Curso Tecnólogo Segurança da Informação

Prévia do material em texto

Curso Tecnólogo Segurança da Informação – Anhembi Morumbi
Gestão de Riscos em Segurança da Informação.
Atividade 4.
Uma série de sugestões de controles de segurança da informação são listadas superficialmente na ISO 27001, em seu Anexo A, como um conjunto de boas práticas. A ISO 27002, além de algumas outras normas de segurança, aborda de uma maneira mais abrangente todos os controles sugeridos neste Anexo A. De acordo com um destes controles, a empresa deve implementar uma Política de Segurança da Informação (PSI) que deve ser constantemente analisada e revisada.
 
Nesse sentido, assinale a alternativa que indica de quanto em quanto tempo uma PSI deve ser revista pela organização, segundo a ISO 27002.
· 
Uma vez por ano.
· 
A cada 3 meses.
· 
A cada 6 meses.
· 
Uma vez a cada 2 anos.
· 
Em intervalos planejados pela própria empresa.
Resposta correta: Em intervalos planejados pela própria empresa.
Uma das maneiras de uma empresa demonstrar que se preocupa com a segurança das informações que processa é obter uma certificação. Assim como a ISO 9001 certifica uma empresa na área de gestão da qualidade, também existe um framework para a área de segurança da informação.
 
Nesse sentido, assinale a alternativa que apresenta qual é norma que certifica uma empresa nesta área.
· 
ISO 27002
· 
ISO 27005
· 
ISO 27001
· 
PDCA
· 
SGSI
Resposta correta: ISO 27001
Além de procedimentos, uma Política de Segurança da Informação (PSI) é composta por normas. Normas de segurança são leis internas que visam proteger as informações da empresa por meio de controles que garantam sua confidencialidade, integridade e disponibilidade.
Sendo assim, sobre a distribuição da PSI, é correto afirmar:
· 
a PSI deve ser divulgada para todos que lidam com informações na empresa.
· 
a PSI só deve ser divulgada entre as pessoas que lidam com ativos de tecnologia.
· 
a PSI só deve ser divulgada para funcionários e estagiários que trabalham na empresa.
· 
a PSI só deve ser divulgada entre funcionários, estagiários e terceiros da área de tecnologia.
· 
a PSI só deve ser divulgada para os funcionários da empresa.
· Resposta correta: a PSI deve ser divulgada para todos que lidam com informações na empresa.
Uma das funções de um firewall corporativo é proteger a rede local (interna) de uma empresa contra ataques vindos pela Internet. Para tanto, é necessário que o firewall seja configurado para filtrar os pacotes de rede, ou seja, permitir ou bloquear conexões externas que têm como destino algum dispositivo interno pertencente à rede local protegida, por exemplo, um computador.
 
Sendo assim, assinale a alternativa correta que indica um pré-requisito necessário para esse tipo de filtragem de pacotes
· 
Deve ser um firewall baseado em hardware.
· 
Deve ser um firewall baseado em software.
· 
Os computadores da rede devem possuir um firewall pessoal ativado.
· 
Todas as conexões de rede, internas ou externas, devem passar pelo firewall.
· 
Só funciona se o sistema de detecção de intrusão (IDS) estiver habilitado.
Resposta correta: Todas as conexões de rede, internas ou externas, devem passar pelo firewall.
Assim como os firewalls corporativos, sistemas de detecção (IDS - Instrusion Detection System) e prevenção (IPS - Intrusion Prevention System) de intrusão são dispositivos que atuam na proteção do perímetro da rede de dados de uma empresa. Contudo, diferente de um firewall, o IDS e o IPS possuem um certo nível de "inteligência", uma vez que têm a capacidade de detectar um tráfego suspeito.
 
De acordo ao funcionamento desses equipamentos,  analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. (  ) Um IPS é capaz de detectar e prevenir uma intrusão.
II. (   ) Um IPS é capaz de bloquear acessos originados por um endereço IP específico.
III. (  ) Tanto o IDS quanto o IPS podem detectar uma intrusão com base em características de tráfego de rede.
IV. (  ) Um IDS gera alarmes ao detectar um tráfego suspeito, cortando as conexões automaticamente.
 
