GESTÃO DE IDENTIDADE E CONTROLE DE ACESSO

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
Por hipótese, considere que, durante processo de auditoria interna no 
Tribunal Regional Eleitoral, foi encontrada uma documentação sobre 
registros de verbas de campanha com conteúdo violado e clara identificação 
de perda material. 
 
Essa constatação fere qual princípio da Segurança da Informação? 
 
Resposta Selecionada: 
Integridade. 
 
Resposta Correta: 
Integridade. 
 
Comentário 
da resposta: 
Resposta correta. De acordo com o princípio da 
integridade, a informação deve manter todas as 
características estabelecidas originalmente pelo seu 
proprietário, de modo a garantir a proteção contra 
alterações intencionais, indevidas ou acidentais. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
O gerenciamento de riscos corresponde a processos coordenados para 
nortear e controlar uma instituição no que se refere a riscos. Considere e 
assinale a alternativa correta depois de avaliar os seguintes itens. 
 
I. As análises/verificações de riscos devem ser realizadas 
regularmente para abranger as modificações nos requisitos de Segurança 
da Informação e nas situações de risco, ou seja, em ativos, ameaças, 
vulnerabilidades, impactos, análises do risco e quando uma mudança 
relevante acontecer. 
II. O escopo de uma análise/avaliação de riscos pode ser toda a 
instituição, partes da instituição, um sistema de informação determinado, 
módulos de um sistema determinado ou processos específicos em que isto 
seja praticável, viável e útil. 
III. Antes de julgar o tratamento de um risco, a instituição deve definir 
os critérios para decidir se eles podem ser ou não aceitos. O risco pode ser 
aceito se, por exemplo, for avaliado que é pequeno ou que o desembolso 
para o tratamento não é financeiramente viável para a instituição. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: 
I, II e III. 
Resposta Correta: 
 
I, II e III. 
Comentário 
da resposta: 
Resposta correta. Todas as assertivas estão corretas pois 
a gestão de risco abrange desde avaliações periódicas 
de risco como à especificação da definição de critérios 
específicos a fim de decidir quais os riscos que podem 
ser aceitos. 
 
• Pergunta 3 
1 em 1 pontos 
 
O gerenciamento de riscos consiste em um dos procedimentos que são de 
alta relevância quando o assunto é a política de Segurança da Informação 
de uma organização. De modo a funcionar, suas etapas devem ser 
organizadas, mensuradas e administradas com peculiaridade – só assim é 
possível atingir os objetivos propostos. 
 
Consistem em etapas que compõe o processo de levantamento de riscos: 
I. Concepção dos objetivos. 
II. Reconhecimento de riscos. 
III. Exame de riscos. 
IV. Planejamento do tratamento de risco. 
V. Formação de controles. 
 
É correto o que consta em: 
 
Resposta Selecionada: 
I, II, III, IV e V. 
Resposta Correta: 
I, II, III, IV e V. 
Comentário 
da resposta: 
Resposta correta. O gerenciamento de riscos consiste em 
um dos procedimentos que são de alta relevância 
quando o assunto é a política de Segurança da 
Informação de uma organização. Ele visa reduzir as 
ocorrências que possam interferir negativamente na 
integridade, no sigilo e na disponibilidade das 
informações utilizadas pela organização. Dentre as 
atividades mais relevantes da gestão de riscos, podemos 
listar: elaboração dos objetivos, identificação de riscos, 
análise de riscos, planejamento do tratamento de risco, 
construção de controles e avaliação dos riscos. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
As assinaturas digitais são fundamentadas por dois princípios básicos. O 
primeiro determina que: 
 
Resposta 
Selecionada: 
 
a chave privada seja restrita e que apenas o detentor da 
chave tenha acesso a ela. A segunda deve garantir que 
não seja possível o processamento inverso para 
compor uma assinatura digital sem a utilização da 
chave privada. 
Resposta 
Correta: 
 
a chave privada seja restrita e que apenas o detentor da 
chave tenha acesso a ela. A segunda deve garantir que 
não seja possível o processamento inverso para 
compor uma assinatura digital sem a utilização da 
chave privada. 
Comentário 
da resposta: 
 Resposta correta. A assinatura digital é executada em 
duas tarefas. No primeiro momento, o autor, utilizando 
algoritmo presente em um software específico, realiza 
operação baseada em método criptográfico que, quando 
aplicada sobre os dados, gera um resultado único 
denominado hash. Após a operação, ele usa a chave 
privada de seu certificado digital para encriptar este 
resumo, criando a assinatura digital. 
 
