Baixe o app para aproveitar ainda mais
Prévia do material em texto
• Pergunta 1 1 em 1 pontos Por hipótese, considere que, durante processo de auditoria interna no Tribunal Regional Eleitoral, foi encontrada uma documentação sobre registros de verbas de campanha com conteúdo violado e clara identificação de perda material. Essa constatação fere qual princípio da Segurança da Informação? Resposta Selecionada: Integridade. Resposta Correta: Integridade. Comentário da resposta: Resposta correta. De acordo com o princípio da integridade, a informação deve manter todas as características estabelecidas originalmente pelo seu proprietário, de modo a garantir a proteção contra alterações intencionais, indevidas ou acidentais. • Pergunta 2 1 em 1 pontos O gerenciamento de riscos corresponde a processos coordenados para nortear e controlar uma instituição no que se refere a riscos. Considere e assinale a alternativa correta depois de avaliar os seguintes itens. I. As análises/verificações de riscos devem ser realizadas regularmente para abranger as modificações nos requisitos de Segurança da Informação e nas situações de risco, ou seja, em ativos, ameaças, vulnerabilidades, impactos, análises do risco e quando uma mudança relevante acontecer. II. O escopo de uma análise/avaliação de riscos pode ser toda a instituição, partes da instituição, um sistema de informação determinado, módulos de um sistema determinado ou processos específicos em que isto seja praticável, viável e útil. III. Antes de julgar o tratamento de um risco, a instituição deve definir os critérios para decidir se eles podem ser ou não aceitos. O risco pode ser aceito se, por exemplo, for avaliado que é pequeno ou que o desembolso para o tratamento não é financeiramente viável para a instituição. É correto o que se afirma em: Resposta Selecionada: I, II e III. Resposta Correta: I, II e III. Comentário da resposta: Resposta correta. Todas as assertivas estão corretas pois a gestão de risco abrange desde avaliações periódicas de risco como à especificação da definição de critérios específicos a fim de decidir quais os riscos que podem ser aceitos. • Pergunta 3 1 em 1 pontos O gerenciamento de riscos consiste em um dos procedimentos que são de alta relevância quando o assunto é a política de Segurança da Informação de uma organização. De modo a funcionar, suas etapas devem ser organizadas, mensuradas e administradas com peculiaridade – só assim é possível atingir os objetivos propostos. Consistem em etapas que compõe o processo de levantamento de riscos: I. Concepção dos objetivos. II. Reconhecimento de riscos. III. Exame de riscos. IV. Planejamento do tratamento de risco. V. Formação de controles. É correto o que consta em: Resposta Selecionada: I, II, III, IV e V. Resposta Correta: I, II, III, IV e V. Comentário da resposta: Resposta correta. O gerenciamento de riscos consiste em um dos procedimentos que são de alta relevância quando o assunto é a política de Segurança da Informação de uma organização. Ele visa reduzir as ocorrências que possam interferir negativamente na integridade, no sigilo e na disponibilidade das informações utilizadas pela organização. Dentre as atividades mais relevantes da gestão de riscos, podemos listar: elaboração dos objetivos, identificação de riscos, análise de riscos, planejamento do tratamento de risco, construção de controles e avaliação dos riscos. • Pergunta 4 1 em 1 pontos As assinaturas digitais são fundamentadas por dois princípios básicos. O primeiro determina que: Resposta Selecionada: a chave privada seja restrita e que apenas o detentor da chave tenha acesso a ela. A segunda deve garantir que não seja possível o processamento inverso para compor uma assinatura digital sem a utilização da chave privada. Resposta Correta: a chave privada seja restrita e que apenas o detentor da chave tenha acesso a ela. A segunda deve garantir que não seja possível o processamento inverso para compor uma assinatura digital sem a utilização da chave privada. Comentário da resposta: Resposta correta. A assinatura digital é executada em duas tarefas. No primeiro momento, o autor, utilizando algoritmo presente em um software específico, realiza operação baseada em método criptográfico que, quando aplicada sobre os dados, gera um resultado único denominado hash. Após a operação, ele usa a chave privada de seu certificado digital para encriptar este resumo, criando a assinatura digital. • Pergunta 5 1 em 1 pontos Por política de Segurança da Informação entende-se: Resposta Selecionada: Política planejada, instalada em processo cíclico de atualização, abrangente a toda instituição, com as normas mais claras e simples possíveis e estrutura gerencial e material de suporte a essa política, explicitamente apoiada e sustentada pela alta direção. Resposta Correta: Política planejada, instalada em processo cíclico de atualização, abrangente a toda instituição, com as normas mais claras e simples possíveis e estrutura gerencial e material de suporte a essa política, explicitamente apoiada e sustentada pela alta direção. Comentário da resposta: Resposta correta. Podemos descrever a política de Segurança da Informação como sendo um conjunto de regras gerais que indiquem ações, técnicas, normas, procedimentos e boas práticas com o objetivo de conduzir e garantir a segurança dos dados e informações. Como requisito básico, deve ser adotada por todos os componentes da organização, a fim de orientá-los sobre o seu funcionamento. Ela deve ser clara e objetiva, evitando redundâncias nos processos. • Pergunta 6 1 em 1 pontos Entende-se por plano de contingência: Resposta Selecionada: planejamento universal que tem como principal objetivo a manutenção do ambiente de informações da organização com total segurança, para prevenção contra quaisquer ameaças à integridade e às operações. Resposta Correta: planejamento