Baixe o app para aproveitar ainda mais
Prévia do material em texto
• Pergunta 1 1 em 1 pontos Com relação à criptografia, avalie os itens a seguir. Depois, assinale a alternativa com as afirmativas corretas. I. Em sistemas de chaves simétricas, as chaves do emissor e do receptor da informação criptografada são idênticas e secretas. Em sistemas de chaves públicas, é utilizado um par de chaves, uma delas de posse tanto do emissor quanto do receptor e a outra de posse de apenas um deles. II. A tecnologia de chave pública é fundamentada no padrão X.509, sendo composta de programas, formatos de dados, procedimentos, protocolos de comunicação, políticas de segurança e mecanismos criptográficos de chave pública, de forma a viabilizar autenticação, a confidencialidade, o não- repúdio e a integridade às informações compartilhadas. III. Os seguintes itens são fundamentais para que a criptografia e a descriptografia sejam viáveis: software, protocolos, algoritmos e chaves. Durante o processo de autenticação, os dois componentes selecionam a chave que será usada para prover a privacidade durante a comunicação posterior. Pode-se utilizar também um servidor de autenticação como terceiro ente confiável. IV. Assinatura digital é uma ferramenta para provar que os dados foram gerados pelo detentor de uma chave específica. Trata-se de um caso especial de código de integridade de mensagens, em que o código pode ter sido composto por apenas um dos participantes. É correto o que se afirma em: Resposta Selecionada: I, II, III, IV. Resposta Correta: I, II, III, IV. Comentário da resposta: Resposta correta. Criptografia de chave privada ou única faz uso de uma única chave tanto para codificar como para decodificar informações, sendo utilizada majoritariamente para assegurar a confidencialidade das informações. A assinatura digital se baseia no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo. • Pergunta 2 1 em 1 pontos O gerenciamento de riscos corresponde a processos coordenados para nortear e controlar uma instituição no que se refere a riscos. Considere e assinale a alternativa correta depois de avaliar os seguintes itens. I. As análises/verificações de riscos devem ser realizadas regularmente para abranger as modificações nos requisitos de Segurança da Informação e nas situações de risco, ou seja, em ativos, ameaças, vulnerabilidades, impactos, análises do risco e quando uma mudança relevante acontecer. II. O escopo de uma análise/avaliação de riscos pode ser toda a instituição, partes da instituição, um sistema de informação determinado, módulos de um sistema determinado ou processos específicos em que isto seja praticável, viável e útil. III. Antes de julgar o tratamento de um risco, a instituição deve definir os critérios para decidir se eles podem ser ou não aceitos. O risco pode ser aceito se, por exemplo, for avaliado que é pequeno ou que o desembolso para o tratamento não é financeiramente viável para a instituição. É correto o que se afirma em: Resposta Selecionada: I, II e III. Resposta Correta: I, II e III. Comentário da resposta: Resposta correta. Todas as assertivas estão corretas pois a gestão de risco abrange desde avaliações periódicas de risco como à especificação da definição de critérios específicos a fim de decidir quais os riscos que podem ser aceitos. • Pergunta 3 1 em 1 pontos Com relação ao uso da criptografia de chave simétrica e da criptografia de chave pública, é correto dizer que: Resposta Selecionada: A criptografia de chave simétrica possui maior desempenho e, por isso, é recomendada para grandes volumes de informação. Já a criptografia de chave pública possui desempenho inferior, sendo recomendada para assinaturas digitais e troca de chaves. Resposta Correta: A criptografia de chave simétrica possui maior desempenho e, por isso, é recomendada para grandes volumes de informação. Já a criptografia de chave pública possui desempenho inferior, sendo recomendada para assinaturas digitais e troca de chaves. Comentário da resposta: Resposta correta. A criptografia de chave simétrica, quando comparada com a de chaves assimétricas, é a mais recomendada para garantir a confidencialidade de grandes quantidades de informação, pois o seu processamento é mais rápido. Porém, quando utilizada para troca de informações, torna-se complexa e pouco escalável. • Pergunta 4 0 em 1 pontos Na criptografia de chave assimétrica, as mensagens são codificadas com uma chave: Resposta Selecionada: privada e decodificadas com a chave pública correspondente. Resposta Correta: pública e decodificadas com a chave privada correspondente. Comentário da resposta: Sua resposta está incorreta. A chave pública é distribuída abertamente, sendo utilizada para codificar a informação. A chave privada serve para decodificar, considerando-se que é secreta. • Pergunta 5 0 em 1 pontos Entende-se por plano de contingência: Resposta Selecionada: um conjunto de processos preventivos e alternativos que visam administrar o ambiente de contingenciamento de informações da organização. Resposta Correta: planejamento universal que tem como principal objetivo a manutenção do ambiente de informações da organização com total segurança, para prevenção contra quaisquer ameaças à integridade e às operações. Comentário da resposta: Sua resposta está incorreta. É necessário ter claro o conceito de plano de contingência para chegar à resposta correta. • Pergunta 6 1 em 1 pontos Maria recebeu uma mensagem de Pedro e gostaria de ter a garantia que o texto não teve o conteúdo modificado por outra pessoa. De acordo com os princípios da Segurança da Informação, assinale a alternativa que indica o princípio com a finalidade precípua de garantir esse objetivo. Resposta Selecionada: Integridade. Resposta Correta: Integridade. Comentário