Prática 1 - Segurança em Sistemas de Informação

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação 
A criptografia assimétrica foi criada em meados de 1970. Clifford Cocks, matemático do 
serviço secreto inglês, criou um mecanismo de comunicação usando duas diferentes 
chaves, uma privada e uma pública, para cifrar os dados. A tarefa de criar uma nova 
técnica de criptografia desafiou muitos criptologistas a encontrarem algoritmos que 
atendessem aos requisitos da criptografia assimétrica. Assinale a alternativa correta que 
apresenta apenas algoritmos de criptografia assimétrica: 
Nota: 10.0 
 A 
RSA (Rivest Shamir Adleman), ElGamal, Diffie-Hellman e Curvas Elípticas 
(ECC) 
Você assinalou essa alternativa (A) 
Você acertou! 
Comentário: A principal vantagem desse método é a segurança, pois ele dispensa 
a necessidade de compartilhar chaves. Dentre os algoritmos de criptografia 
assimétrica, podemos destacar: RSA (Rivest Shamir Adleman), ElGamal, Curvas 
Elípticas (ECC) e Diffie-Hellman. Resposta letra A. 
Aula: 2 
Tema: 4 
 B 
AES (Advanced Encryption Standard), DES (Data Encryption Standard) e RC 
(Cifra Rivest) 
 C CAST (Carlisle Adams and Stafford Tavares), Blowfish e Twofish 
 D Diffie-Hellman, RC (Cifra Rivest) e Curvas Elípticas (ECC) 
 E 
AES (Advanced Encryption Standard), DES (Data Encryption Standard) e 
ElGamal 
 
Questão 2/10 - Segurança em Sistemas de Informação 
Implantar uma boa gestão e uma boa política de senhas implica gerar várias camadas de 
proteção para dados, evitando problemas como ataques de ransomware, que podem gerar 
danos e prejuízos. Criar controles de acesso permite aos administradores de rede 
estabelecer um monitoramento de quando e onde são feitos esses acessos. Assinale a 
alternativa que apresenta recomendações para a gestão e a política de senhas: 
Nota: 10.0 
 A Estabelecimento de senhas fracas, para evitar o esquecimento 
 B Elaborar senhas curtas para melhorar a performance da autenticação 
 C Utilizar uma única senha para todos os sistemas, facilitando a integração 
 D Trocar as senhas periodicamente 
Você assinalou essa alternativa (D) 
Você acertou! 
Comentário: Recomendações para a gestão e a política de senhas: estabelecer 
senhas fortes, elaborar senhas longas e com complexidade, utilizar senhas únicas 
para cada conta de acesso, trocar as senhas periodicamente, implementar sistemas 
de bloqueio de contas e conscientizar os usuários. 
 
Aula: 3 
Tema: 1 
 E Evitar qualquer tipo de aplicação que faça bloqueio de contas 
 
Questão 3/10 - Segurança em Sistemas de Informação 
A norma ISO/IEC 15408 é uma modelagem bem flexível com um grupo de métodos para 
a análise e avaliação de aspectos relacionados a segurança de produtos e sistemas de 
Tecnologia da Informação, tais como: hardware, software e firmware. Abaixo temos seu 
modelo geral: 
 
Fonte: ISO/IEC 15408 
Os componentes de segurança são toda a base dos requisitos funcionais de segurança 
apresentados no perfil de proteção do ativo de segurança. Os requisitos funcionais de 
segurança são apresentados em classes, grupos e componentes. Marque a opção que 
apresenta de forma correta as classes expressas dessa norma: 
Nota: 10.0 
 A Sistemas antispam, firewall, proxy e filtro de conteúdo. 
 B 
Auditoria de segurança, proteção de dados de usuário, privacidade, identificação 
e autenticação. 
Você assinalou essa alternativa (B) 
Você acertou! 
Comentário: As classes expressas dessa ISO são: Auditoria de segurança, 
Proteção das funcionalidades de segurança, Utilização dos recursos, Acesso aos 
alvos de avaliação, Canais e caminhos confiáveis, Proteção de dados de usuário, 
Identificação e autenticação, Gerenciamento de segurança, Privacidade, 
Comunicação e Suporte à criptografia. 
 
Aula 1 - Tema 3 
 C 
Segurança e controles físicos, segurança e controles lógicos e gerenciamento de 
segurança. 
 D 
Gestão de ativos, política de segurança da informação, gestão de incidentes e 
conformidade. 
 E Gestão de incidentes, conformidade, gestão de ativos e controles físicos. 
 
