INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Teste deTeste de
ConhecimentoConhecimento
 avalie sua aprendizagemavalie sua aprendizagem
Na questão que avalia conhecimento de informática, a  menos  que  seja  explicitamente  informado  o 
contrário,  considere que: todos os programas  mencionados estejam em  configuração-padrão,  em 
português;  o  mouse  esteja  configurado  para  pessoas  destras;  expressões  como  clicar,  clique 
simples  e  clique  duplo  refiram-se  a  cliques  com  o  botão esquerdo do mouse; e teclar  corresponda  à
operação  de  pressionar  uma  tecla  e,  rapidamente,  liberá-la,   acionando-a  apenas  uma  vez. 
Considere  também  que  não haja restrições  de proteção, de funcionamento e de uso em relação aos
programas, arquivos,  diretórios, recursos e equipamentos mencionados.
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado
pelas organizações.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃOINTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
 
ROSANA SILVA SANTOSROSANA SILVA SANTOS 202301218446202301218446
INTRODUÇÃO À SEGURINTRODUÇÃO À SEGUR  2023.1 EAD (GT)2023.1 EAD (GT) / EX EX
Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTOTESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não
valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma.
Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
PRINCÍPIOS DA SEGURANÇA E O CICLO DE VIDA DA INFORMAÇÃOPRINCÍPIOS DA SEGURANÇA E O CICLO DE VIDA DA INFORMAÇÃO
 
1.1.
descartar o inventário dos ativos, caso a organização possua
realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos
requisitos de segurança da informação
conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização
não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas
outras atribuições
direcionar os funcionários apenas para o exercício de suas funções diárias; pois treinamentos em
segurança da informação ou outros eventos relacionados devem ser evitados
Data Resp.: 17/04/2023 12:05:56
17/04/2023 12:13
Página 1 de 6
Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:
 
I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da
informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários
remanescentes.
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser
retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo
projeto.
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser
controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por
exemplo, cartão de controle de acesso mais PIN (personal identification number).
 
Está correto o que se afirma em
Assinale a assertiva que NÃONÃO representa um dos benefícios para a adoção da norma ABNT NBR
ISO/IEC 27001:2013 por uma organização:
Explicação:
A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de contemplar as
mudanças nos requisitos de segurança da informação.
 
2.2.
III, apenas.
II e III, apenas.
I, II e III.
I e II, apenas.
I e III, apenas.
Data Resp.: 17/04/2023 12:07:40
Explicação:
Do ponto de vista de gerenciamento, não faz sentido excluir todos os usuários (o grupo) apenas para
revogar o acesso de um único usuário que não tenha mais permissão.
NORMAS DE SEGURANÇA DA INFORMAÇÃONORMAS DE SEGURANÇA DA INFORMAÇÃO
 
3.3.
Mecanismo para minimizar o fracasso do sistema
Participação da gerência na Segurança da Informação
17/04/2023 12:13
Página 2 de 6
Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a gestão da
segurança da informação?
Considere que uma equipe esteja trabalhando num software web com severas restrições
de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais
especialistas em segurança que têm, entre outras atribuições, a responsabilidade de
realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de
desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua
responsabilidade:
Isola recursos com outros sistemas de gerenciamento
Oportunidade de identificar e eliminar fraquezas
Fornece segurança a todas as partes interessadas
Data Resp.: 17/04/2023 12:08:45
Explicação:
A resposta correta é: Isola recursos com outros sistemas de gerenciamento.
 
4.4.
ABNT NBR ISO/IEC 20000-1:2011
ABNT NBR ISO 14001:2004
ABNT NBR ISO/IEC 27001:2013
ABNT NBR ISO/IEC 27002:2013
ABNT NBR ISO 9001:2008
Data Resp.: 17/04/2023 12:09:28
Explicação:
A resposta correta é: ABNT NBR ISO/IEC 27002:2013
AMEAÇAS E VULNERABILIDADES À SEGURANÇA DE INFORMAÇÃOAMEAÇAS E VULNERABILIDADES À SEGURANÇA DE INFORMAÇÃO
 
5.5.
Isolar o problema e solicitar que a equipe de desenvolvimento corrija a
vulnerabilidade imediatamente.
Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja
resolvido.
Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.
Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o
trecho de código vulnerável.
17/04/2023 12:13
Página 3 de 6
É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de
ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para que seja
enviada a solução de descriptografia dos dados da vítima. O scareware é seu tipo mais
comum e usa táticas ameaçadoras ou intimidadoras para induzir as vítimas a pagar.
O texto se refere ao:
"Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio,
quando aplicado sistematicamente, é o principal fundamento do sistema de proteção".
Selecione a opção que se refere a esse mecanismo de proteção:
Separar a vulnerabilidade, tratando o código com erro como mais um problema que
requer correção.
Data Resp.: 17/04/2023 12:09:53
Explicação:
A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança para
que o problema seja resolvido.
 
6.6.
Spam
DDoS
Botnet
Ransomware
Spyware
Data Resp.: 17/04/2023 12:10:12
Explicação:
A resposta correta é: Ransomware
BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃOBOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO
 
7.7.
Privilégio mínimo.
Padrões à prova de falhas.
Separação de privilégios.
Mediação completa.
Compartilhamento mínimo.
Data Resp.: 17/04/2023 12:10:35
17/04/2023 12:13
Página 4 de 6
Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para
garantir a integridade dos dados, porque ..."
Um membro da comissão de segurança precisa saber informações sobre cada um dos
processos da GR. Ele consultará uma dentre as normas da família ISO/IEC 27000, que
definem uma série de normas relacionadas à segurança da informação. Ele precisa obter
a norma:
Explicação:
A resposta correta é: Mediação completa.
 
8.8.
Utilizam algoritmos de criptografia de chave pública.
Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor
calcule um valor de hash diferente daquele colocado na transmissão pelo remetente.
Usam chave única para criptografar e descriptografar a mensagem.
Geralmente podem ser calculadas muito mais rápido que os valores de criptografia
de chave pública.
Fazem a troca de chaves na chave simétrica.
Data Resp.: 17/04/2023 12:10:56
Explicação:
A resposta correta é: Qualquer alteração feita no conteúdo de uma mensagem fará
com que o receptor calcule um valor de hash diferente daquele colocado na
transmissão pelo remetente.
GESTÃO DE RISCOGESTÃO DE RISCO
 
9.9.
ISO/IEC 31000
ISO/IEC 27001
ISO/IEC 27000
ISO/IEC 27002
ISO/IEC 27005
Data Resp.: 17/04/2023 12:11:21Explicação:
A resposta correta é: ISO/IEC 27005
17/04/2023 12:13
Página 5 de 6
O PDCA é um instrumento muito importante para desenvolver um plano de
continuidade de negócios (PCN). Selecione a opção que é responsável por realizar a
melhoria contínua do plano de continuidade de negócios:
GESTÃO DE CONTINUIDADE DO NEGÓCIOGESTÃO DE CONTINUIDADE DO NEGÓCIO
 
10.10.
C - Checar.
A - Agir.
O PDCA não é adequado para o PCN.
D - Executar.
P - Planejar.
Data Resp.: 17/04/2023 12:11:56
Explicação:
A resposta correta é: A - Agir.
    Não Respondida      Não Gravada     Gravada
Exercício inciado em 17/04/2023 12:05:11. 
17/04/2023 12:13
Página 6 de 6