2 APOLs - Segurança em Sistemas de Informação

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação
A segurança de redes tem a responsabilidade de controlar a largura de banda, coordenar a instalação
de aplicativos, evitar que dispositivos conectados por usuários causem algum dano à rede, fiscalizar 
os usuários dos sistemas e colocar em prática a políticas de segurança. Uma boa segurança de redes 
precisa colocar em práticas algumas diretrizes para proteger os dados da organização. Considerando
V para verdadeiro e F para falso, complete as lacunas abaixo sobre boas práticas de segurança de 
rede:
( ) Desenvolver uma prática de realização de cópias de segurança, com cronograma diário, mensal e
semanal, executando testes periódicos de recuperação de dados.
( ) Evitar fazer investimentos em soluções de segurança (como antivírus, firewalls, soluções de 
backup e sistemas antispam) pois o custo de aquisição é muito alto.
( ) Promover a atualização constante de sistemas de segurança, aplicações, sistemas operacionais e 
soluções de antivírus.
( ) Criar uma política de complexidade de senhas seguras e com uma estratégia definida, inclusive 
retirando o acesso remoto a redes, evitar a implantação de redes e conexões sem fio.
Após análise, assinale a alternativa que apresenta a sequência CORRETA dos itens acima, de cima 
para baixo:
D V, F, V, F
Questão 2/10 - Segurança em Sistemas de Informação
Marque a opção abaixo que apresenta um componente tecnológico que mostra a identificação 
segura do autor de uma mensagem ou documento em redes de computadores e na Internet.
C Certificado digital
Questão 3/10 - Segurança em Sistemas de Informação
Existe uma série de aplicações que utilizam criptografia. O protocolo de acesso remoto chamado 
SSH (Secure Shell), originário dos sistemas Linux e Unix, provê alguns mecanismos para a 
segurança da informação, incluindo a criptografia. O esquema de criptografia utilizado no SSH é 
chamado de chave:
C Publica
Questão 4/10 - Segurança em Sistemas de Informação
A padronização do certificado X.509 apresenta boas práticas de serviços de diretório, que nada mais
são do que um servidor, ou um grupo de servidores (sistema distribuído), que disponibilizam um 
banco de dados com todas as informações dos usuários. O X.509 foi criado e desenvolvido com 
base em criptografia de chave pública e assinaturas digitais. Qual é o algoritmo recomendado para 
utilização do certificado X.509?
B RSA
Questão 5/10 - Segurança em Sistemas de Informação
O ISO 31000 é uma norma que recomenda que as organizações desenvolvam, implementem e 
melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos 
na governança, estratégia, planejamento e gestão, processos esses que devem reportar dados e 
resultados, políticas, valores e cultura em toda a organização. São princípios da ISO 31000:
E É sistemática, estruturada e oportuna
Questão 6/10 - Segurança em Sistemas de Informação
A segurança da informação se refere à proteção existente sobre as informações de uma determinada 
empresa ou pessoa; isto é, aplica-se tanto às informações corporativas como às pessoas. Aponte a 
alternativa que apresenta a tríade de segurança da informação:
D Confidencialidade, Disponibilidade e Integridade.
Questão 7/10 - Segurança em Sistemas de Informação
Os processos de desenvolvimento de software são um conjunto de atividades que cobrem todo o 
ciclo, desde a concepção de ideias até a descontinuação do software. O conhecimento de alguns 
princípios e fundamentos básicos de segurança de softwares pode ajudar na implementação da 
segurança. Controles sólidos diminuem os riscos. Dentro desse cenário, complete as lacunas com 
seu respectivo conceito.
1) Gerenciamento de código-fonte 2) Realização de testes
3) Correção de erros 4) Documentação do software
5) Padrões de Código Seguro 
( ) O ambientes de testes são essenciais. Desde os pequenos protótipos, até uma avaliação geral de 
software, são etapas essenciais para a validação do sistema e a identificação de erros e falhas, com 
possíveis melhorias na usabilidade do software.
( ) A utilização de ferramentas de gerenciamento de código-fonte possibilita a organização, o 
versionamento e a interação entre a equipe de desenvolvimento, mantendo a integridade e 
promovendo versões de código.
( ) O emprego de utilitários e ferramentas que permitem registrar os erros e as falhas no ambiente 
de teste ajuda os envolvidos no desenvolvimento do sistema a resolver possíveis bugs.
( ) Esse conceito trata de elencar listas de códigos seguros para o desenvolvimento, seguindo as 
boas práticas de acordo com a linguagem da programação adotada e com a plataforma onde o 
software é hospedado e desenvolvido.
( ) Devido a rotatividade cada vez maior dos recursos humanos, é importante ter uma documentação
bem elaborada e clara de toda a arquitetura.
Assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
C 2,1,3,5 e 4
Questão 8/10 - Segurança em Sistemas de Informação
A Security Scorecard é uma empresa que atua no segmento de segurança da informação. A 
plataforma Security Scorecard permite que os usuários acompanhem, visualizem e monitorem, de 
forma contínua, as classificações de segurança, controlando fornecedores ou organizações parceiras 
e recebendo informes relacionados à área de cibersegurança, sempre com boletins atualizados. 
Segundo o Security Scorecard, os tipos de coletas são:
A Coleta ativa, coleta passiva, particionamento de rede e demais registros
Comentário: Coleta ativa: descoberta de serviço, captura de conteúdo, impressão digital, 
enumeração de configuração, descoberta de certificados, resolução de nomes, nomes e números. 
Coleta passiva: redes dedicadas de observação (honeypots), servidor projetado para capturar tráfego
malicioso (sinkholes), servidor DNS passivo, troca de publicidade, remetentes de spam, despejos de
credenciais e e-mails registrados. Particionamento de rede: segmentação, falhas, convergência, 
tolerância, redundâncias e congestionamento. Demais registros: configuração incorreta, lags, atrasos
e omissão. Resposta letra A.
Questão 9/10 - Segurança em Sistemas de Informação
A gestão de infraestrutura de tecnologia da informação acabou se tornando uma das principais 
atividades-chave no meio corporativo. Deve servir de apoio para as tomadas de decisão. Dentre os 
principais elementos que fazem parte de uma infraestrutura de tecnologia, marque a alternativa que 
apresenta alguns desses elementos:
B Unidades de armazenamento, switches, roteadores, firewall e servidores de rede
Comentário: Aplicativos de terceiros, armário de telecomunicações de operadores, sistemas de 
refrigeração não fazem parte da infraestrutura de TI. Resposta certa letra B.
Questão 10/10 - Segurança em Sistemas de Informação
O framework de segurança da informação NIST (National Institute of Standards and Tecnology) e o
CSF (Cybersecurity Framework) são americanos, com versões publicadas pelo Instituto Nacional de
Padrões e Tecnologia dos Estados Unidos. Foi criado para oferecer às organizações um guia de 
atividades necessárias para atingir diferentes padrões de segurança cibernética. Sobre o NIST 
assinale a alternativa correta:
D O intuito principal do NIST é criar um aprimoramento das capacidades de prevenção,
detecção e resposta a diversos tipos de ataques cibernéticos.
Comentário: O NIST é formado por três partes: núcleo da estrutura, perfil da estrutura e camadas de
implantação da estrutura. O NIST é muito utilizado por médias e e grandes empresas. Possui cinco 
funções de alto nível: identificar, detectar, proteger, responder e recuperar. O NIST de aplica em 
riscos de modo geral. Resposta certa, letra D.
Questão 1/10 - Segurança em Sistemas de Informação
É de grande importância para as organizações conhecer as vulnerabilidades de cada etapa e o 
processo da aquisição ou de desenvolvimento de software, para que asameaças possam ser 
minimizadas ou removidas. O conhecimento de alguns princípios e fundamentos básicos de 
segurança de softwares pode ajudar na implementação da segurança. Controles sólidos diminuem os
riscos. Complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a 
sequência que completa corretamente as sentenças:
1) Tolerância a falhas 2) Defesa em Profundidade 3) Auditoria 4) Controle de Acesso
( ) Elaborar mecanismos de redundância e contingência em caso de panes, garantindo a integridade 
dos dados e sistemas mesmo em caso de problemas.
( ) Fazer a gestão de recursos de software de forma identificada, autenticada e autorizada.
( ) Estabelecer uma estrutura para consulta de eventos de segurança, fornecendo consultas em 
relação aos processos de negócios e aos usuários dos sistemas de informação.
( ) Combinar várias camadas de proteção sem depender exclusivamente de um único método. 
Todos os níveis devem ser utilizados, incluindo sistema operacional, rede e código de aplicação.
C 1,4,3 e 2
Questão 2/10 - Segurança em Sistemas de Informação
O framework de segurança da informação NIST (National Institute of Standards and Tecnology) e o
CSF (Cybersecurity Framework) são americanos, com versões publicadas pelo Instituto Nacional de
Padrões e Tecnologia dos Estados Unidos. Foi criado para oferecer às organizações um guia de 
atividades necessárias para atingir diferentes padrões de segurança cibernética. Sobre o NIST 
assinale a alternativa correta:
D O intuito principal do NIST é criar um aprimoramento das capacidades de prevenção,
detecção e resposta a diversos tipos de ataques cibernéticos.
Questão 3/10 - Segurança em Sistemas de Informação
Os algoritmos e protocolos de criptografia podem ser agrupados em quatro áreas principais: 
encriptação simétrica e assimétrica, algoritmos de integridade de dados e protocolos de 
autenticação. Sobre a criptografia simétrica e seu funcionamento, analise as sentenças abaixo e 
marque se são verdadeiras (V) ou falsas (F).