Questão 4/10 - Segurança em Sistemas de Informação 
O framework de segurança da informação NIST (National Institute of Standards and 
Tecnology) e o CSF (Cybersecurity Framework) são americanos, com versões publicadas 
pelo Instituto Nacional de Padrões e Tecnologia dos Estados Unidos. Foi criado para 
oferecer às organizações um guia de atividades necessárias para atingir diferentes padrões 
de segurança cibernética. Sobre o NIST assinale a alternativa correta: 
Nota: 10.0 
 A 
O NIST é formado por três partes: núcleo da estrutura, camada de enlace e camada 
de transporte. 
 B 
Seu enfoque recai sobre pequenas empresas, por conta da complexidade de sua 
concepção ser menor. 
 C 
O NIST estabelece três funções de alto nível: identificação, controle e 
recuperação. 
 D 
O intuito principal do NIST é criar um aprimoramento das capacidades de 
prevenção, detecção e resposta a diversos tipos de ataques cibernéticos. 
Você assinalou essa alternativa (D) 
Você acertou! 
Comentário: O NIST é formado por três partes: núcleo da estrutura, perfil da 
estrutura e camadas de implantação da estrutura. O NIST é muito utilizado por 
médias e e grandes empresas. Possui cinco funções de alto nível: identificar, 
detectar, proteger, responder e recuperar. O NIST de aplica em riscos de modo 
geral. Resposta certa, letra D. 
Aula: 2 
Tema: 1 
 E 
As funções do NIST se aplicam apenas ao gerenciamento de riscos cibernéticos, 
mas não a riscos em geral. 
 
Questão 5/10 - Segurança em Sistemas de Informação 
Um framework de gestão e apoio à segurança da informação nada mais é do que uma 
série de procedimentos e guias utilizados para a definição de políticas e processos 
relacionados ao implemento e ao gerenciamento, de forma contínua, de controles de 
segurança da informação em um ambiente organizacional. Sua implementação apresenta 
algumas vantagens, assinale a opção que mostra os benefícios da implementação de 
frameworks de gestão de apoio à segurança: 
Nota: 10.0 
 A Linguagem específica na troca de dados e informações entre equipes técnicas. 
 B 
Redução de riscos de segurança e falta de conformidade com legislações e 
processos de auditoria. 
 C 
Com os frameworks estabelecer comparações com outras organizações acaba 
sendo um processo mais difícil, porque os frameworks são muito diferentes uns 
dos outros. 
 D 
Os frameworks aumentam os cursos, porém conseguem controlar melhor as 
vulnerabilidades de TI, criar mecanismos de redundância e contingência. 
 E 
Recrutar novos funcionários que tenham conhecimento sobre determinado 
framework pode ser um pré-requisito, pois ajuda a diminuir custos com 
treinamento. 
Você assinalou essa alternativa (E) 
Você acertou! 
Comentário: os frameworks colaboram com a diminuição de custos, a contratação 
de colaboradores, na clareza para comparações, melhoria da segurança, 
conformidade e apresenta uma linguagem com a equipe técnicas. Resposta certa 
letra E. 
 
Aula 2 - Tema 1 
 
Questão 6/10 - Segurança em Sistemas de Informação 
Um banco de dados é um conjunto de informações relacionadas entre si, armazenadas de 
maneira estruturada, de preferência com o mínimo de redundância. Os dados 
armazenados por um banco de dados devem ficar disponíveis para que sejam acessados 
por diferentes programas e usuários, incluindo os mais diferentes sistemas 
computacionais que tiverem permissão para tal acesso. Quanto às estratégias de segurança 
em um Banco de Dados, analise as afirmativas e selecione a única alternativa que esteja 
tecnicamente correta: 
Nota: 10.0 
 A 
Não implementar criptografia, não utilizar a cifragem de dados é uma 
recomendação em bases de dados e no seu transporte, isso melhora o desempenho 
do banco de dados. 
 B 
Gerenciar os eventos e monitorar todos as atividades dentro da base de dados faz 
parte de uma boa auditoria. Ações suspeitas, tentativas de ataque e acessos não 
autorizados estão vinculadosgeralmente ao acesso e à ação de algum usuário no 
banco de dados. 
Você assinalou essa alternativa (B) 
Você acertou! 
Comentário: O banco de dados deve ter, pelo menos, um superusuário, é uma 
técnica de segurança limitar a poucos colaboradores o acesso privilegiado a 
dados. É importante implementar a criptografia em bases de dados. As cópias de 
segurança são fundamentais como medida de segurança. A documentação e a 
utilização de ferramentas avançadas de auditoria são amplamente empregadas nas 
atividades de monitoramento e alertas. Reposta certa letra B. 
Aula: 3 
Tema: 5 
 C 
Remover as permissões de administrador e superusuário dos DBAs (Database 
Administrators). 
 D 
Realização de cópias de segurança (backup) não é uma medida primordial para a 
segurança dos bancos de dados. Pois a recuperação dos dados e a sua restauração, 
em caso de falhas, pode ser feita através do cache das bases de dados. 
 E 
A documentação e a utilização de ferramentas avançadas de auditoria não são 
empregadas na criação e a elaboração de alertas de atividades. 
 
