Avaliando_Aprendizado_intro_a_seguranca_da_informacao

Prévia do material em texto

SIMULADO 01 
1. No caso do transporte de mídias magnéticas contendo informações sigilosas de usuários 
de determinada empresa, por exemplo, uma boa proteção é o emprego da criptografia. 
Esta chave é usada para embaralhar (criptografar) e desembaralhar (decriptografar) as 
informações. Diante desse conceito, marque a alternativa que explique corretamente a 
diferença entre a criptografia simétrica e a criptografia assimétrica. 
 
• Quando várias chaves são usadas nas duas etapas, a criptografia é dita simétrica; 
quando são usadas chaves distintas, ela é assimétrica. 
• Quando outra chave é usada nas duas etapas, a criptografia é dita simétrica; quando 
são usadas chaves distintas, ela é assimétrica. 
• Quando a mesma chave é usada nas duas etapas, a criptografia é dita simétrica; 
quando são usadas chaves distintas, ela é assimétrica. 
• Quando a mesma chave é usada em somente uma das duas etapas, a criptografia é 
dita simétrica; quando são usadas chaves distintas, ela é assimétrica. 
• Quando a mesma chave é usada nas duas etapas, a criptografia é dita assimétrica; 
quando são usadas chaves distintas, ela é simétrica. 
 
2. Quanto aos controles aplicados às redes, destacam-se os firewalls, os sistemas 
detectores de intrusão e os VPNs. Esses controles permitem a criação de zonas de 
segurança dentro e fora da instituição. Tais zonas, por sua vez, possibilitam a criação de 
segregações de funcionalidades. Das zonas de segurança, a mais comumente encontrada 
é a DMZ. Zona desmilitarizada, ela limita, conforme demonstra a figura a seguir, a região 
onde os servidores web e de aplicação podem ficar. As regras dos firewalls podem seguir 
duas políticas. Quais são elas? 
 
• Negar por padrão e Avançar por padrão 
• Negar por padrão e Aceitar por padrão 
• Confirmar por padrão e Avançar por padrão. 
• Confirmar por padrão e Aceitar por padrão. 
• Confirmar por padrão e Negar por padrão. 
 
3. A segurança da informação (SI) está diretamente relacionada com proteção de um 
conjunto de informações, no sentido de preservar o valor que possuem para um 
indivíduo ou uma organização. Diante disso, quais são as propriedades básicas da 
segurança da informação? 
• Usablidade, integridade, disponibilidade, autenticidade e legalidade. 
• Confidencialidade, divisibilidade, disponibilidade, autenticidade e legalidade. 
• Confidencialidade, integridade, disponibilidade, autenticidade e legalidade. 
• Confidencialidade, integridade, disponibilidade, autenticidade e ilegalidade. 
• Confidencialidade, integridade, indisponibilidade, autenticidade e legalidade. 
 
 
 
4. Redes de computadores conectadas à internet são alvos de invasões por parte de 
hackers. A ferramenta para permitir o acesso à rede apenas por endereços autorizados 
é: 
• Firewall. 
• Antivírus. 
• Criptografia. 
• Certificado digital. 
• Modem. 
 
5. Em relação à segurança da informação e aos controles de acesso físico e lógico, 
considere: 
I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de 
processamento da informação, é certo que o grupo seja extinto com a criação de um novo, 
contendo os usuários remanescentes. 
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem 
ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a 
pessoa ao novo projeto. 
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser 
controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, 
por exemplo, cartão de controle de acesso mais PIN (personal identification number). 
Está correto o que se afirma em 
• II e III, apenas. 
• I e II, apenas. 
• I e III, apenas. 
• I, II e III. 
• III, apenas. 
Explicação: 
II -> toda empresa deve conter um método de segurança no qual somente pessoas autorizadas 
em meios físicos (meios no qual temos acesso) e lógicos (meios no qual precisa de um 
software para acessar). 
III -> Os dados de uma empresa devem conter um método de segurança, em meios lógicos 
usamos um acesso com senha que somente pessoas autorizadas deverão ter acesso. 
 
 
 
 
 
 
SIMULADO 02 
 
1. No caso do transporte de mídias magnéticas contendo informações sigilosas de usuários 
de determinada empresa, por exemplo, uma boa proteção é o emprego da criptografia. 
Esta chave é usada para embaralhar (criptografar) e desembaralhar (decriptografar) as 
informações. Diante desse conceito, marque a alternativa que explique corretamente a 
diferença entre a criptografia simétrica e a criptografia assimétrica. 
 
a) Quando outra chave é usada nas duas etapas, a criptografia é dita simétrica; quando 
são usadas chaves distintas, ela é assimétrica. 
b) Quando a mesma chave é usada nas duas etapas, a criptografia é dita assimétrica; 
quando são usadas chaves distintas, ela é simétrica. 
c) Quando várias chaves são usadas nas duas etapas, a criptografia é dita simétrica; 
quando são usadas chaves distintas, ela é assimétrica. 
d) Quando a mesma chave é usada em somente uma das duas etapas, a criptografia é 
dita simétrica; quando são usadas chaves distintas, ela é assimétrica. 
e) Quando a mesma chave é usada nas duas etapas, a criptografia é dita simétrica; 
quando são usadas chaves distintas, ela é assimétrica. 
 
