APOL 1 - 90

Prévia do material em texto

Nota: 90 
Disciplina(s): Segurança em Sistemas de Informação 
Questão 1/10 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a 
aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de 
grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns 
autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos 
sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada 
para a gestão financeira, transparência e publicidade dos dados contábeis.É consequência de prejuízos 
causados a investidores por meio de fraudes contábeis, resultando em impacto na segurança da 
informação e dos sistemas por todo o mundo. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de 
usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das 
informações dos usuários desse segmento. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios 
Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou 
Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de 
informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e 
agentes do mercado financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos 
centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com 
impacto direto na segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: 
 
Nota: 10.0 
 
A Somente as afirmações I, II e III são corretas. 
 
B Somente as afirmações I, II e IV são corretas. 
 
C Somente as afirmações I, III e IV são corretas. 
 
D Somente as afirmações II, III e IV são corretas. 
 
E Todas as afirmações são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, 
páginas 5 e 6 da Rota de Aprendizagem (versão impressa). 
 
Questão 2/10 - Segurança em Sistemas de Informação 
A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente de grande valor. Na 
era da informação na qual vivemos, o volume de informação que produzimos, manipulamos e 
armazenamos é muito elevado, dada a facilidade de fazê-lo através dos meios eletrônicos. Embora a 
informação possa manifestar-se em diversos meios – impressa ou eletrônica, analógica ou digital, etc., é 
no modelo digital e eletrônico que tem seu expoente em termos de volume, flexibilidade e facilidade de uso 
e acesso. Nesse contexto essa mesma informação está continuamente exposta a riscos de segurança, os 
quais atentam contra as suas características básicas: a confidencialidade, a integridade e a disponibilidade 
da informação. Estes riscos, quando concretizados, resultam no que se denomina incidente de segurança. 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada uma como 
(F)alsa ou (V)erdadeira: 
( ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas interfaces 
estão sujeitos a falhas, erros e faltas. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, 
geralmente referenciados genericamente como malwares. 
( ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que interferem no 
hardware, tais como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de 
temperatura de operação, e portanto não podem ser consideradas como vulnerabilidades. 
( ) Algumas características de dispositivos e ambientes computacionais eliminam as vulnerabilidades, tais 
como a mobilidade, a flexibilidade, a capacidade de personalização, a conectividade, a convergência de 
tecnologias e capacidades reduzidas de armazenamento e processamento de informações. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 
A V-F-F-V 
 
B F-V-V-F 
 
C F-F-V-V 
 
D F-V-V-V 
 
E V-V-F-F 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da 
Informação e de Sistemas, páginas 9 a 15 da Rota de Aprendizagem (versão impressa). 
 
Questão 3/10 - Segurança em Sistemas de Informação 
Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade 
incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, a 
partir da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da 
fotografia, seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de 
informação produzida, disponível e transportada ganhou tamanha proporção. 
Avalie as afirmações sobre os conceitos de informação a seguir: 
I – A informação é restrita a um conjunto de nomes, números, imagens e sons. 
II – No mundo moderno a informação somente pode existir com o uso da tecnologia. 
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na 
separação entre a informação e os dados. 
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter 
sua utilidade e seu valor. 
V – Os dados são os resultados da análise ou processamento que, mediante processos e regras definidas, 
tornam-se inteligíveis e utilizáveis pelos seres humanos. 
Assinale a única alternativa coerente com o conteúdo apresentado na disciplina: 
 
Nota: 10.0 
 
A Somente as afirmações I e II estão corretas. 
 
B Somente as afirmações II e IV estão corretas. 
 
C Somente as afirmações III e IV estão corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, 
páginas 3 e 4 da Rota de Aprendizagem (versão impressa). 
 
D Todas as afirmações são corretas. 
 
E Nenhuma das afirmações é correta. 
 
Questão 4/10 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a que adota os 
mecanismos de segurança desde o início do processo de desenvolvimento do software. O quão mais cedo 
neste processo se pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quanto à estratégias e mecanismos 
de segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis para o processo 
de desenvolvimento e a redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de teste de software, os 
quais são geralmente enfatizados pelas organizações devido à sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das questões de segurança 
do software é uma prática comum, o que tem elevado continuamente o padrão de segurança da 
informação e dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de faltas, erros e 
vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, contemplando a segurança do 
software, a segurança do ambiente de desenvolvimento ea garantia de segurança do software 
desenvolvido é estabelecido pela norma ISO/IEC 15.408. 
Assinale a única alternativa que confere com conteúdo que foi apresentado: 
 
Nota: 10.0 
 
A Somente as afirmações I, II e III são corretas. 
 
B Somente as afirmações I, II e IV são corretas. 
 
C Somente as afirmações II, III e IV são corretas. 
 
D Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, 
páginas de 17 a 20 da Rota de Aprendizagem (versão impressa). 
 
E Todas as afirmações são corretas. 
 
