Prévia do material em texto
SIMULADO 01 1. No caso do transporte de mídias magnéticas contendo informações sigilosas de usuários de determinada empresa, por exemplo, uma boa proteção é o emprego da criptografia. Esta chave é usada para embaralhar (criptografar) e desembaralhar (decriptografar) as informações. Diante desse conceito, marque a alternativa que explique corretamente a diferença entre a criptografia simétrica e a criptografia assimétrica. • Quando várias chaves são usadas nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. • Quando outra chave é usada nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. • Quando a mesma chave é usada nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. • Quando a mesma chave é usada em somente uma das duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. • Quando a mesma chave é usada nas duas etapas, a criptografia é dita assimétrica; quando são usadas chaves distintas, ela é simétrica. 2. Quanto aos controles aplicados às redes, destacam-se os firewalls, os sistemas detectores de intrusão e os VPNs. Esses controles permitem a criação de zonas de segurança dentro e fora da instituição. Tais zonas, por sua vez, possibilitam a criação de segregações de funcionalidades. Das zonas de segurança, a mais comumente encontrada é a DMZ. Zona desmilitarizada, ela limita, conforme demonstra a figura a seguir, a região onde os servidores web e de aplicação podem ficar. As regras dos firewalls podem seguir duas políticas. Quais são elas? • Negar por padrão e Avançar por padrão • Negar por padrão e Aceitar por padrão • Confirmar por padrão e Avançar por padrão. • Confirmar por padrão e Aceitar por padrão. • Confirmar por padrão e Negar por padrão. 3. A segurança da informação (SI) está diretamente relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Diante disso, quais são as propriedades básicas da segurança da informação? • Usablidade, integridade, disponibilidade, autenticidade e legalidade. • Confidencialidade, divisibilidade, disponibilidade, autenticidade e legalidade. • Confidencialidade, integridade, disponibilidade, autenticidade e legalidade. • Confidencialidade, integridade, disponibilidade, autenticidade e ilegalidade. • Confidencialidade, integridade, indisponibilidade, autenticidade e legalidade. 4. Redes de computadores conectadas à internet são alvos de invasões por parte de hackers. A ferramenta para permitir o acesso à rede apenas por endereços autorizados é: • Firewall. • Antivírus. • Criptografia. • Certificado digital. • Modem. 5. Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes. II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number). Está correto o que se afirma em • II e III, apenas. • I e II, apenas. • I e III, apenas. • I, II e III. • III, apenas. Explicação: II -> toda empresa deve conter um método de segurança no qual somente pessoas autorizadas em meios físicos (meios no qual temos acesso) e lógicos (meios no qual precisa de um software para acessar). III -> Os dados de uma empresa devem conter um método de segurança, em meios lógicos usamos um acesso com senha que somente pessoas autorizadas deverão ter acesso. SIMULADO 02 1. No caso do transporte de mídias magnéticas contendo informações sigilosas de usuários de determinada empresa, por exemplo, uma boa proteção é o emprego da criptografia. Esta chave é usada para embaralhar (criptografar) e desembaralhar (decriptografar) as informações. Diante desse conceito, marque a alternativa que explique corretamente a diferença entre a criptografia simétrica e a criptografia assimétrica. a) Quando outra chave é usada nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. b) Quando a mesma chave é usada nas duas etapas, a criptografia é dita assimétrica; quando são usadas chaves distintas, ela é simétrica. c) Quando várias chaves são usadas nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. d) Quando a mesma chave é usada em somente uma das duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. e) Quando a mesma chave é usada nas duas etapas, a criptografia é dita simétrica; quando são usadas chaves distintas, ela é assimétrica. 2. Quanto aos controles aplicados às redes, destacam-se os firewalls, os sistemas detectores de intrusão e os VPNs. Esses controles permitem a criação de zonas de segurança dentro e fora da instituição. Tais zonas, por sua vez, possibilitam a criação de segregações de funcionalidades. Das zonas de segurança, a mais comumente encontrada é a DMZ. Zona desmilitarizada, ela limita, conforme demonstra a figura a seguir, a região onde os servidores web e de aplicação podem ficar. As regras dos firewalls podem seguir duas políticas. Quais são elas? a) Negar por padrão e Avançar por padrão b) Confirmar por padrão e Avançar por padrão. c) Confirmar por padrão e Aceitar por padrão. d) Negar por padrão e Aceitar por padrão. e) Confirmar por padrão e Negar por padrão. 3. A segurança da informação (SI) está diretamente relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Diante disso, quais são as propriedades básicas da segurança da informação? a) Confidencialidade, integridade, disponibilidade, autenticidade e legalidade. b) Confidencialidade, divisibilidade, disponibilidade, autenticidade e legalidade. c) Confidencialidade, integridade, disponibilidade, autenticidade e ilegalidade. d) Usablidade, integridade, disponibilidade, autenticidade e legalidade. e) Confidencialidade, integridade, indisponibilidade, autenticidade e legalidade. 4. Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade: a) Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável. b) Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção. c) Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente. d) Corrigir o problema e relatar a vulnerabilidade à equipe de segurança. e) Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido. 5. Sobre os conceitos de segurança da informação, analise as afirmativas a seguir: I. Uma ameaça tem o poder de comprometer ativos vulneráveis. II. Risco é acombinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência. III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano. Está correto somente o que se afirma em: a) I e II b) III c) I d) I e III e) II SIMULADO 03 1. Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a gestão da segurança da informação? a) ABNT NBR ISO 14001:2004 b) ABNT NBR ISO/IEC 20000-1:2011 c) ABNT NBR ISO 9001:2008 d) ABNT NBR ISO/IEC 27002:2013 e) ABNT NBR ISO/IEC 27001:2013 2. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: a) Não participação da gerência na Segurança da Informação b) Mecanismo para eliminar o sucesso do sistema c) Isola recursos com outros sistemas de gerenciamento d) Fornece insegurança a todas as partes interessadas e) Oportunidade de identificar e eliminar fraquezas A Oportunidade de identificar eliminar fraquezas é um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização. De acordo com a norma ABNT NBR ISO/IEC 27001:2013 estão destacados quais são os requisitos necessários para ações que envolvam o estabelecimento, implementação, mantenimento e melhoramento contínuos de um determinado sistema de gestão da segurança da informação, quando consideramos o contexto da organização. A norma ABNT NBR ISO/IEC 27001:2013 também faz menção aos requisitos que são obrigatórios para que seja feita a avaliação e o proceder para tratar os riscos de segurança da informação da organização. 3. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio. Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas: a) Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas. b) Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas. c) Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio. d) Estabelecer uma política informal proibindo o uso de softwares autorizados. e) Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada. 4. Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 6.1.3 Tratamento de riscos de segurança da informação A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: (...) b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação. d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma. De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não- conformidade"? a) Indica uma simples observação a ser feita b) Não se aplica a esta norma c) Sim d) Falta informação nessa checagem para classificar e) Não Explicação: A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação: a) está em conformidade com: 1) os próprios requisitos da organização para o seu sistema de gestão da segurança da informação; 2) os requisitos desta Norma; (ABNT NBR ISO/IEC 27001:2013) b) está efetivamente implementado e mantido. "Conformidade também pode ser descrita como rastreabilidade, obrigação, flexibilidade, tolerância e obediência. Resumindo, uma organização deve observar seus próprios regulamentos internos, bem como as leis do país e os requisitos da legislação e regulamentos locais. Às vezes isso pode causar conflitos. Organizações multinacionais, em particular, devem aderir, por um lado, às suas próprias políticas internas, enquanto asseguram operar de forma consistente, fazendo o mesmo em relação à legislação e aos regulamentos locais e internacionais. Como resultado do que foi exposto, fica claro que produzir uma política interna dentro de uma organização é a maneira de entrar em conformidade. O primeiro passo para uma organização é produzir uma política declarando que deve cumprir a legislação nacional e local, bem como os regulamentos." Hans Baars, ,Kees Hintzbergen, Jule Hintzbergen Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002 5. Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: a) Mecanismo para minimizar o fracasso do sistema b) Oportunidade de identificar e eliminar fraquezas c) Isola recursos com outros sistemas de gerenciamento d) Participação da gerência na Segurança da Informação e) Fornece segurança a todas as partes interessadas SIMULADO 04 1. Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: a) Não participação da gerência na Segurança da Informação b) Mecanismo para eliminar o sucesso do sistema c) Oportunidade de identificar e eliminar fraquezas d) Isola recursos com outros sistemas de gerenciamento e) Fornece insegurança a todas as partes interessadas 2. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio. Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas: a) Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio. b) Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada. c) Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas. d) Estabelecer uma política informal proibindo o uso de softwares autorizados. e) Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas. 3. Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la com o uso de programas, exclusivamente. Levando em consideração essa afirmação, selecione a opção que possui a senha com maior grau de dificuldade de ser descoberta por um invasor: a) MaRiA96 b) 69910814sa c) aX1!@7s5d) X1234Y1 e) SeNhA123 4. "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio, quando aplicado sistematicamente, é o principal fundamento do sistema de proteção". Selecione a opção que se refere a esse mecanismo de proteção: a) Mediação completa. b) Padrões à prova de falhas. c) Separação de privilégios. d) Privilégio mínimo. e) Compartilhamento mínimo. 5. Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque ..." a) Utilizam algoritmos de criptografia de chave pública. b) Fazem a troca de chaves na chave simétrica. c) Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública. d) Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. e) Usam chave única para criptografar e descriptografar a mensagem.