 
• Pergunta 5 
1 em 1 pontos 
 
Por política de Segurança da Informação entende-se: 
Resposta 
Selecionada: 
 
Política planejada, instalada em processo cíclico de 
atualização, abrangente a toda instituição, com as 
normas mais claras e simples possíveis e estrutura 
gerencial e material de suporte a essa política, 
explicitamente apoiada e sustentada pela alta direção. 
Resposta 
Correta: 
 
Política planejada, instalada em processo cíclico de 
atualização, abrangente a toda instituição, com as 
normas mais claras e simples possíveis e estrutura 
gerencial e material de suporte a essa política, 
explicitamente apoiada e sustentada pela alta direção. 
Comentário 
da resposta: 
Resposta correta. Podemos descrever a política de 
Segurança da Informação como sendo um conjunto de 
regras gerais que indiquem ações, técnicas, normas, 
procedimentos e boas práticas com o objetivo de 
 
conduzir e garantir a segurança dos dados e 
informações. Como requisito básico, deve ser adotada 
por todos os componentes da organização, a fim de 
orientá-los sobre o seu funcionamento. Ela deve ser clara 
e objetiva, evitando redundâncias nos processos. 
 
• Pergunta 6 
1 em 1 pontos 
 
Entende-se por plano de contingência: 
Resposta 
Selecionada: 
 
planejamento universal que tem como principal 
objetivo a manutenção do ambiente de informações da 
organização com total segurança, para prevenção 
contra quaisquer ameaças à integridade e às 
operações. 
Resposta 
Correta: 
 
planejamento universal que tem como principal 
objetivo a manutenção do ambiente de informações da 
organização com total segurança, para prevenção 
contra quaisquer ameaças à integridade e às 
operações. 
Comentário 
da resposta: 
Resposta correta. O plano de contingência é um conjunto 
de processos criado preventivamente que visa delimitar 
responsabilidades e organizar procedimentos para que, 
em caso de ocorrência de um incidente, a organização 
continue operando seus serviços sem impactos ou com o 
menor impacto possível. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
O objetivo do Secure Socket Layer (SSL) é prover autenticidade, 
privacidade e integridade às conexões entre cliente e servidor, sendo usado, 
na maioria das vezes, em conjunto com o protocolo HTTP. 
 
Para fornecer as propriedades de autenticidade e privacidade, o SSL 
emprega: 
 
Resposta 
Selecionada: 
 
criptografia de chave pública e criptografia de 
chave simétrica. 
Resposta Correta: 
criptografia de chave pública e criptografia de 
chave simétrica. 
 
Comentário 
da resposta: 
Resposta correta. O SSL (Secure Sockets Layer) utiliza 
um sistema de criptografia com duas chaves para 
criptografar os dados: uma chave pública conhecida por 
todos e uma chave privada conhecida apenas pelo 
destinatário. 
 
• Pergunta 8 
1 em 1 pontos 
 
A fase de análise de riscos, no processo de gestão de riscos, pode ser 
realizada de forma a quantificar e classificar as ameaças ao funcionamento 
dos processos da instituição. Após levantamento e classificação dos riscos, 
deve-se optar pelas ações que serão executadas e definir quais recursos 
serão utilizados. Uma das opções disponíveis para tratamento do risco é: 
 
Resposta 
Selecionada: 
 
transferir o risco, por meio de seguros, cooperação 
ou outra ação adequada.Resposta Correta: 
transferir o risco, por meio de seguros, cooperação 
ou outra ação adequada. 
Comentário da 
resposta: 
Resposta correta. Muitas vezes não é possível – ou é 
inviável financeiramente – a eliminação de todos os 
riscos. Existem várias abordagens para tratar um risco: 
● Eliminar o risco: ataque à origem do risco, 
impedindo em definitivo que o incidente relacionado a 
ele possa ocorrer. Nem sempre é possível. 
● Reduzir o risco: utilização de técnicas de prevenção 
da sua ocorrência. 
● Imobilizar o risco: em situações nas quais as 
organizações decidem que a melhor estratégia para 
determinado risco é exclusivamente acompanhá-lo. 
● Transferir o risco: como exemplo prático, podemos 
citar a aquisição de um seguro que transfere o risco em 
caso de incidente para a seguradora. 
 
