Segurança em Sistemas de Informação 9

Prévia do material em texto

Questão 1/12 - Segurança em Sistemas de Informação
Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer a devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha (PASSWORD), porém para muitas operações críticas e o uso de informações sensíveis estes controles não são suficientes.
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta.
Nota: 10.0
	
	A
	Controles biométricos, certificados digitais e assinaturas eletrônicas são geralmente utilizados em conjunto com a identificação (ID) e senha (PASSWORD).
Você assinalou essa alternativa (A)
Você acertou!
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, página 3 da Rota de Aprendizagem (versão impressa).
	
	B
	Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos agentes, devido à velocidade das aplicações.
	
	C
	A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e funcionalidades são atributos exclusivos dos sistemas operacionais, e isso dificulta a utilização de controles de acesso.
	
	D
	O desempenho dos controles de acesso é um aspecto bastante crítico, exigindo que as aplicações e os computadores sejam cada vez mais velozes e estejam cada vez menos conectados, restringindo, assim, o raio de ação desses controles.
	
	E
	O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações críticas, por isso são os controles mais utilizados na maioria das aplicações sensíveis, como o home banking, por exemplo.
Questão 2/12 - Segurança em Sistemas de Informação
O Mitre (Massachusetts Institute of Technology Research & Engineering) é uma grande instituição americana financiada pelo governo, sem fins lucrativos. Dentro do instituto Mitre, foi adicionado o ATT&CK (Adversarial Tatics, Techniques & Common Knowledge), em 2013. Trata-se de um braço responsável por enumerar, descrever e categorizar comportamentos de adversários com base em cenários globais reais de segurança cibernética. Esse framework oferece uma série de valores, complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
 
1) Mapeamento de controles defensivos                                  2) Caçada a ameaças
3) Investigação e detecção                                                          4) Integração de ferramentas
 
(  ) mapear todas as possíveis defesas ajuda o framework ATT&CK a entregar um grande apanhado de aspetos defensivos, fornecendo aos caçadores de ameaças ótimos pontos para encontrar atividades dos atacantes até então não detectadas.
 
(   ) é desejável criar processos que integrem as diversas ferramentas e serviços de segurança da informação. A busca por padrões de táticas e técnicas encontrados nesse framework ajuda a melhorar o entendimento das ferramentas, o que leva a uma maior coesão de defesa entre elas.
 
(   ) as equipes que registram incidentes e o grupo de profissionais que atuam na resposta podem usar o ATT&CK para referenciar técnicas e táticas que tenham sido detectadas.
 
(   ) aperfeiçoar os controles defensivos a partir da compreensão de como e quando visualizamos as táticas e técnicas de ataque mapeadas pelo ATT&CK.
Nota: 10.0
	
	A
	2,4,1 e 3
	
	B
	4,2,3 e 1
	
	C
	2,4,3 e 1
Você assinalou essa alternativa (C)
Você acertou!
Comentário: Os valores oferecidos pelo ATT&CK são: Mapeamento de controles defensivos, Caçada a ameaças, Investigação e detecção, Referências de equipe envolvida, Integração de ferramentas, Colaboração e Equipes de testes e invasão.
Aula: 2
Tema: 1
	
	D
	3,1,4 e 2
	
	E
	1,2,4 e 3
Questão 3/12 - Segurança em Sistemas de Informação
O termo que traduzido é "traga o seu próprio dispositivo”, refere-se à propriedade de ativos, em que as organizações deixam em aberto a seus colaboradores utilizar seus próprios dispositivos para trabalhar na organização. O termo que estamos falando é:
Nota: 10.0
	
	A
	VPN
	
	B
	Sandbox
	
	C
	BYOD
Você assinalou essa alternativa (C)
Você acertou!
Comentário: O BYOD está vinculado à mobilidade corporativa, um tipo de fenômeno global que deve envolver vários aspectos como: serviços, políticas de segurança, usabilidade e tecnologias e deve propiciar que os funcionários de uma organização desempenhem e executem suas atividades profissionais fazendo o uso de seus próprios meios eletrônicos, como notebooks, smartphones, tablets, entre outros.
Aula: 5
Tema: 1
	
