Aol4 novo

Prévia do material em texto

1. 
Parte superior do formulário
Pergunta 1
1 ponto
O processo de gerenciamento de risco em segurança da informação requer o entendimento de que risco é qualquer evento capaz de causar impacto na capacidade de as empresas alcançarem os objetivos em seu negócio, assim como a probabilidade de uma fonte de ameaça se aproveitar de uma vulnerabilidade da empresa, o que também pode gerar impactos em seus negócios.
Considerando essas informações e o conteúdo estudado sobre gestão de risco, pode-se afirmar que:
1. 
as ameaças exploram predominantemente as brechas de segurança abertas pela gestão ineficiente de pessoas.
2. 
tal como as ameaças, os riscos são incontroláveis por parte da equipe de segurança da informação.
3. 
o gerenciamento de riscos dispensa a localização de todos os ativos da empresa que possam ser prejudicados por ameaças.
4. 
diferentemente das ameaças, os riscos podem ser controlados, ou seja, mitigados ou minimizados.
5. 
as invasões constituem a maior fonte de riscos a serem maximizados, o que pode ser comprovado estatisticamente.
Parte inferior do formulário
2. 
Parte superior do formulário
Pergunta 2
1 ponto
Em 1976, Whitfield Diffie e Martin Hellman abordaram o conceito de criptografia de chave pública, em que esses sistemas utilizam chaves diferentes para criptografar e descriptografar dados. Enquanto a chave pública está disponível, a chave privada é mantida de forma confidencial. Nessa nova abordagem, os conceitos de algoritmos simétricos e assimétricos são considerados.
Considerando essas informações e o conteúdo estudado sobre criptografia simétrica, pode-se afirmar que os algoritmos simétricos:
1. 
permitem que a chave pública possa ser disponibilizada por meio de correio eletrônico, para favorecer a segurança em ambientes desprotegidos.
2. 
possuem a mesma chave privada responsável pelos processos de cifragem e decifragem.
3. 
necessitam realizar a troca de chaves, entre as partes, antes de iniciar uma comunicação.
4. 
possuem uma chave pública disponível para quem tiver de criptografar os dados a serem enviados para quem mantém a chave privada.
5. 
possuem duas chaves distintas, uma pública e uma privada, responsáveis pelos processos de cifragem e decifragem.
Parte inferior do formulário
3. 
Parte superior do formulário
Pergunta 3
1 ponto
Leia o trecho a seguir:
“Tanembaum aponta que a segurança de redes está centrada, de forma simplificada, em garantir que ‘pessoas mal-intencionadas não leiam ou, pior ainda, modifiquem secretamente mensagens enviadas a outros destinatários’. Além disso, o autor também ressalta que a segurança deverá pensar em meios que sejam preventivos quanto ao acesso remoto indevido por pessoas não autorizadas e que mensagens não sejam capturadas no decorrer de seu envio (rede pública).”Fonte: TANENBAUM, A. S. Redes de computadores. 4 ed. Rio de Janeiro: Campus, 2003. (Adaptado).
Um dos pilares da segurança em redes é a confidencialidade. Considerando essas informações e o conteúdo estudado sobre a tríade da segurança da informação, pode-se afirmar que a confidencialidade:
1. 
é o processo relacionado ao fato de manter as informações restritas longe de usuários não autorizados.
2. 
é o processo de verificação sobre um usuário estar ou não conectado à rede da empresa.
3. 
é o processo de conferência das políticas de acesso de um usuário à determinadas informações.
4. 
é o processo que verifica com quem está se comunicando antes de revelar informações, sejam elas sigilosas ou transações comerciais.
5. 
é o processo que trata sobre como provar a veracidade da operação realizada.
Parte inferior do formulário
4. 
Parte superior do formulário
Pergunta 4
1 ponto
Leia o trecho a seguir:
“Um aspecto importante, em redes de computadores, é a gestão dos níveis de acesso de usuários sem que seja comprometida sua própria segurança e a de seus integrantes, assim como o acesso não autorizado entre os usuários da rede, além de ser necessário lidar com a necessidade de abrir a rede para o acesso externo. Neste sentido, muda-se a visão de ‘impedir o acesso’, para ‘controlar o acesso’. Nakamura e Geus complementam que ‘ter o controle dos recursos que cada usuário pode acessar passa a ser essencial, e ter a certeza de que eles estão fazendo exatamente aquilo para o qual têm permissão explícita é uma questão vital para o sucesso do sistema de segurança.’” Fonte: NAKAMURA, E. T.; GEUS, P. L. Segurança de redes em ambientes cooperativos. São Paulo: Novatec, 2009. (Adaptado).