( ) A criptografia simétrica faz de chave única, essa chave é compartilhada entre emissor e o 
destinatário da mensagem.
( ) A chave da criptografia simétrica é uma cadeia própria de bits que vai definir a maneira como o 
algoritmo vai cifrar as mensagens.
( ) A criptografia simétrica tem baixo desempenho e mantém uma comunicação contínua entre uma 
única pessoa.
Assinale a opção que mostra a sequência correta de cima para baixo.
A V, V, F
Questão 4/10 - Segurança em Sistemas de Informação
A assinatura digital e certificação digital são códigos digitais concatenados com uma mensagem 
transmitida de maneira eletrônica. A respeito de segurança nesse processo de certificação, um 
certificado digital pode não ser confiável se:
B Se o certificado estiver fora do prazo de validade
Questão 5/10 - Segurança em Sistemas de Informação
A Criptografia nas redes locais sem fio (Wi-Fi) é utilizada para blindar uma rede sem fio com um 
protocolo de autenticação que necessite de uma senha ou chave de segurança de rede quando um 
utilizador ou dispositivo tenta se conectar a esta rede sem fio. Caso a rede sem fio não tenha 
nenhum tipo de proteção de nenhum método de criptografia, usuários não autorizados podem 
enxergar e acessar a rede sem fio a fim de obter informações confidenciais ou até usar até mesmo de
maneira ilegal e mal-intencionada. Qual dos protocolos de criptografia abaixo oferece segurança a 
redes sem fio (Wi-Fi)
D WPA2
Questão 6/10 - Segurança em Sistemas de Informação
Os controles lógicos estão relacionados com a segurança de softwares, programas, aplicativos, 
bancos de dados, servidores, computadores, sistemas de informação e redes de computadores. 
Visam garantir o acesso autorizado aos recursos de tecnologia. Dentre os controles lógicos, 
complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência 
que completa corretamente as sentenças:
1) Localização Geográfica 2) Infraestrutura de Datacenter
3) Proteção e gerência dos equipamentos 4) Controles de acesso
( ) São áreas precisam ser bem-estruturadas, com estrutura elétrica e lógica e temperatura 
controlada. A utilização de ar-condicionado é primordial.
( ) Permitem o acesso à sala de equipamentos, a datacenters e concentradores de rede a pessoas 
autorizadas, seja por crachá, biometria, senhas de acesso, fechadura eletrônica, utilização de 
câmeras de segurança, sistemas de gerenciamento de imagens.
( ) As instalações dos datacenters ou do centro de informática devem levar em conta a localização. 
Locais próximos a caixas de água, banheiros e redes de esgoto devem ser passíveis de receber fácil 
monitoramento, com sistemas de combate a incêndios.
( ) São séries de procedimentos devem ser utilizados para habilitar o gerenciamento de recursos, 
principalmente equipamentos que suportam as atividades críticas, em relação à segurança física de 
equipamentos que apresentam fontes de alimentação de energia redundantes, gerência de 
temperatura e componentes de segurança que emitem alertas em caso de pane.
B 2,4,1 e 3
Questão 7/10 - Segurança em Sistemas de Informação
Os algoritmos de criptografia são indispensáveis para a segurança da informação. As chaves de 
segurança possibilitam a verificação, a checagem e a validação das informações. Tais processos 
podem ser feitos com a utilização de duas técnicas de criptografia: a simétrica e a assimétrica. Sobre
esse tema, selecione a alternativa que complete a seguinte frase de forma correta:
“A criptografia______________ se baseia na existência de uma chave pública e uma chave 
privada”. Alternativas:
B assimétrica
Questão 8/10 - Segurança em Sistemas de Informação
A política de segurança é um guia que apresenta uma série de princípios, valores, requisitos, 
diretrizes, premissas, compromissos, orientações e responsabilidades sobre o que pode ser realizado
para que seja possível alcançar um bom padrão de proteção de informações. Existem vários tipos de
políticas, porém a norma ISO/IEC 27002, ao elencar as diretrizes de uma política de segurança da 
informação, deve apresentar certas diretrizes, marque a opção que não é uma diretriz de uma 
política de segurança:
C Não apresenta nenhuma definição de responsabilidades gerais e específicas em 
relação a gestão da segurança da informação, porém faz o registro de todos os incidentes e 
problemas de segurança de TI.
Questão 9/10 - Segurança em Sistemas de Informação
Os controles físicos incluem uma série de medidas que devem ser aplicadas para respeitar a 
segurança, garantindo que um produto não seja alvo de roubo, furto, espionagem, sabotagem ou 
algum outro tipo de dano. Marque a opção que apresenta apenas ameaças físicas com intervenção 
humana:
D Sabotagens internas e externas, distúrbios e acessos não autorizados
Questão 10/10 - Segurança em Sistemas de Informação
Os controles lógicos estão relacionados com a segurança de softwares, programas, aplicativos, 
bancos de dados, servidores, computadores, sistemas de informação e redes de computadores.