	D
	Consumerização
	
	E
	Internet das Coisas
Questão 4/12 - Segurança em Sistemas de Informação
A família ISO/IEC 27000 apresenta uma séria de normas relacionadas à segurança de ativos de informações das empresas, com a utilização dessas normas as organizações tornam todo seu ambiente computacional mais seguro, a proteção a dados financeiros, propriedades intelectuais, informações empresariais, segredos de negócios, entre outros. Em relação as normas da família ISO/IEC 27000, complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
 
1) ISO/IEC 27001    2) ISO/IEC 27002    3) ISO/IEC 27005    4) ISO/IEC 27011    5) ISO/IEC 27017
 
(    )  essa norma apresenta alguns controles específicos para computação em nuvem (cloud computing).
(       ) norma que trata de forma detalhada a gestão de riscos.
(    ) essa norma apresenta um guia de gestão da segurança para as empresas da área de telecomunicações.
(     ) é a norma principal de segurança de informação, as organizações devem alinhar como base para obtenção de certificações empresariais em gestão da segurança da informação.
(      ) apresenta uma série de códigos de práticas com um grupo completo de controles que servem como base para a aplicação do Sistema de Gestão da Segurança da Informação.
Nota: 10.0
	
	A
	3,5,4,2 e 1
	
	B
	4,3,2,1 e 5
	
	C
	5,3,4,1 e 2
Você assinalou essa alternativa (C)
Você acertou!
Comentário: Segurança na nuvem (ISO 27017), gestão de riscos (ISO 27005), segurança em telecomunicações (ISO 27011), norma principal de SI (ISO 27001) e (ISO 27002) .
 Aula 1 - Tema 3
	
	D
	5,3,2,4 e 1
	
	E
	5,4,2,1 e 3
Questão 5/12 - Segurança em Sistemas de Informação
A informação é um grande ativo que, como qualquer outro componente valioso e importante de uma empresa, é essencial para os negócios de uma organização, diante mão requer e necessita de proteção adequada. A informação pode existir de diversas formas, seja qual for a sua apresentação ou meio ao qual está vinculada, é altamente recomendado que esteja sempre segura e protegida. Todas as informações de uma empresa têm um ciclo de vida. Dessa forma em alguns momentos em que a informação é colocada em risco, temos que observar e ter atenção ao tempo de vida que essa informação necessita ter, em relação as fases do ciclo de vida das informações, marque a opção que não representa uma etapa do ciclo de vida da informação:
Nota: 10.0
	
	A
	Coleta e Produção - quando a informação é criada, coletada, gerada ou alterada.
Você assinalou essa alternativa (C)
Você acertou!
Aula 1
Tema 1
Comentário: O ciclo de vida da informação é constituído pelo manuseio, armazenamento, transporte e descarte da informação.
	
	B
	Armazenamento - quando a informação é consolidada, gravada ou retida.
	
	C
	Transporte – quando a informação é transferida, comunicada, transportada.
	
	D
	Descarte - quando a informação perde seu valor e é inutilizada ou descartada.
	
	E
	Criação – quando a informação é originada, capturada e modificada.
Questão 6/12 - Segurança em Sistemas de Informação
Os sistemas de informação, são eles os responsáveis pela transferência e o processamento de dados e informações, são sistemas formados por meio da interação entre usuários, processos, tecnologia e dados. Assinale a alternativa correta sobre alguns conceitos de Tecnologia da Informação:
Nota: 10.0
	
	AOs sistemas de informação se trata apenas de tecnologia e comunicação que as entidades utilizam.
	
	B
	Os sistemas de Informação não utilizam a Internet para transmitir seus dados, mas apenas redes locais nas grandes empresas.
	
	C
	Os sistemas de informação utilizam em sua infraestrutura apenas componentes de software e de redes de telecomunicações.
	