Considerando essas informações e o conteúdo estudado sobre a gestão de acesso de usuários de uma rede, é correto afirmar que:
1. 
a gestão de controle de acessos de usuários deve ser cuidadosamente avaliada, além de considerar os diversos níveis de usuários e suas permissões.
2. 
o uso de firewall previne o acesso não autorizado de usuários a sistemas privados.
3. 
a diferenciação dos usuários internos, externos e virtuais é fundamental e exige intenso controle.
4. 
o controle de acesso se baseia em bloquear, por meio de criptografia, os arquivos confidenciais.
5. 
as VPNs proporcionaram mecanismos de segurança capazes de coibir o acesso de usuários não autorizados em sistemas privados.
Parte inferior do formulário
5. 
Parte superior do formulário
Pergunta 5
1 ponto
Um dos erros que mais geram insegurança em termos de invasão a banco de dados está relacionado à programação. Há muita complexidade no desenvolvimento de um software, uma vez que envolve muitos componentes diferentes de interação com o próprio usuário. Além disso, a configuração adequada de todo ambiente da máquina, incluindo sistema operacional, softwares, aplicativos, entre outros, também é muito importante para garantir uma maior segurança dos dados. Assim, para proteger um banco de dados contra acessos não autorizados, devemos conhecer as principais vulnerabilidades dos bancos de dados e implementar medidas preventivas.
Considerando essas informações e o conteúdo estudado sobre firewall, pode-se afirmar que, em relação a medidas que devem ser adotadas para garantir maior segurança em um banco de dados, deve-se:
1. 
permitir o acesso administrativo a todas as máquinas na rede interna da empresa.
2. 
permitir o acesso ao banco de dados a apenas uma subcategoria de IPs com endereços internos.
3. 
liberar as portas do firewall para que o tráfego de dados chegue a todos os pontos da rede.
4. 
evitar o uso de auditorias que enfraqueçam as informações de segurança da empresa.
5. 
disponibilizar o banco de dados em um servidor web como forma de se ter acesso fácil e remoto por qualquer funcionário da empresa.
Parte inferior do formulário
6. 
Parte superior do formulário
Pergunta 6
1 ponto
Leia o excerto a seguir:
“A geração de dados para auditoria é o processo mais difícil no projeto de uma auditoria eficiente e eficaz. O registro de um número muito grande de eventos torna a auditoria bastante completa, porém, torna o sistema lento, aumentando a necessidade de armazenamento e impossibilitando a revisão da trilha de auditoria. Existem técnicas de abordagem estruturada do problema que permitem uma solução e a escolha da abordagem correta garante, ao menos, a coerência. De modo geral, antes disso, é essencial realizar o planejamento do que será auditado, afinal, não adianta armazenar muitas informações e não conseguir realizar a análise delas.”Fonte: DIAS, D. et al. Auditoria em sistemas de informação – trilhas de auditoria. 2008. Disponível em: <http://www.lyfreitas.com.br/ant/artigos_mba/arttrilhaauditoria.pdf>. Acesso em: 24 out. 2019. (Adaptado).
Considerando essas informações e o conteúdo estudado sobre ferramentas e técnicas de auditoria, pode-se afirmar que uma desvantagem ao efetuar log de auditoria é:
1. 
o envio de notificações para a equipe de gerenciamento.
2. 
a realização de testes de definição e configuração dos logs a serem coletados.
3. 
o desbloqueio da rede e o incentivo a possíveis ataques.
4. 
o impacto no desempenho dos processos.
5. 
a ocorrência de conflitos de informações.
Parte inferior do formulário
7. 
Partesuperior do formulário
Pergunta 7
1 ponto
Leia o excerto a seguir:
“O teste de penetração é um ato de invasão de um sistema ou rede com o consentimento do usuário. O objetivo é avaliar a segurança de uma organização, explorando vulnerabilidades a fim de que os invasores possam explorá-las. Portanto, um procedimento de ataque é documentado para evitar esse tipo de ocorrência no futuro.”Fonte: MCCLURE, S. et al. Hackers expostos: segredos e soluções para a segurança de redes. Porto Alegre: Bookman, 2014. (Adaptado).
O teste de penetração é um método de avaliação utilizado para testar a segurança de um sistema, simulando ataques maliciosos. Considerando essas informações e o conteúdo estudado sobre medidas preventivas de segurança contra softwares de código malicioso, pode-se afirmar que o teste de penetração se enquadra, nesse contexto, como:
1. 
um processo concernente à auditoria de segurança da informação, objetivando encontrar inconsistências de segurança.