Questão 7/10 - Segurança em Sistemas de Informação 
Quando analisamos que a utilização de papéis, assinaturas estão e carimbos estão cada 
vez mais, sendo trocados por documentos eletrônicos, precisamos entender que, para que 
os documentos digitais tenham valor legal e jurídico, é necessário garantir a sua autoria 
por meio do emprego de quais instrumentos técnicos? Assinale a alternativa correta: 
Nota: 10.0 
 A Sistemas antivírus 
 B Sistemas de detecção de intrusos 
 C Firewalls 
 D 
Certificados e assinaturas digitais 
Você assinalou essa alternativa (D) 
Você acertou! 
Comentário: Os certificados e assinaturas digitais garantem a autenticidade de 
documentos. 
Aula: 2 
Tema: 5 
 E Autenticação duplo fator 
 
Questão 8/10 - Segurança em Sistemas de Informação 
Segundo Stallings (2015), os algoritmos e protocolos de criptografia apresentam uma 
ampla gama de aplicações, segurança de rede e de internet. As técnicas de criptografia 
são aplicadas de maneira expressiva nesse cenário. 
Os algoritmos e protocolos de criptografia podem ser agrupados em quatro áreas 
principais, quais são elas? 
Nota: 10.0 
 A 
Encriptação simétrica 
Encriptação assimétrica 
Algoritmos de integridade de dados 
Protocolos de autenticação 
Você assinalou essa alternativa (A) 
Você acertou! 
Parabéns questão correta! 
 
AULA 2 
 
2.1 ALGORITMOS E PROTOCOLOS DE CRIPTOGRAFIA 
 B 
Roma 
Polialfabética 
César 
Scytale 
Encriptação simétrica 
Encriptação assimétrica 
Algoritmos de integridade de dados 
Protocolos de autenticação 
 
AULA 2 
2.1 ALGORITMOS E PROTOCOLOS DE CRIPTOGRAFIA 
 C 
Roma 
Polialfabética 
Encriptação simétrica 
Encriptação assimétrica 
 
Encriptação simétrica 
Encriptação assimétrica 
Algoritmos de integridade de dados 
Protocolos de autenticação 
 
AULA 2 
2.1 ALGORITMOS E PROTOCOLOS DE CRIPTOGRAFIA 
 D 
Polialfabética 
Encriptação simétrica 
Scytale 
Booble Sort 
Encriptação simétrica 
Encriptação assimétrica 
Algoritmos de integridade de dados 
Protocolos de autenticação 
 
AULA 2 
2.1 ALGORITMOS E PROTOCOLOS DE CRIPTOGRAFIA 
 
Questão 9/10 - Segurança em Sistemas de Informação 
A padronização do certificado X.509 apresenta boas práticas de serviços de diretório, que 
nada mais são do que um servidor, ou um grupo de servidores (sistema distribuído), que 
disponibilizam um banco de dados com todas as informações dos usuários. O X.509 foi 
criado e desenvolvido com base em criptografia de chave pública e assinaturas digitais. 
Qual é o algoritmo recomendado para utilização do certificado X.509? 
Nota: 10.0 
 A Elgamal 
 B 
DSA - (Digital Signature Algorithm) 
Você assinalou essa alternativa (B) 
Você acertou! 
Comentário: O padrão recomendado é o algoritmo RSA. 
Aula: 2 
Tema: 5 
 C Diffie-Hellman 
 D Curvas Elípticas (ECC) 
 E DES (Data Encryption Standard) 
 
Questão 10/10 - Segurança em Sistemas de Informação 
Os dados armazenados por um banco de dados devem ficar disponíveis para que sejam 
acessados por diferentes programas e usuários, incluindo os mais diferentes sistemas 
computacionais que tiverem permissão para tal acesso. Sobre a segurança de dados 
sigilosos, uma das técnicas empregadas por atacantes virtuais é a adição de código na 
entrada de dados em sistemas de informação. Essa técnica é reconhecida como: 
Nota: 10.0 
 A Man-in-the-middle 
 B Cavalo de Troia 
 C 
SQL injection 
Você assinalou essa alternativa (C) 
Você acertou! 
Comentário: SQL injection é um tipo de ameaça de segurança que se aproveita de 
falhas em sistemas que interagem com bases de dados através de comandos SQL, 
em que o atacante consegue inserir uma instrução SQL personalizada e indevida 
dentro de uma consulta (SQL query) através da entrada de dados de uma 
aplicação, como formulários ou URL de uma aplicação. 
Aula: 3