	D
	Os sistemas de informação podem ser bases de dados, arquivos gravados em um disco, documentos físicos armazenados em armários, equipamentos de comunicação, impressoras, computadores portáteis, servidores, redes, equipamentos de comunicação, telefones, entre outros.
Você assinalou essa alternativa (D)
Você acertou!
Comentário: Os sistemas de informação envolvem vários atores, podem utilizar Internet na transmissão de dados, tem eu seus componentes o hardware e estão sempre vinculados a regras e processos corporativos, resposta certa letra D.
Aula 1
Tema 1
	
	E
	Sistemas de Informação não tem relação com regras, processos, usuários, equipe técnica, são criados exclusivamente para atender demandas de informações operacionais e gerenciais.
Questão 7/12 - Segurança em Sistemas de Informação
A política de segurança é um guia que apresenta uma série de princípios, valores, requisitos, diretrizes, premissas, compromissos, orientações e responsabilidades sobre o que pode ser realizado para que seja possível alcançar um bom padrão de proteção de informações. Existem vários tipos de políticas, porém a norma ISO/IEC 27002, ao elencar as diretrizes de uma política de segurança da informação, deve apresentar certas diretrizes, marque a opção que não é uma diretriz de uma política de segurança:
Nota: 10.0
	
	A
	É guia que explane todas as políticas, normas, princípios e requisitos de apoiem a conformidade da segurança de tecnologia, com todas as especificações da organização.
	
	B
	A definição de segurança da informação, com suas metas globais, importância, escopo e premissas da segurança da informação, como um instrumento que habilita o compartilhamento de informação.
	
	C
	Não apresenta nenhuma definição de responsabilidades gerais e específicas em relação a gestão da segurança da informação, porém faz o registro de todos os incidentes e problemas de segurança de TI.
Você assinalou essa alternativa (C)
Você acertou!
Comentário: uma das diretrizes da política de segurança é elencar responsabilidades gerais e específicas de gestão de segurança da informação.
Aula: 3
Tema: 1
	
	D
	Resolução e declaração da direção sobre o comprometimento, apoiando as metas e princípios da segurança da informação, ajustados com métricas e objetivos da estratégia de negócio.
	
	E
	O estabelecimento e a estruturação de todos os componentes de controle, elencando corretamente todos os controles e estabelecendo um gerenciamento de riscos, bem como uma avaliação minuciosa de todos eles.
Questão 8/12 - Segurança em Sistemas de Informação
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou apresentarem comportamento incompatível.
Analise as afirmativas a seguir, relativas a este aspecto da informação:
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou apresentar falhas, gerando incidentes de segurança da informação.
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo seu uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não foi comprovada, seja por haver interesses escusos devido ao alto valor.
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação.
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em recursos financeiros para a proteção dos ativos e redução das ameaças.
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são elaboradas à partir de uma matriz PxI – Probabilidade x Impacto.
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula:
Nota: 10.0
	
	A
	Somente as afirmações I e III são corretas.
	
	B
	Somente as afirmações II e IV são corretas.
	
	C
	Somente as afirmações III e IV são corretas.
	
	D
	Somente as afirmações IV e V são incorretas.
Você assinalou essa alternativa (D)
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 9 a 13 da Rota de Aprendizagem (versão impressa).
	
	E
	Todas as afirmações são corretas.
Questão 9/12 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por anos a fio no decorrer da história da humanidade.
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa:
(  ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar
 (  ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de aplicação do princípio do menor privilégio.
(  )  Os princípios da diversidade da defesa e da defesa em profundidade são convergentes,  embora possam ser aplicados em diferentes níveis ou estágios da proteção.
(  ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula:
Nota: 10.0
	
	A
	V-F-F-F
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
Você assinalou essa alternativa (A)
Você acertou!
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa).
	