Questão 5/10 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a 
informação em si, quer sejam os computadores e os componentes das redes de computadores, e 
determinadas funções destes dispositivos acabam mesclando-se. 
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como 
(F)alsa ou (V)erdadeira. 
( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, 
como os proxies, os firewalls e os detectores de intrusão. 
( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou 
danosas à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes 
ambientes. 
( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – 
normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, 
log de acessos e tradução de endereços internos para externos (NAT). 
( ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada 
como um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente 
desconhecido e inseguro. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 0.0 
 
A V-F-F-V 
 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da 
Informação e de Sistemas, páginas 4 e 5 da Rota de Aprendizagem (versão impressa). 
 
B F-V-V-F 
 
C F-F-V-V 
 
D F-V-V-V 
 
E V-V-V-F 
 
Questão 6/10 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a constituição de 1988. 
O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e 
geral. Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos 
últimos tempos a aplicação de regulamentos legais ao uso da Internet. Nesse aspecto, a maior 
repercussão e abrangência foi estabelecida com a recente promulgação da: 
 
Nota: 10.0 
 
A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de 
Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica de 
documentos. 
 
B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão 
eletrônico. 
 
C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de 
propriedade intelectual de programa de computador, sua comercialização no país, 
etc. 
 
D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento 
de fotos íntimas da atriz de mesmo nome na internet. 
 
E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, 
direitos e deveres para o uso da Internet no Brasil. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, 
páginas 5, 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
Questão 7/10 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a 
aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de 
grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns 
autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos 
sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada 
para as finanças, decorrente de problemas financeiros causados à economia mundial devido a fraudes 
contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos sistemas. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de 
usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios 
Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou 
Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de 
informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e 
agentes do mercado financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos 
centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com 
impacto direto na segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: 
 
Nota: 10.0 
 
A Somente as afirmações I e III são corretas. 
 
B Somente as afirmações II e IV são corretas. 
 
C Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, 
páginas 5 e 6 da Rota de Aprendizagem (versão impressa). 
 
D Somente as afirmações I e IV são corretas. 
 
E Todas as afirmações são corretas. 
 
Questão 8/10 - Segurança em Sistemas de Informação 
Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer 
a devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no 
conjunto identificação (ID) e senha (PASSWORD), porém para muitas operações críticas e o uso de 
informações sensíveis estes controles não são suficientes. 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta. 
Nota: 10.0 
 
A Certificados digitais e assinaturas eletrônicas são substitutos típicos do conjunto 
identificação (ID) e senha (PASSWORD). 
Incorreta, certificados digitais e assinaturas eletrônicas não são aplicáveis para 
autenticação de usuário ou controle de acesso. 
 
B Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a 
identidade dos agentes, devido à velocidade das aplicações. 
 
C A independência do ambiente, a flexibilidade e a interatividade com diversas 
tecnologias e funcionalidades são requisitos dos controles de acesso e 
identidade. 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da 
Informação e de Sistemas, página 3 da Rota de Aprendizagem (versão impressa). 
 
D O desempenho dos controles de acesso não é um aspecto crítico, desde que as 
aplicações e os computadores sejam velozes e estejam cada vez mais 
conectados. 
 
E O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas 
operações críticas, haja visto o vasto uso destes controles na maioria das 
aplicações sensíveis, como o home banking, por exemplo. 
 
Questão 9/10 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a Constituição de 
1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira 
ampla e geral. Jáa legislação específica tem sido objeto de constante evolução, tendo como maior 
destaque nos últimos tempos a aplicação de regulamentos legais ao uso da Internet. 
Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, foi aprovada em 
tempo recorde a seguinte legislação: 
 
Nota: 10.0 
 
A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de 
Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica de 
documentos. 
 
B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão 
eletrônico. 
 
C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de 
propriedade intelectual de programa de computador, sua comercialização no país, 
etc. 
 
D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento 
de fotos íntimas da atriz de mesmo nome na internet. 
 
Você acertou! 
Conteúdo apresentado em tema da aula "A Organização da Segurança da Informação", 
Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, 
direitos e deveres para o uso da Internet no Brasil. 
 
Questão 10/10 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que 
possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a 
falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou 
apresentarem comportamento incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou 
apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo seu 
uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não 
foi comprovada, seja por haver interesses escusos devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre 
ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em 
recursos financeiros para a proteção dos ativos e redução das ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e 
executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são 
elaboradas à partir de uma matriz PxI – Probabilidade x Impacto. 
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula: 
 
Nota: 10.0 
 
A Somente as afirmações I e III são corretas. 
 
B Somente as afirmações II e IV são corretas. 
 
C Somente as afirmações III e IV são corretas. 
 
D Somente as afirmações IV e V são incorretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, 
páginas de 9 a 13 da Rota de Aprendizagem (versão impressa). 
 
E Todas as afirmações são corretas.