universal que tem como principal objetivo a manutenção do ambiente de informações da organização com total segurança, para prevenção contra quaisquer ameaças à integridade e às operações. Comentário da resposta: Resposta correta. O plano de contingência é um conjunto de processos criado preventivamente que visa delimitar responsabilidades e organizar procedimentos para que, em caso de ocorrência de um incidente, a organização continue operando seus serviços sem impactos ou com o menor impacto possível. • Pergunta 7 1 em 1 pontos O objetivo do Secure Socket Layer (SSL) é prover autenticidade, privacidade e integridade às conexões entre cliente e servidor, sendo usado, na maioria das vezes, em conjunto com o protocolo HTTP. Para fornecer as propriedades de autenticidade e privacidade, o SSL emprega: Resposta Selecionada: criptografia de chave pública e criptografia de chave simétrica. Resposta Correta: criptografia de chave pública e criptografia de chave simétrica. Comentário da resposta: Resposta correta. O SSL (Secure Sockets Layer) utiliza um sistema de criptografia com duas chaves para criptografar os dados: uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário. • Pergunta 8 1 em 1 pontos A fase de análise de riscos, no processo de gestão de riscos, pode ser realizada de forma a quantificar e classificar as ameaças ao funcionamento dos processos da instituição. Após levantamento e classificação dos riscos, deve-se optar pelas ações que serão executadas e definir quais recursos serão utilizados. Uma das opções disponíveis para tratamento do risco é: Resposta Selecionada: transferir o risco, por meio de seguros, cooperação ou outra ação adequada.Resposta Correta: transferir o risco, por meio de seguros, cooperação ou outra ação adequada. Comentário da resposta: Resposta correta. Muitas vezes não é possível – ou é inviável financeiramente – a eliminação de todos os riscos. Existem várias abordagens para tratar um risco: ● Eliminar o risco: ataque à origem do risco, impedindo em definitivo que o incidente relacionado a ele possa ocorrer. Nem sempre é possível. ● Reduzir o risco: utilização de técnicas de prevenção da sua ocorrência. ● Imobilizar o risco: em situações nas quais as organizações decidem que a melhor estratégia para determinado risco é exclusivamente acompanhá-lo. ● Transferir o risco: como exemplo prático, podemos citar a aquisição de um seguro que transfere o risco em caso de incidente para a seguradora. • Pergunta 9 1 em 1 pontos A Segurança da Informação tem como principais objetivos assegurar integridade, confidencialidade, autenticidade e disponibilidade das informações gerenciadas pela organização. No que tange a esses critérios de Segurança da Informação, complete as lacunas a seguir e assinale a alternativa com a ordem correta. I. Preservar a _________ presume garantir a disponibilidade do serviço, sem interferências e sem interrupções no fornecimento de informações para quem é de direito. II. Preservar a _________ presume assegurar que indivíduos não tomem conhecimento de informações, de forma acidental ou intencional, sem que possuam a devida permissão para tal processo. III. A preservação da _______ presume a garantia de não violação dos dados com o objetivo de modificação, gravação ou exclusão, seja ela acidental ou intencional. É correto o que se afirma em: Resposta Selecionada: Disponibilidade, confidencialidade, integridade. Resposta Correta: Disponibilidade, confidencialidade, integridade. Comentário da resposta: Resposta correta. São os princípios básicos da Segurança da Informação: a disponibilidade, que visa garantir que as informações estejam disponíveis para o acesso por entidades autorizadas, sempre que solicitadas; a confidencialidade, que visa garantir que apenas pessoas devidamente autorizadas tenham acesso às informações, impedindo vazamentos; e a integridade, que visa garantir que a informação seja preservada em seu formato devido e que as alterações sejam perpetradas apenas por entes devidamente autorizados. • Pergunta 10 1 em 1 pontos Com relação à criptografia, avalie os itens a seguir. Depois, assinale a alternativa com as afirmativas corretas. I. Em sistemas de chaves simétricas, as chaves do emissor e do receptor da informação criptografada são idênticas e secretas. Em sistemas de chaves públicas, é utilizado um par de chaves, uma delas de posse tanto do emissor quanto do receptor e a outra de posse de apenas um deles. II. A tecnologia de chave pública é fundamentada no padrão X.509, sendo composta de programas, formatos de dados, procedimentos, protocolos de comunicação, políticas de segurança e mecanismos criptográficos de chave pública, de forma a viabilizar autenticação, a confidencialidade, o não- repúdio e a integridade às informações compartilhadas. III. Os seguintes itens são fundamentais para que a criptografia e a descriptografia sejam viáveis: software, protocolos, algoritmos e chaves. Durante o processo de autenticação, os dois componentes selecionam a chave que será usada para prover a privacidade durante a comunicação posterior. Pode-se utilizar também um servidor de autenticação como terceiro ente confiável. IV. Assinatura digital é uma ferramenta para provar que os dados foram gerados pelo detentor de uma chave específica. Trata-se de um caso especial de código de integridade de mensagens, em que o código pode ter sido composto por apenas um dos participantes. É correto o que se afirma em: Resposta Selecionada: I, II, III, IV. Resposta Correta: I, II, III, IV. Comentário da resposta: Resposta correta. Criptografia de chave privada ou única faz uso de uma única chave tanto para codificar como para decodificar informações, sendo utilizada majoritariamente para assegurar a confidencialidade das informações. A assinatura digital se baseia no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo.
Compartilhar