SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação
A assinatura digital e certificação digital são códigos digitais concatenados com uma mensagem transmitida de maneira eletrônica. A respeito de segurança nesse processo de certificação, um certificado digital pode não ser confiável se:
	
	A
	O proprietário do certificado estiver conferindo com a entidade certificadora
	
	B
	Se o certificado estiver fora do prazo de validade
Você assinalou essa alternativa (B)
	
	C
	Se este for emitido pela Autoridade Certificadora confiável
	
	D
	Não tiver nenhum tipo de revogação pela Autoridade Certificadora emissora
	
	E
	Se não houver nenhum problema notificado de comprometimento de chaves
Questão 2/10 - Segurança em Sistemas de Informação
Toda a organização deve definir algumas convenções e critérios para determinar os riscos que podem ser aceitos ou não, e ao ser avaliado o risco precisa ser classificado. Marque a opção que apresenta um controle de risco desejável dentro de uma organização:
	
	A
	Aplicar controles de riscos inapropriados e terceirizar os maiores riscos identificados
	
	B
	Desenvolver requisitos identificados sem avaliação de riscos
	
	C
	Atender requisitos e restrições relacionados apenas a legislações nacionais
	
	D
	Documentar todas as ocorrências, maximizar as causas e desenvolver política de aceitação de riscos
	
	E
	Reduzir os riscos a níveis aceitáveis
Você assinalou essa alternativa (E)
Questão 3/10 - Segurança em Sistemas de Informação
Os processos de desenvolvimento de software são um conjunto de atividades que cobrem todo o ciclo, desde a concepção de ideias até a descontinuação do software. O conhecimento de alguns princípios e fundamentos básicos de segurança de softwares pode ajudar na implementação da segurança. Controles sólidos diminuem os riscos. Dentro desse cenário, complete as lacunas com seu respectivo conceito.
 
1) Gerenciamento de código-fonte                                 2) Realização de testes
3) Correção de erros                                                          4) Documentação do software
5) Padrões de Código Seguro     
 
(  ) O ambientes de testes são essenciais. Desde os pequenos protótipos, até uma avaliação geral de software, são etapas essenciais para a validação do sistema e a identificação de erros e falhas, com possíveis melhorias na usabilidade do software.
(  ) A utilização de ferramentas de gerenciamento de código-fonte possibilita a organização, o versionamento e a interação entre a equipe de desenvolvimento, mantendo a integridade e promovendo versões de código.
(  ) O emprego de utilitários e ferramentas que permitem registrar os erros e as falhas no ambiente de teste ajuda os envolvidos no desenvolvimento do sistema a resolver possíveis bugs.
(   ) Esse conceito trata de elencar listas de códigos seguros para o desenvolvimento, seguindo as boas práticas de acordo com a linguagem da programação adotada e com a plataforma onde o software é hospedado e desenvolvido.
( ) Devido a rotatividade cada vez maior dos recursos humanos, é importante ter uma documentação bem elaborada e clara de toda a arquitetura.
Assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
	
	A
	2,1,5,4 e 3
	
	B
	2,1,5,4 e 3
	
	C
	2,1,3,5 e 4
Você assinalou essa alternativa (C)
	
	D
	3,1,4,5 e 2
	
	E
	2,1,5,3 e 4
Questão 4/10 - Segurança em Sistemas de Informação
A assinatura digital é um código digital concatenado com uma mensagem transmitida de maneira eletrônica. Ela faz a identificação do emissor de modo único, com a garantia de integridade da mensagem. Marque a opção que apresenta um requisito das assinaturas digitais:
	
	A
	É preciso que a produção da assinatura digital seja de elaboração bem difícil para evitar falsificação.
	
	B
	É preciso que a retenção de uma cópia de assinatura digital bem segura, inviolável, e de difícil manipulação em termos de armazenamento para garantir o sigilo.
	
	C
	A assinatura deve usar informações exclusivas do emissor, de modo a impedir a falsificação e a negação.
Você assinalou essa alternativa (C)
	
	D
	É preciso que a falsificação computacional seja viável, seja pela elaboração de uma nova mensagem para uma assinatura digital existente, para que seja possível executar a lógica reversa e auxílio a auditoria.
	
	E
	A assinatura não deve apresentar um padrão de bits para segurança e dependência do fechamento e da assinatura da mensagem.
Questão 5/10 - Segurança em Sistemas de Informação
O Mitre (Massachusetts Institute of Technology Research & Engineering) é uma grande instituição americana financiada pelo governo, sem fins lucrativos. Dentro do instituto Mitre, foi adicionado o ATT&CK (Adversarial Tatics, Techniques & Common Knowledge), em 2013. Trata-se de um braço responsável por enumerar, descrever e categorizar comportamentos de adversários com base em cenários globais reais de segurança cibernética. Esse framework oferece uma série de valores, complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
 
1) Mapeamento de controles defensivos                                  2) Caçada a ameaças
3) Investigação e detecção                                                          4) Integração de ferramentas
 
(  ) mapear todas as possíveis defesas ajuda o framework ATT&CK a entregar um grande apanhado de aspetos defensivos, fornecendo aos caçadores de ameaças ótimos pontos para encontrar atividades dos atacantes até então não detectadas.
 
(   ) é desejável criar processos que integrem as diversas ferramentas e serviços de segurança da informação. A busca por padrões de táticas e técnicas encontrados nesse framework ajuda a melhorar o entendimento das ferramentas, o que leva a uma maior coesão de defesa entre elas.
 