Marque a opção que apresenta apenas controles lógicos de Infraestrutura de TI:
E VPN, sistemas de detecção de intrusão, antivírus e firewalls
Questão 1/10 - Segurança em Sistemas de Informação
Marque a opção abaixo que apresenta um componente tecnológico que mostra a identificação 
segura do autor de uma mensagem ou documento em redes de computadores e na Internet.
C Certificado digital
Questão 2/10 - Segurança em Sistemas de Informação
A padronização do certificado X.509 apresenta boas práticas de serviços de diretório, que nada mais
são do que um servidor, ou um grupo de servidores (sistema distribuído), que disponibilizam um 
banco de dados com todas as informações dos usuários. O X.509 foi criado e desenvolvido com 
base em criptografia de chave pública e assinaturas digitais. Qual é o algoritmo recomendado para 
utilização docertificado X.509?
B RSA
Questão 3/10 - Segurança em Sistemas de Informação
A segurança da informação se refere à proteção existente sobre as informações de uma determinada 
empresa ou pessoa; isto é, aplica-se tanto às informações corporativas como às pessoas. Aponte a 
alternativa que apresenta a tríade de segurança da informação:
D Confidencialidade, Disponibilidade e Integridade.
Questão 4/10 - Segurança em Sistemas de Informação
Segundo Stallings (2015), os algoritmos e protocolos de criptografia apresentam uma ampla gama 
de aplicações, segurança de rede e de internet. As técnicas de criptografia são aplicadas de maneira 
expressiva nesse cenário.
Os algoritmos e protocolos de criptografia podem ser agrupados em quatro áreas principais, quais 
são elas?
A Encriptação simétrica
Questão 5/10 - Segurança em Sistemas de Informação
O ISO 31000 é uma norma que recomenda que as organizações desenvolvam, implementem e 
melhorem continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos 
na governança, estratégia, planejamento e gestão, processos esses que devem reportar dados e 
resultados, políticas, valores e cultura em toda a organização. São princípios da ISO 31000:
E É sistemática, estruturada e oportuna
Questão 6/10 - Segurança em Sistemas de Informação
As redes formam a espinha dorsal da maioria, senão de todos os sistemas de informação. Proteger 
essas redes ajuda a blindar as informações. A gestão de segurança de rede ajuda a manter os maus 
elementos longe dos ativos importantes. A segurança de um sistema de redes é traçada por um 
grande conjunto de soluções, tanto de software quanto de hardware. No entanto, o que realmente 
garante a integridade na transmissão dos dados que passam pela rede são os:
E Os protocolos e algoritmos de segurança de rede
Questão 7/10 - Segurança em Sistemas de Informação
Existe uma camada na qual a segurança de redes deve atuar com muita atenção, estando integrada 
com todas as demais: a segurança dos serviços de rede. É importante estabelecer algumas definições
em relação aos diversos serviços de rede em que a organização pode operar. Sobre os serviços de 
rede é correto afirmar que:
D Aperfeiçoar os filtros de acesso e o controle de aplicações, mantendo os firewalls.
Questão 8/10 - Segurança em Sistemas de Informação
Os dados armazenados por um banco de dados devem ficar disponíveis para que sejam acessados 
por diferentes programas e usuários, incluindo os mais diferentes sistemas computacionais que 
tiverem permissão para tal acesso. Sobre a segurança de dados sigilosos, uma das técnicas 
empregadas por atacantes virtuais é a adição de código na entrada de dados em sistemas de 
informação. Essa técnica é reconhecida como:
C SQL injection
Questão 9/10 - Segurança em Sistemas de Informação
Os controles lógicos estão relacionados com a segurança de softwares, programas, aplicativos, 
bancos de dados, servidores, computadores, sistemas de informação e redes de computadores.
Marque a opção que apresenta apenas controles lógicos de Infraestrutura de TI:
E VPN, sistemas de detecção de intrusão, antivírus e firewalls
Questão 10/10 - Segurança em Sistemas de Informação
A utilização da criptografia é um importante instrumento para garantir a segurança nas redes de 
computadores. Essa técnica é usada para garantir a segurança nos meios de transmissão. Sobre 
modelos de criptografia, relacione a coluna de métodos de criptografia com a coluna de algoritmos 
de criptografia a seguir:
Coluna 1
I. Criptografia assimétrica
II. Criptografia simétrica
Coluna 2
A. RSA
B. AES
C. DES
D. RC4
Assinale a alternativa que apresenta a correlação correta entre as Colunas 1 e 2 .
A II – C, II – B, I – A, II – D