Assinale a alternativa que apresenta a sequência correta.
Resposta correta: V, V, V, F
Todos os ativos de informação possuem vulnerabilidades, porém o ativo humano é sem dúvida o responsável pelos maiores riscos. Pessoas podem vazar senhas, compartilhar arquivos confidenciais, sofrer ataques de engenharia social, entre outras vulnerabilidades. Nesse sentido, assinale a alternativa que representa um controle voltado ao ativo humano em uma empresa.
· 
Firewall.
· 
Treinamento em Segurança da Informação.
· 
IDS ou IPS.
· 
Criptografia Simétrica.
· 
Sistema de Detecção de Incêndio.
Resposta correta: Treinamento em Segurança da Informação.
A computação em nuvem permite que recursos computacionais como servidores, aplicações e espaço de armazenamento sejam criados sob demanda, com agilidade, em um local público ou privado. Um dos modelos de computação em nuvem é o IaaS, ou Infraestrutura como Serviço.
 
Nesse sentido, assinale a alternativa que corresponde a esse modelo.
· 
O cliente mantém uma página em uma rede social.
· 
O cliente utiliza um serviço de webmail público.
· 
O cliente mantém um blog pessoal em um site público de compartilhamento de blogs.
· 
O cliente compartilha fotos em uma rede social.
· 
O cliente tem total controle sobre computadores e suas aplicações.
Resposta Correta: O cliente tem total controle sobre computadores e suas aplicações.
Há três possíveis métodos de autenticação: o que o usuário sabe,  o que o usuário tem e o que o usuário é. Dentre estes métodos, alguns utilizam tecnologias que são mais frágeis e, portanto, mais vulneráveis a ataques, como a autenticação de uma pessoa ou sistema  por meio de usuário e senha.
 
Em relação ao tema, analise as afirmativas a seguir.
 
I. Um token é um exemplo de tecnologia utilizada no método "o que o usuário sabe".
II. A identificação biométrica está relacionada ao método "o que o usuário é".
III. O uso de credenciais, como usuário e senha, é uma tecnologia de autenticação mais cara que o uso de identificação por leitura de íris.
IV.  Um cartão magnético é uma tecnologia utilizada no método "o que o usuário tem".
 
Está correto o que se afirma em:
· 
II e III, apenas.
· 
III e IV, apenas.
· 
I, II, III e IV.
· 
II e IV, apenas.
· 
I e II, apenas.
Resposta correta: ll e lV, apenas.
A criptografia assimétrica, ou criptografia de chave pública, tem um baixo desempenho quando comparada à criptografia simétrica. Contudo, além de garantir a confidencialidade das mensagens trocada entre origem e destino, também é possível ao emissor assinar digitalmente uma mensagem.
 
Assinale a alternativa correta sobre o processo de assinatura digital por meio da criptografia assimétrica.
· O emissor cifra a mensagem com sua chave privada. O receptor decifra a mensagem com sua própria chave pública.
· 
O emissor cifra a mensagem com sua chave privada. O receptor decifra a mensagem com a chave pública do emissor.
· 
O emissor cifra a mensagem com sua própria chave privada. O receptor decifra a mensagem com sua própria chave pública.
· 
O emissor cifra a mensagem com sua chave pública. O receptor decifra a mensagem com a chave privada do emissor.
· 
O emissor cifra a mensagem com a chave pública do receptor. O receptor decifra a mensagem com sua própria chave privada.
Resposta Correta: O emissor cifra a mensagem com sua chave privada. O receptor decifra a mensagem com a chave pública do emissor.
	 
	Utilizada principalmente para garantir a confidencialidade de uma mensagem trocada entre um emissor e um receptor, a criptografia utiliza codificação para proteger o conteúdo da informação. Seja por meio de um par de chaves ou de chave única, a criptografia envolve o processo de cifragem no emissor e, no receptor, o processo de decifragem.
 
Em relação à criptografia de chave única, assinale a alternativa que corresponde a sua principal fragilidade.
	
		Resposta Selecionada:
	 
A troca de chaves entre emissor e receptor.
	Resposta Correta:
	 
A troca de chaves entre emissor e receptor.