 
• Pergunta 9 
1 em 1 pontos 
 
A Segurança da Informação tem como principais objetivos assegurar 
integridade, confidencialidade, autenticidade e disponibilidade das 
informações gerenciadas pela organização. No que tange a esses critérios 
de Segurança da Informação, complete as lacunas a seguir e assinale a 
alternativa com a ordem correta. 
 
I. Preservar a _________ presume garantir a disponibilidade do 
serviço, sem interferências e sem interrupções no fornecimento de 
 
informações para quem é de direito. 
II. Preservar a _________ presume assegurar que indivíduos não 
tomem conhecimento de informações, de forma acidental ou intencional, 
sem que possuam a devida permissão para tal processo. 
III. A preservação da _______ presume a garantia de não violação dos 
dados com o objetivo de modificação, gravação ou exclusão, seja ela 
acidental ou intencional. 
 
É correto o que se afirma em: 
Resposta Selecionada: 
Disponibilidade, confidencialidade, integridade. 
Resposta Correta: 
Disponibilidade, confidencialidade, integridade. 
Comentário 
da resposta: 
Resposta correta. São os princípios básicos da Segurança 
da Informação: a disponibilidade, que visa garantir que 
as informações estejam disponíveis para o acesso por 
entidades autorizadas, sempre que solicitadas; a 
confidencialidade, que visa garantir que apenas pessoas 
devidamente autorizadas tenham acesso às informações, 
impedindo vazamentos; e a integridade, que visa garantir 
que a informação seja preservada em seu formato 
devido e que as alterações sejam perpetradas apenas 
por entes devidamente autorizados. 
 
 
• Pergunta 10 
1 em 1 pontos 
 
Com relação à criptografia, avalie os itens a seguir. Depois, assinale a 
alternativa com as afirmativas corretas. 
 
I. Em sistemas de chaves simétricas, as chaves do emissor e do receptor da 
informação criptografada são idênticas e secretas. Em sistemas de chaves 
públicas, é utilizado um par de chaves, uma delas de posse tanto do 
emissor quanto do receptor e a outra de posse de apenas um deles. 
II. A tecnologia de chave pública é fundamentada no padrão X.509, sendo 
composta de programas, formatos de dados, procedimentos, protocolos de 
comunicação, políticas de segurança e mecanismos criptográficos de chave 
pública, de forma a viabilizar autenticação, a confidencialidade, o não-
repúdio e a integridade às informações compartilhadas. 
III. Os seguintes itens são fundamentais para que a criptografia e a 
descriptografia sejam viáveis: software, protocolos, algoritmos e chaves. 
Durante o processo de autenticação, os dois componentes selecionam a 
chave que será usada para prover a privacidade durante a comunicação 
posterior. Pode-se utilizar também um servidor de autenticação como 
terceiro ente confiável. 
IV. Assinatura digital é uma ferramenta para provar que os dados foram 
gerados pelo detentor de uma chave específica. Trata-se de um caso 
 
especial de código de integridade de mensagens, em que o código pode ter 
sido composto por apenas um dos participantes. 
 
É correto o que se afirma em: 
Resposta Selecionada: 
I, II, III, IV. 
Resposta Correta: 
I, II, III, IV. 
Comentário 
da resposta: 
Resposta correta. Criptografia de chave privada ou única 
faz uso de uma única chave tanto para codificar como 
para decodificar informações, sendo utilizada 
majoritariamente para assegurar a confidencialidade das 
informações. A assinatura digital se baseia no fato de 
que apenas o dono conhece a chave privada e que, se ela 
foi usada para codificar uma informação, então apenas 
seu dono poderia ter feito isto. A verificação da 
assinatura é feita com o uso da chave pública, pois se o 
texto foi codificado com a chave privada, somente a 
chave pública correspondente pode decodificá-lo.