2. Quanto aos controles aplicados às redes, destacam-se os firewalls, os sistemas 
detectores de intrusão e os VPNs. Esses controles permitem a criação de zonas de 
segurança dentro e fora da instituição. Tais zonas, por sua vez, possibilitam a criação de 
segregações de funcionalidades. Das zonas de segurança, a mais comumente encontrada 
é a DMZ. Zona desmilitarizada, ela limita, conforme demonstra a figura a seguir, a região 
onde os servidores web e de aplicação podem ficar. As regras dos firewalls podem seguir 
duas políticas. Quais são elas? 
 
a) Negar por padrão e Avançar por padrão 
b) Confirmar por padrão e Avançar por padrão. 
c) Confirmar por padrão e Aceitar por padrão. 
d) Negar por padrão e Aceitar por padrão. 
e) Confirmar por padrão e Negar por padrão. 
 
3. A segurança da informação (SI) está diretamente relacionada com proteção de um 
conjunto de informações, no sentido de preservar o valor que possuem para um 
indivíduo ou uma organização. Diante disso, quais são as propriedades básicas da 
segurança da informação? 
 
a) Confidencialidade, integridade, disponibilidade, autenticidade e legalidade. 
b) Confidencialidade, divisibilidade, disponibilidade, autenticidade e legalidade. 
c) Confidencialidade, integridade, disponibilidade, autenticidade e ilegalidade. 
d) Usablidade, integridade, disponibilidade, autenticidade e legalidade. 
e) Confidencialidade, integridade, indisponibilidade, autenticidade e legalidade. 
 
4. Considere que uma equipe esteja trabalhando num software web com severas restrições 
de segurança. Além dos desenvolvedores e analistas, essa equipe conta com 
profissionais especialistas em segurança que têm, entre outras atribuições, a 
responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se 
durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma 
vulnerabilidade, é sua responsabilidade: 
 
a) Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho 
de código vulnerável. 
b) Separar a vulnerabilidade, tratando o código com erro como mais um problema que 
requer correção. 
c) Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade 
imediatamente. 
d) Corrigir o problema e relatar a vulnerabilidade à equipe de segurança. 
e) Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja 
resolvido. 
 
5. Sobre os conceitos de segurança da informação, analise as afirmativas a seguir: 
I. Uma ameaça tem o poder de comprometer ativos vulneráveis. 
II. Risco é acombinação das consequências de um incidente de segurança com a sua 
probabilidade de ocorrência. 
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por 
comportamento humano. 
Está correto somente o que se afirma em: 
a) I e II 
b) III 
c) I 
d) I e III 
e) II 
 
 
 
 
 
 
 
 
SIMULADO 03 
1. Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a 
gestão da segurança da informação? 
 
a) ABNT NBR ISO 14001:2004 
b) ABNT NBR ISO/IEC 20000-1:2011 
c) ABNT NBR ISO 9001:2008 
d) ABNT NBR ISO/IEC 27002:2013 
e) ABNT NBR ISO/IEC 27001:2013 
 
 
2. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT 
NBR ISO/IEC 27001:2013 por uma organização: 
 
a) Não participação da gerência na Segurança da Informação 
b) Mecanismo para eliminar o sucesso do sistema 
c) Isola recursos com outros sistemas de gerenciamento 
d) Fornece insegurança a todas as partes interessadas 
e) Oportunidade de identificar e eliminar fraquezas 
A Oportunidade de identificar eliminar fraquezas é um dos benefícios para a adoção da norma 
ABNT NBR ISO/IEC 27001:2013 por uma organização. 
De acordo com a norma ABNT NBR ISO/IEC 27001:2013 estão destacados quais são os 
requisitos necessários para ações que envolvam o estabelecimento, implementação, 
mantenimento e melhoramento contínuos de um determinado sistema de gestão da 
segurança da informação, quando consideramos o contexto da organização. 
A norma ABNT NBR ISO/IEC 27001:2013 também faz menção aos requisitos que são 
obrigatórios para que seja feita a avaliação e o proceder para tratar os riscos de segurança da 
informação da organização. 
 
3. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra 
malware, cujas diretrizes para implementação recomendam a proteção contra códigos 
maliciosos baseada em softwares de detecção de malware e reparo, na conscientização 
da informação, no controle de acesso adequado e nos planos de continuidade de 
negócio. 
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas 
de computação, marque a alternativa que possui uma das diretrizes recomendadas: 
a) Instalar e atualizar regularmente softwares de detecção e remoção de malware, 
independentemente da fabricante, procedência e confiabilidade, para o exame de 
computadores e mídias magnéticas. 
b) Estabelecer uma política formal para proteção contra os riscos associados com a 
importação de arquivos e softwares, seja de redes externas, ou por qualquer outro 
meio, indicando quais medidas preventivas devem ser adotadas. 
c) Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados 
dos sistemas que suportam processos críticos de negócio. 
d) Estabelecer uma política informal proibindo o uso de softwares autorizados. 
e) Ignorar informalmente a presença de quaisquer arquivos não aprovados ou 
atualização não autorizada. 
 
4. Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 
6.1.3 Tratamento de riscos de segurança da informação 
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da 
informação para: 
(...) 
b) determinar todos os controles que são necessários para implementar as opções escolhidas 
do tratamento do risco da segurança da informação. 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 
6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a 
justificativa para a exclusão dos controles do Anexo A. 
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na 
Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de 
controle e controles constantes na norma. 
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-
conformidade"? 
a) Indica uma simples observação a ser feita 
b) Não se aplica a esta norma 
c) Sim 
d) Falta informação nessa checagem para classificar 
e) Não 
Explicação: 
A organização deve conduzir auditorias internas a intervalos planejados para prover 
informações sobre o quanto o sistema de gestão da segurança da informação: 
a) está em conformidade com: 
1) os próprios requisitos da organização para o seu sistema de gestão da segurança da 
informação; 
2) os requisitos desta Norma; (ABNT NBR ISO/IEC 27001:2013) 
b) está efetivamente implementado e mantido. 
"Conformidade também pode ser descrita como rastreabilidade, obrigação, flexibilidade, 
tolerância e obediência. Resumindo, uma organização deve observar seus próprios 
regulamentos internos, bem como as leis do país e os requisitos da legislação e regulamentos 
locais. Às vezes isso pode causar conflitos. Organizações multinacionais, em particular, devem 
aderir, por um lado, às suas próprias políticas internas, enquanto asseguram operar de forma 
consistente, fazendo o mesmo em relação à legislação e aos regulamentos locais e 
internacionais. Como resultado do que foi exposto, fica claro que produzir uma política interna 
dentro de uma organização é a maneira de entrar em conformidade. O primeiro passo para 
uma organização é produzir uma política declarando que deve cumprir a legislação nacional e 
local, bem como os regulamentos." 
Hans Baars, ,Kees Hintzbergen, Jule Hintzbergen Fundamentos de Segurança da Informação: 
com base na ISO 27001 e na ISO 27002 
 
5. Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma 
ABNT NBR ISO/IEC 27001:2013 por uma organização: 
 
a) Mecanismo para minimizar o fracasso do sistema 
b) Oportunidade de identificar e eliminar fraquezas 
c) Isola recursos com outros sistemas de gerenciamento 
d) Participação da gerência na Segurança da Informação 
e) Fornece segurança a todas as partes interessadas 
 
SIMULADO 04 
1. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT 
NBR ISO/IEC 27001:2013 por uma organização: 
 
a) Não participação da gerência na Segurança da Informação 
b) Mecanismo para eliminar o sucesso do sistema 
c) Oportunidade de identificar e eliminar fraquezas 
d) Isola recursos com outros sistemas de gerenciamento 
e) Fornece insegurança a todas as partes interessadas 
 
2. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra 
malware, cujas diretrizes para implementação recomendam a proteção contra códigos 
maliciosos baseada em softwares de detecção de malware e reparo, na conscientização 
da informação, no controle de acesso adequado e nos planos de continuidade de 
negócio. 
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas 
de computação, marque a alternativa que possui uma das diretrizes recomendadas: 
 
a) Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos 
sistemas que suportam processos críticos de negócio. 
b) Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização 
não autorizada. 
c) Instalar e atualizar regularmente softwares de detecção e remoção de malware, 
independentemente da fabricante, procedência e confiabilidade, para o exame de 
computadores e mídias magnéticas. 
d) Estabelecer uma política informal proibindo o uso de softwares autorizados. 
e) Estabelecer uma política formal para proteção contra os riscos associados com a 
importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, 
indicando quais medidas preventivas devem ser adotadas. 
3. Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la com o 
uso de programas, exclusivamente. Levando em consideração essa afirmação, selecione 
a opção que possui a senha com maior grau de dificuldade de ser descoberta por um 
invasor: 
 
a) MaRiA96 
b) 69910814sa 
c) aX1!@7s5d) X1234Y1 
e) SeNhA123 
 
4. "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio, 
quando aplicado sistematicamente, é o principal fundamento do sistema de proteção". 
Selecione a opção que se refere a esse mecanismo de proteção: 
 
a) Mediação completa. 
b) Padrões à prova de falhas. 
c) Separação de privilégios. 
d) Privilégio mínimo. 
e) Compartilhamento mínimo. 
 
5. Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para 
garantir a integridade dos dados, porque ..." 
 
a) Utilizam algoritmos de criptografia de chave pública. 
b) Fazem a troca de chaves na chave simétrica. 
c) Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de 
chave pública. 
d) Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor 
calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. 
e) Usam chave única para criptografar e descriptografar a mensagem.