	E
	V-V-V-F
Questão 10/12 - Segurança em Sistemas de Informação
Os controles CIS (Center for Internet Security) são basicamente conjuntos desenvolvidos de práticas recomendadas em segurança cibernética. São ações defensivas que visam minimizar e evitar ataques cibernéticos. Sobre os controles CIS, complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
	1) Defesas contra malware 
	2) Monitoramento e defesa de rede
	3) Teste de penetração
	4) Proteção de dados
                                                                                   
 (  ) Operar processos e ferramentas para estabelecer e manter um monitoramento de rede abrangente, com defesa contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa.
(   ) Impedir ou controlar a instalação, disseminação e execução de aplicativos, códigos ou scripts maliciosos em ativos corporativos.
(   ) Testar a eficácia e a resiliência dos ativos corporativos, por meio da identificação e da exploração de fraquezas nos controles (pessoas, processos e tecnologia) e da simulação dos objetivos e ações de um invasor.
(  ) Desenvolver processos e controles técnicos para identificar, classificar, manusear, reter e descartar dados com segurança.
Nota: 10.0
	
	A
	2, 1, 3 e 4
Você assinalou essa alternativa (A)
Você acertou!
Comentário: Monitoramento e defesade rede, defesas contra malware, teste de penetração e proteção de dados é a sequência correta, resposta letra A.
Aula 2 - Tema 1
	
	B
	2, 1, 4 e 3
	
	C
	1, 2, 4 e 3
	
	D
	2,4,3 e 1
	
	E
	2,3,1 e 4
Questão 11/12 - Segurança em Sistemas de Informação (questão opcional)
O framework AAA (Authentication, Authorization e Accounting) apresenta algumas maneiras de autenticação a dispositivos e sistemas, realizando o controle em relação aos níveis de acesso dos usuários, aos recursos que estão disponíveis, às atribuições, ao que pode ser acessado e executado, além do controle de todas as ações realizadas pelo usuário para contabilização e atividades de auditoria. O protocolo de autenticação, autorização e auditoria Radius (Remote Authentication Dial In User Service) realiza todos os processos de identificação digital do usuário, autorizando os acessos que esse usuário pode ter e fazendo os registros desses acessos. Sobre o protocolo Radius, assinale a alternativa correta:
Nota: 10.0
	
	A
	Servidores Radius não são empregados por provedores de acesso à internet para gerenciar seus usuários, pois é um protocolo inseguro.
	
	B
	Tem pouca utilização principalmente pela falta de suporte dos principais fabricantes de switches gerenciáveis.
	
	C
	Segue a arquitetura cliente-servidor. Suporta métodos de autenticação como o PPP, PAP, CHAP ou UNIX login, e alguns outros mecanismos de autenticação.
Você assinalou essa alternativa (C)
Você acertou!
Comentário: O protocolo Radius é empregado por provedores, é suportado pelos principais fabricantes de switches, consegue dar suporte a uma série de métodos de autenticação.
Aula: 4
Tema: 4
	
	D
	Um servidor com o protocolo Radius não consegue dar suporte a uma série de métodos e técnicas de autenticação.
	
	E
	O protocolo de autenticação Radius usa as portas de comunicação TCP 1646 ou UDP 1813.
Questão 12/12 - Segurança em Sistemas de Informação (questão opcional)
Atualmente, a área de segurança de informação de uma organização precisa ser bem desenvolvida. É desejável que as organizações utilizem os recursos de TI com maturidade, com uma boa governança de TI. Os frameworks são excelentes ferramentas para auxiliar as organizações na implementação de modelos, métricas e medidas quando se trata de segurança da informação, pois trazem consigo as melhores práticas. Um framework de gestão e apoio à segurança da informação nada mais é do que uma série de procedimentos e guias utilizados para a definição de políticas e processos relacionados ao implemento e ao gerenciamento, de forma contínua, de controles de segurança da informação em um ambiente organizacional. Marque a opção que não apresenta um framework de gestão de apoio à segurança da informação:
Nota: 10.0Você não pontuou essa questão
	
	A
	CIS Controls.
	
	B
	NIST CSF e Security Scorecard.
	
	C
	MITRE ATT & CK.
	
	D
	ITIL e COBIT.
Você assinalou essa alternativa (D)
Você acertou!
Comentário: ITIL e COBIT são frameworks para gestão de serviços e processos de TI.
Aula 2 - Tema 1
	
	E
	ISO 27001.