da resposta: Resposta correta. A integridade é a propriedade que evidencia que a informação deve manter todas as características estabelecidas quando foi liberada pelo seu proprietário, garantindo a sua proteção contra alterações intencionais, indevidas ou acidentais. • Pergunta 7 1 em 1 pontos Avalie as seguintes afirmações associadas à Segurança da Informação: I. Vulnerabilidade corresponde à ocorrência de um evento com consequências negativas originadas de um ataque efetivo. II. Ameaça corresponde à probabilidade de ocorrência de um evento acidental ou proposital, perpetrada por um agente, que pode afetar um local, sistema ou ativo de informação de uma instituição. III. A vulnerabilidade é a origem de um evento que pode ter resultados negativos sobre um ativo de informação de uma instituição. IV. Ataque é um evento originado pela utilização de certa vulnerabilidade por uma ameaça. Assinale a alternativa que contenha as afirmações verdadeiras. Resposta Selecionada: II e IV apenas. Resposta Correta: II e IV apenas. Comentário da resposta: Resposta correta. Uma ameaça corresponde a qualquer evento que explore vulnerabilidades. O conceito de ataque corresponde a qualquer ação que comprometa a segurança de uma organização. • Pergunta 8 0 em 1 pontos Hélder é o administrador de Segurança da Informação do Tribunal Regional do Trabalho da 5ª Região e deve gerenciar a segurança das informações fundamentado das especiações presentes na NBR ISO / IEC 27002. De acordo com a norma, na atribuição de incumbências para a Segurança da Informação: Resposta Selecionada:a delegação das atribuições pela informação deve ser realizada de forma independente da política de Segurança da Informação. Resposta Correta: um processo comum é apontar um responsável para cada ativo a fim de atribuir a segurança dele a esse colaborador. Comentário da resposta: Sua resposta está incorreta. É recomendado pela norma IEC/ ISO 27002 que pessoas com atribuições delimitadas pela Segurança da Informação possam delegar as rotinas de segurança da informação para outros colaboradores. Entretanto, eles ainda são os responsáveis por verificar se as tarefas delegadas estão sendo praticadas conforme a norma. • Pergunta 9 1 em 1 pontos O gerenciamento de riscos consiste em um dos procedimentos que são de alta relevância quando o assunto é a política de Segurança da Informação de uma organização. De modo a funcionar, suas etapas devem ser organizadas, mensuradas e administradas com peculiaridade – só assim é possível atingir os objetivos propostos. Consistem em etapas que compõe o processo de levantamento de riscos: I. Concepção dos objetivos. II. Reconhecimento de riscos. III. Exame de riscos. IV. Planejamento do tratamento de risco. V. Formação de controles. É correto o que consta em: Resposta Selecionada: I, II, III, IV e V. Resposta Correta: I, II, III, IV e V. Comentário da resposta: Resposta correta. O gerenciamento de riscos consiste em um dos procedimentos que são de alta relevância quando o assunto é a política de Segurança da Informação de uma organização. Ele visa reduzir as ocorrências que possam interferir negativamente na integridade, no sigilo e na disponibilidade das informações utilizadas pela organização. Dentre as atividades mais relevantes da gestão de riscos, podemos listar: elaboração dos objetivos, identificação de riscos, análise de riscos, planejamento do tratamento de risco, construção de controles e avaliação dos riscos. • Pergunta 10 1 em 1 pontos Com relação aos procedimentos de segurança de acesso a dados, e tendo como referência a norma ISO/IEC 27002:2013, evidencia-se o gerenciamento de senhas de acesso. Nessa situação, aconselha-se que: Resposta Selecionada: Sempre que houver a suspeita ou indícios de vazamento, os usuários devem atualizar suas senhas de acesso. Resposta Correta: Sempre que houver a suspeita ou indícios de vazamento, os usuários devem atualizar suas senhas de acesso. Comentário da resposta: Resposta incorreta. Retome o item 9.3.1 completo da ISO/IEC 27002:2013 para avaliar as afirmativas da questão e chegar à resposta correta: “Diretrizes para implementação. Convém que todos os usuários sejam informados para: a) manter a confidencialidade da informação de autenticação secreta, garantindo que ela não é divulgada para quaisquer outras partes, incluindo autoridades e lideranças; b) evitar manter anotadas a informação de autenticação secreta (por exemplo, papel, arquivos ou dispositivos móveis), a menos que elas possam ser armazenadas de forma segura e o método de armazenamento esteja aprovado (por exemplo, sistema de gerenciamento de senha; c) alterar a informação de autenticação secreta, sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria senha; d) Quando as senhas são usadas como informação de autenticação secreta, selecione senhas de qualidade com um tamanho mínimo que sejam: 1) fáceis de lembrar; 2) não baseadas em nada que alguém facilmente possa adivinhar ou obter usando informações relativas à pessoa, por exemplo, nomes, números de telefone e datas de aniversário; 3) não vulneráveis a ataques de dicionário (por exemplo, não consistir em palavras inclusas no dicionário); 4) isentas de caracteres idênticos consecutivos, todos numéricos ou todos alfabéticos sucessivos; 5) caso a senha seja temporária, ela deve ser mudada no primeiro acesso ( log-on) e) não compartilhar a informação de autenticação secreta de usuários individuais; f) garantir adequada proteção de senhas quando as senhas são usadas como informação de autenticação secreta em procedimentos automáticos de acesso ( log-on) e são armazenadas; g) não utilizar a mesma informação de autenticação secreta para uso com finalidades profissionais e pessoais”. Terça-feira, 19 de Outubro de 2021 13h01min30s BRT
Compartilhar