilidade é a origem de um evento que pode ter resultados 
negativos sobre um ativo de informação de uma instituição. 
IV. Ataque é um evento originado pela utilização de certa vulnerabilidade por 
uma ameaça. 
 
Assinale a alternativa que contenha as afirmações verdadeiras. 
 
Resposta Selecionada: 
II e IV apenas. 
Resposta Correta: 
II e IV apenas. 
Comentário 
da resposta: 
Resposta correta. Uma ameaça corresponde a qualquer 
evento que explore vulnerabilidades. O conceito de 
ataque corresponde a qualquer ação que comprometa a 
segurança de uma organização. 
 
 
• Pergunta 8 
0 em 1 pontos 
 
Hélder é o administrador de Segurança da Informação do Tribunal Regional 
do Trabalho da 5ª Região e deve gerenciar a segurança das informações 
fundamentado das especiações presentes na NBR ISO / IEC 27002. 
 
De acordo com a norma, na atribuição de incumbências para a Segurança 
da Informação: 
 
Resposta 
Selecionada:a delegação das atribuições pela informação deve ser 
realizada de forma independente da política de 
Segurança da Informação. 
Resposta 
Correta: 
 
um processo comum é apontar um responsável para 
cada ativo a fim de atribuir a segurança dele a esse 
colaborador. 
Comentário 
da resposta: 
Sua resposta está incorreta. É recomendado pela norma 
IEC/ ISO 27002 que pessoas com atribuições delimitadas 
pela Segurança da Informação possam delegar as rotinas 
de segurança da informação para outros colaboradores. 
Entretanto, eles ainda são os responsáveis por verificar 
se as tarefas delegadas estão sendo praticadas conforme 
a norma. 
 
 
• Pergunta 9 
1 em 1 pontos 
 
O gerenciamento de riscos consiste em um dos procedimentos que são de 
alta relevância quando o assunto é a política de Segurança da Informação 
de uma organização. De modo a funcionar, suas etapas devem ser 
organizadas, mensuradas e administradas com peculiaridade – só assim é 
possível atingir os objetivos propostos. 
 
Consistem em etapas que compõe o processo de levantamento de riscos: 
I. Concepção dos objetivos. 
II. Reconhecimento de riscos. 
III. Exame de riscos. 
IV. Planejamento do tratamento de risco. 
V. Formação de controles. 
 
É correto o que consta em: 
 
Resposta Selecionada: 
I, II, III, IV e V. 
Resposta Correta: 
I, II, III, IV e V. 
 
Comentário 
da resposta: 
Resposta correta. O gerenciamento de riscos consiste em 
um dos procedimentos que são de alta relevância 
quando o assunto é a política de Segurança da 
Informação de uma organização. Ele visa reduzir as 
ocorrências que possam interferir negativamente na 
integridade, no sigilo e na disponibilidade das 
informações utilizadas pela organização. Dentre as 
atividades mais relevantes da gestão de riscos, podemos 
listar: elaboração dos objetivos, identificação de riscos, 
análise de riscos, planejamento do tratamento de risco, 
construção de controles e avaliação dos riscos. 
 
• Pergunta 10 
1 em 1 pontos 
 
Com relação aos procedimentos de segurança de acesso a dados, e tendo 
como referência a norma ISO/IEC 27002:2013, evidencia-se o 
gerenciamento de senhas de acesso. 
 
Nessa situação, aconselha-se que: 
 
Resposta 
Selecionada: 
 
Sempre que houver a suspeita ou indícios de 
vazamento, os usuários devem atualizar suas senhas 
de acesso. 
 
Resposta 
Correta: 
 
Sempre que houver a suspeita ou indícios de 
vazamento, os usuários devem atualizar suas senhas 
de acesso. 
 
Comentário 
da resposta: 
Resposta incorreta. Retome o item 9.3.1 completo da 
ISO/IEC 27002:2013 para avaliar as afirmativas da 
questão e chegar à resposta correta: “Diretrizes para 
implementação. Convém que todos os usuários sejam 
informados para: a) manter a confidencialidade da 
informação de autenticação secreta, garantindo que ela 
não é divulgada para quaisquer outras partes, incluindo 
autoridades e lideranças; b) evitar manter anotadas a 
informação de autenticação secreta (por exemplo, papel, 
arquivos ou dispositivos móveis), a menos que elas 
possam ser armazenadas de forma segura e o método de 
armazenamento esteja aprovado (por exemplo, sistema 
de gerenciamento de senha; c) alterar a informação de 
 
autenticação secreta, sempre que existir qualquer 
indicação de possível comprometimento do sistema ou 
da própria senha; d) Quando as senhas são usadas como 
informação de autenticação secreta, selecione senhas de 
qualidade com um tamanho mínimo que sejam: 1) fáceis 
de lembrar; 2) não baseadas em nada que alguém 
facilmente possa adivinhar ou obter usando informações 
relativas à pessoa, por exemplo, nomes, números de 
telefone e datas de aniversário; 3) não vulneráveis a 
ataques de dicionário (por exemplo, não consistir em 
palavras inclusas no dicionário); 4) isentas de caracteres 
idênticos consecutivos, todos numéricos ou todos 
alfabéticos sucessivos; 5) caso a senha seja temporária, 
ela deve ser mudada no primeiro acesso ( log-on) e) não 
compartilhar a informação de autenticação secreta de 
usuários individuais; f) garantir adequada proteção de 
senhas quando as senhas são usadas como informação 
de autenticação secreta em procedimentos automáticos 
de acesso ( log-on) e são armazenadas; g) não utilizar a 
mesma informação de autenticação secreta para uso com 
finalidades profissionais e pessoais”. 
 
Terça-feira, 19 de Outubro de 2021 13h01min30s BRT