N2 - Segurança e Auditoria de Sistemas

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
A tríade da segurança da informação é composta pela disponibilidade, integridade e 
confidencialidade. Saber equilibrar tais conceitos permite que os dados estejam relativamente 
seguros em comparação a uma organização sem essa preocupação. 
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores . São Paulo: 
Bookman, 2013. 
De acordo com o princípio da segurança da informação, assinale a alternativa que represente 
o princípio da integridade. 
 
Resposta Selecionada: 
Preserva os dados de forma confiável e consistente. 
Resposta Correta: 
Preserva os dados de forma confiável e consistente. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a integridade garante 
que os dados estão confiáveis, que não tenha nenhuma inconsistência 
das informações. Em resumo, os dados não sofreram nenhum 
dano/mudança durante o seu armazenamento de forma involuntária. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
No início do processo de criptografia, o remetente deve decidir qual cifra disfarçará melhor o 
significado da mensagem e qual variável usar como chave para tornar a mensagem codificada 
exclusiva. Os tipos de cifras mais amplamente utilizados se enquadram em duas categorias: 
simétrica e assimétrica. 
Assinale a alternativa que aponta uma desvantagem importante do uso de um algoritmo de 
chave pública (criptografia assimétrica) em comparação com um algoritmo simétrico: 
 
Resposta Selecionada: 
Um algoritmo simétrico é um processo mais rápido 
Resposta Correta: 
Um algoritmo simétrico é um processo mais rápido 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a eficiência de 
processamento da criptografia assimétrica (utilizando chave pública) é 
menor que a criptografia simétrica devido aos recursos de 
processamento computacional necessários. Seu desempenho mais baixo 
é uma desvantagem da criptografia assimétrica. 
 
 
• Pergunta 3 
1 em 1 pontos 
 
Arte de proteger as informações, transformando-as (criptografando-as) em um formato ilegível, 
é chamado de texto cifrado. Somente aqueles que possuem uma senha ou uma chave 
secreta, a qual formalmente chamamos de chave de descriptografia, podem decifrar (ou 
descriptografar) a mensagem em texto simples, permitindo o acesso e a leitura. 
Assinale que tipo de criptografia, também chamada de Criptografia de Chave Pública, usa 
duas chaves em vez de apenas uma, gerando uma chave privada e uma pública? 
 
Resposta Selecionada: 
Assimétrico 
 
Resposta Correta: 
Assimétrico 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a criptografia de chave 
pública, ou criptografia de chave pública, é um método de criptografar 
dados com duas chaves diferentes e disponibilizar uma das chaves, a 
chave pública, para uso de qualquer pessoa. A outra chave é conhecida 
como chave privada. Os dados criptografados com a chave pública só 
podem ser descriptografados com a chave privada, e os dados 
criptografados com a chave privada só podem ser descriptografados com 
a chave pública. 
 
• Pergunta 4 
1 em 1 pontos 
 
Durante o estudo do capítulo, obteve-se o conhecimento de que uma análise de risco bem 
estruturada garantirá um melhor sucesso para a organização. Por meio de um processo 
adequado de gerenciamento de riscos da organização, pode-se realizar uma melhor análise do 
risco. Basicamente, quando consideramos os riscos, temos quatro objetivos. 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
De acordo com o conhecimento adquirido, identifique os objetivos principais da análise de 
risco: 
 
Resposta 
Selecionada: 
 
Mapear ativos, identificar vulnerabilidades e ameaças, ponderar 
estatisticamente o risco e equilibrar custos. 
Resposta Correta: 
Mapear ativos, identificar vulnerabilidades e ameaças, ponderar 
estatisticamente o risco e equilibrar custos. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois os quatros objetivos 
principais da análise de risco são: mapear os ativos e o grau de 
importância, conhecer as vulnerabilidades e ameaças, estatisticamente 
conhecer a probabilidade que ele ocorra e, por fim, equilibrar o custo do 
incidente versus contramedida. 
 
 
• Pergunta 5 
1 em 1 pontos 
 
Gerenciar o risco é imprescindível para mapeamento dos ativos de uma organização. A 
tolerância ao risco (aceitar) é uma das estratégias mais simples para contramedidas. Por meio 
delas, podemos simplesmente aceitar o risco como ele é. É chegada a essa conclusão porque 
ou a contramedida é tão inviável (financeiramente/tempo) que é melhor aceitar o dano ou 
simplesmente o dano causado não causa grandes prejuízos. 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
Com base nas estratégias de contramedidas de risco, assinale a alternativa que melhor 
descreve a estratégia que visa neutralizar um risco. 
 
Resposta Selecionada: 
Prevenção. 
 
Resposta Correta: 
Prevenção. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a prevenção com base 
em algumas medidas pode neutralizar uma ameaça. Por exemplo, uma 
vulnerabilidade de um sistema. Como prevenção, podem-se realizar 
atualizações desse. Assim, prevenção é a estratégia que tem como 
objetivo eliminar um risco com uma contramedida adequada. 
 