(   ) as equipes que registram incidentes e o grupo de profissionais que atuam na resposta podem usar o ATT&CK para referenciar técnicas e táticas que tenham sido detectadas.
 
(   ) aperfeiçoar os controles defensivos a partir da compreensão de como e quando visualizamos as táticas e técnicas de ataque mapeadas pelo ATT&CK.
	
	A
	2,4,1 e 3
	
	B
	4,2,3 e 1
	
	C
	2,4,3 e 1
Você assinalou essa alternativa (C)
	
	D
	3,1,4 e 2
	
	E
	1,2,4 e 3
Questão 6/10 - Segurança em Sistemas de Informação
O framework de segurança da informação NIST (National Institute of Standards and Tecnology) e o CSF (Cybersecurity Framework) são americanos, com versões publicadas pelo Instituto Nacional de Padrões e Tecnologia dos Estados Unidos. Foi criado para oferecer às organizações um guia de atividades necessárias para atingir diferentes padrões de segurança cibernética. Sobre o NIST assinale a alternativa correta:
Você não pontuou essa questão
	
	A
	O NIST é formado por três partes: núcleo da estrutura, camada de enlace e camada de transporte.
	
	B
	Seu enfoque recai sobre pequenas empresas, por conta da complexidade de sua concepção ser menor.
	
	C
	O NIST estabelece três funções de alto nível: identificação, controle e recuperação.
Você assinalou essa alternativa (C)
	
	D
	O intuito principal do NIST é criar um aprimoramento das capacidades de prevenção, detecção e resposta a diversos tipos de ataques cibernéticos.
	
	E
	As funções do NIST se aplicam apenas ao gerenciamento de riscos cibernéticos, mas não a riscos em geral.
Questão 7/10 - Segurança em Sistemas de Informação
Em se tratando dos tipos de ameaças, identificar, classificar e enumerar são atividades frequentes dos profissionais de segurança da informação, e as listas de ameaças podem ser classificadas como humanas e não humanas. Assinale a opção que apresenta apenas ameaças não humanas:
	
	A
	Instrusos danificam sistemas de informações de forma intencional
	
	B
	Deleção de dados feito de maneira acidental por funcionário
	
	C
	Inserções de dispositivos móveis infectados na rede por colaborador desatento a segurança
	
	D
	Instalação de programas indevidos por usuário sem a intenção de ameaçar a estrutura de TI
	
	E
	Tempestades,inundações e blecautes
Você assinalou essa alternativa (E)
Questão 8/10 - Segurança em Sistemas de Informação
A família ISO/IEC 27000 apresenta uma séria de normas relacionadas à segurança de ativos de informações das empresas, com a utilização dessas normas as organizações tornam todo seu ambiente computacional mais seguro, a proteção a dados financeiros, propriedades intelectuais, informações empresariais, segredos de negócios, entre outros. Em relação as normas da família ISO/IEC 27000, complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
 
1) ISO/IEC 27001    2) ISO/IEC 27002    3) ISO/IEC 27005    4) ISO/IEC 27011    5) ISO/IEC 27017
 
(    )  essa norma apresenta alguns controles específicos para computação em nuvem (cloud computing).
(       ) norma que trata de forma detalhada a gestão de riscos.
(    ) essa norma apresenta um guia de gestão da segurança para as empresas da área de telecomunicações.
(     ) é a norma principal de segurança de informação, as organizações devem alinhar como base para obtenção de certificações empresariais em gestão da segurança da informação.
(      ) apresenta uma série de códigos de práticas com um grupo completo de controles que servem como base para a aplicação do Sistema de Gestão da Segurança da Informação.
	
	A
	3,5,4,2 e 1
	
	B
	4,3,2,1 e 5
	
	C
	5,3,4,2 e 1
Você assinalou essa alternativa (C)
	
	D
	5,3,2,4 e 1
	
	E
	5,4,2,1 e 3
Questão 9/10 - Segurança em Sistemas de Informação
A padronização do certificado X.509 apresenta boas práticas de serviços de diretório, que nada mais são do que um servidor, ou um grupo de servidores (sistema distribuído), que disponibilizam um banco de dados com todas as informações dos usuários. O X.509 foi criado e desenvolvido com base em criptografia de chave pública e assinaturas digitais. Qual é o algoritmo recomendado para utilização do certificado X.509?
	
	A
	Elgamal
	
	B
	RSA
Você assinalou essa alternativa (B)
	
	C
	Diffie-Hellman
	
	D
	Curvas Elípticas (ECC)
	
	E
	DES (Data Encryption Standard)
Questão 10/10 - Segurança em Sistemas de Informação
Durante a análise de riscos são levantadas uma série de ameaças relacionadas com sua respectiva importância. Ao avaliarmos as ameaças, é necessária a criação de contramedidas que possam minimizar as ameaças, essas contramedidas visam mitigar as chances de alguns eventos ocorrerem e minimizar as consequências. Assinale a alternativa que apresenta uma categoria de contramedida válida contra ameaças.
Você não pontuou essa questão
	
	A
	contramedidas repressivas que visam evitar acidentes
	
	B
	contramedidas de redução que visam detectar incidentes
	
	C
	contramedidas preventivas que visam diminuir a probabilidade de uma ameaça ocorrer
Você assinalou essa alternativa (C)
	
	D
	contramedidas corretivas que visam recuperar os danos causados por um incidente
	
	E
	de detecção que visam limitar um incidente