2. 
o processo de auditoria de sistemas de informação focado em infraestrutura, responsável por validar os processos de segurança da informação.
3. 
o conjunto de testes de segurança realizados por uma equipe aleatória que tem como objetivo invadir a infraestrutura da organização.
4. 
uma ferramenta destinada a escalonar os níveis de segurança para determinados tipos de ataques à infraestrutura da organização.
5. 
o nome dado a qualquer software que tem por finalidade verificar a segurança de um computador.
Parte inferior do formulário
8. 
Parte superior do formulário
Pergunta 8
1 ponto
Uma vez que a informação é destaque no ambiente empresarial, ela representa um importante ativo em suas operações. Para que se proteja a informação de forma consistente, outros elementos devem também ser avaliados, como sistemas, aplicativos, serviços e usuários. Nesse cenário, o princípio da disponibilidade, muitas vezes, utiliza técnicas de criptografia para guardar as informações de forma segura e íntegra.
Considerando essas informações e o conteúdo estudado sobre proteção de dados por criptografia, pode-se afirmar que a criptografia:
1. 
é a ciência que utiliza algoritmos matemáticos para esconder dados de forma aparentemente ilegível e posteriormente recuperá-los.
2. 
é a ciência que utiliza programas para remover dados e posteriormente recuperá-los.
3. 
é a ciência que utiliza programas para ler dados que são aparentemente ilegíveis.
4. 
é a ciência que utiliza algoritmos matemáticos para esconder dados de uma forma aparentemente ilegível.
5. 
é a ciência que utiliza programas para gravar dados de uma forma aparentemente ilegível.
Parte inferior do formulário
9. 
Parte superior do formulário
Pergunta 9
1 ponto
Leia o excerto a seguir:
“Uma outra utilidade muito difundida é a utilização de Web Proxies, onde um computador é utilizado como cache de páginas da internet, realizando atualizações periodicamente conforme programado e disponibilizando o conteúdo de internet de forma offline dentro de uma rede interna. Também conhecido com ‘caching’, os Web Proxies permitem uma velocidade de acesso muito maior a sites que são acessados mais frequentemente, pois esses dados estão na verdade armazenados em um computador local”.Fonte: CIPOLI, P. O que é proxy? Disponível em: <https://canaltech.com.br/software/Conheca-todos-os-formatos-de-audio>. Acesso em: 18 out. 2019.
O excerto apresentado trata, em linhas gerais, da utilização de cache em um servidor proxy. Considerando essas informações e o conteúdo estudado sobre proxy, pode-se afirmar sobre as funcionalidades proporcionadas pelo proxy HTTP que:
1. 
ele pode ser utilizado para melhorar o tempo de respostas às requisições feitas pelos usuários no navegador.
2. 
caso a informação não seja encontrada no cache, o cliente é informado de que precisa utilizar outros meios para buscar a informação.
3. 
é incorreto dizer que o proxy HTTP, por meio das suas funcionalidades, faz-se passar por um servidor HTTP.
4. 
o seu cache é utilizado para armazenar informações que são inseridas pelo próprio usuário.
5. 
o uso desse tipo de proxy está ausente de benefícios e, portanto, está em desuso.
Parte inferior do formulário
10. 
Parte superior do formulário
Pergunta 10
1 ponto
Na criptografia simétrica, a chave da criptografia é constituída por um conjunto de caracteres, formado por um número qualquer, ou por uma sequência de caracteres alfanuméricos, com letras e símbolos especiais. No entanto, ela deve ter um tamanho correto e adequado ao algoritmo criptográfico que for selecionado.
Considerando essas informações e o conteúdo estudado sobre criptografia, pode-se afirmar que a criptografia simétrica:
1. 
determina que a segurança utilize duas chaves: a primeira, pública, para cifrar a mensagem, e a segunda, privada, diferente mas matematicamente relacionada, para decifrá-la.
2. 
recomenda-se que a chave seja constituída de números ou caracteres alfanuméricos que não tenham nenhuma coerência entre si, a fim de tornar difícil sua descoberta.
3. 
busca elaborar chaves que sejam geradas de forma determinística, sendo esse um método de construção de chaves mais complexo e, assim, menos suscetível a ataques.
4. 
permite a utilização de mecanismos de segurança para a construção de algoritmos de chave pública para assinaturas digitais, principalmente durante a assinatura de mensagens grandes.
5. 
dispensam o uso de algoritmos de geração de números aleatórios, já que estes tendem a criar chaves de fácil determinação a partir de variáveis conhecidas.
Parte inferior do formulário