• Pergunta 6 
1 em 1 pontos 
 
Uma organização sem o conhecimento de seus riscos nunca estará segura, uma vez que 
poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação 
de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: 
estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios. 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
Com base nos conhecimentos adquiridos, indique quais são os benefícios encontrados ao se 
utilizar a avaliação de riscos. 
~Resposta correta. A alternativa está correta, pois note que um risco deve ser sempre 
avaliado, visto que eles podem mudar. Desse modo, quando avaliamos os riscos, estamos 
identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. E, 
a partir daí, podemos medi-los para uma efetiva contramedida. 
 
Resposta Selecionada: 
Pode-se identificar, priorizar e medir os riscos. 
Resposta Correta: 
Pode-se identificar, priorizar e medir os riscos. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração 
lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não 
identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger nosso 
sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O 
objetivo pode diferir dependendo do alvo do invasor. 
De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a 
seguir e assinale a alternativa correta: 
I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um invasor 
pode tentar obter acesso não autorizado ao dispositivo 
II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações 
confidenciais 
III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional. 
IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos 
suscetíveis a invasores. 
 
Resposta Selecionada: 
I e II apenas. 
Resposta Correta: 
I e II apenas. 
 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois os dispositivos de IoT 
estão conectados a internet e, como foi visto durante os estudos, 
qualquer “coisa” conectada a internet é suscetível a invasores. Estesdispositivos se comunicam com um servidor ou broker por meio de 
conexão wireless (sem fio) ou conexão cabeada. De um modo ou de 
outro, o atacante pode controlar o dispositivo e, até mesmo, apossar-se 
das informações confidenciais que, por ventura, este dispositivo (ou 
conjunto deles) está a produzir. 
 
• Pergunta 8 
1 em 1 pontos 
 
Existem dois tipos de ameaça à segurança em IoT: ameaça humana e uma ameaça natural 
(terremoto, incêndio, enchente, tsunami, etc). Qualquer ameaça que ocorra devido a 
calamidades naturais pode causar danos graves aos dispositivos de IoT. Nesses casos, é 
criada uma volta para proteger os dados. Entretanto, qualquer dano a esses dispositivos não 
pode ser reparado. Por outro lado, fazemos tudo para conter as ameaças humanas aos 
dispositivos IoT. 
Assinale quais são os exemplos de ataque maliciosos: 
 
Resposta Selecionada: 
Reconhecimento cibernético e ataque de força bruta. 
Resposta Correta: 
Reconhecimento cibernético e ataque de força bruta. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois no reconhecimento 
cibernético o invasor usa técnicas para realizar espionagem no usuário 
alvo e obter acesso a informações secretas nos sistemas existentes. No 
ataque de força bruta os invasores tentam adivinhar a senha do usuário 
com a ajuda do software automatizado, que faz várias tentativas, a menos 
que obtenha a senha correta para conceder acesso. 
 
 
• Pergunta 9 
0 em 1 pontos 
 
De acordo com o que foi visto durante os estudos, ao observar todos os princípios da SI 
notamos que existem elos mais fracos e fortes. Uma vez sabendo qual é o elo mais fraco da 
organização, devem-se tomar providências, criando políticas e procedimentos rígidos para 
minimizar um possível risco/ataque. Dentro de uma organização, estão presentes sete 
domínios que podem ser afetados por algum risco/ataque. 
Nesse contexto, identifique os domínios que podem ser afetados existentes dentro de uma 
organização. 
 
Resposta Selecionada: 
Sistemas, dados e conhecimento. 
Resposta Correta: 
Usuário, estação de trabalho e LAN. 
Comentário 
da resposta: 
Sua resposta está incorreta. A alternativa está incorreta, pois os princípios 
da segurança da informação podem afetar toda uma organização. Deve-
se verificar o trabalhador, a infraestrutura e os sistemas. Cada um possui 
 
um nível de segurança. Releia seu material de apoio sobre os domínios 
afetados em uma organização. 
 
• Pergunta 10 
1 em 1 pontos 
 
Tradicionalmente, as cifras usavam dois tipos principais de transformação: cifras de 
transposição, que mantêm todos os bits originais de dados em um byte, mas misturam sua 
ordem, e cifras de substituição, que substituem sequências de dados específicas por outras 
sequências de dados específicas. 
Assinale que tipo de cifra pega um caractere e o substitui por um outro caractere, trabalhando 
um caractere de cada vez? 
 
Resposta Selecionada: 
cifra de fluxo 
Resposta Correta: 
cifra de fluxo 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois uma cifra de fluxo é um 
método de criptografar texto no qual uma chave criptográfica é um 
algoritmo são aplicados a cada dígito binário em um fluxo de dados, um 
bit de cada vez. Este método não é muito usado na criptografia moderna. 
O principal método alternativo é a cifra de bloco na qual uma chave e um 
algoritmo são aplicados a blocos de dados, em vez de bits individuais em 
um fluxo. 
 
 
Quarta-feira, 15 de Dezembro de 2021 21h18min26s BRT