Segurança em Sistemas de Informação 10

Prévia do material em texto

Questão 1/12 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por anos a fio no decorrer da história da humanidade.
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa:
(  ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar
 (  ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de aplicação do princípio do menor privilégio.
(  )  Os princípios da diversidade da defesa e da defesa em profundidade são convergentes,  embora possam ser aplicados em diferentes níveis ou estágios da proteção.
(  ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula:
Nota: 10.0
	
	A
	V-F-F-F
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
Você assinalou essa alternativa (D)
Você acertou!
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa).
	
	E
	V-V-V-F
Questão 2/12 - Segurança em Sistemas de Informação
Os controles CIS (Center for Internet Security) são basicamente conjuntos desenvolvidos de práticas recomendadas em segurança cibernética. São ações defensivas que visam minimizar e evitar ataques cibernéticos. Sobre os controles CIS, complete as lacunas com seu respectivo conceito e assinale a alternativa que apresenta a sequência que completa corretamente as sentenças:
	1) Defesas contra malware 
	2) Monitoramento e defesa de rede
	3) Teste de penetração
	4) Proteção de dados
                                                                                   
 (  ) Operar processos e ferramentas para estabelecer e manter um monitoramento de rede abrangente, com defesa contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa.
(   ) Impedir ou controlar a instalação, disseminação e execução de aplicativos, códigos ou scripts maliciosos em ativos corporativos.
(   ) Testar a eficácia e a resiliência dos ativos corporativos, por meio da identificação e da exploração de fraquezas nos controles (pessoas, processos e tecnologia) e da simulação dos objetivos e ações de um invasor.
(  ) Desenvolver processos e controles técnicos para identificar, classificar, manusear, reter e descartar dados com segurança.
Nota: 10.0
	
	A
	2, 1, 3 e 4
Você assinalou essa alternativa (A)
Você acertou!
Comentário: Monitoramento e defesa de rede, defesas contra malware, teste de penetração e proteção de dados é a sequência correta, resposta letra A.
Aula 2 - Tema 1
	
	B
	2, 1, 4 e 3
	
	C
	1, 2, 4 e 3
	
	D
	2,4,3 e 1
	
	E
	2,3,1 e 4
Questão 3/12 - Segurança em Sistemas de Informação
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou apresentarem comportamento incompatível.
Analise as afirmativas a seguir, relativas a este aspecto da informação:
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou apresentar falhas, gerando incidentes de segurança da informação.
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo seu uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não foi comprovada, seja por haver interesses escusos devido ao alto valor.
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação.
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em recursos financeiros para a proteção dos ativos e redução das ameaças.
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são elaboradas à partir de uma matriz PxI – Probabilidade x Impacto.
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula:
Nota: 10.0
	
	A
	Somente as afirmações I e III são corretas.
	
	B
	Somente as afirmações II e IV são corretas.
	
	C
	Somente as afirmações III e IV são corretas.
	
	D
	Somente as afirmações IV e V são incorretas.
Você assinalou essa alternativa (D)
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 9 a 13 da Rota de Aprendizagem (versão impressa).
	
	E
	Todas as afirmações são corretas.
Questão 4/12 - Segurança em Sistemas de Informação
Atualmente, a área de segurança de informação de uma organização precisa ser bem desenvolvida. É desejável que as organizações utilizem os recursos de TI com maturidade, com uma boa governança de TI. Os frameworks são excelentes ferramentas para auxiliar as organizações na implementação de modelos, métricas e medidas quando se trata de segurança da informação, pois trazem consigo as melhores práticas. Um framework de gestão e apoio à segurança da informação nada mais é do que uma série de procedimentos e guias utilizados para a definição de políticas e processos relacionados ao implemento e ao gerenciamento, de forma contínua, de controles de segurança da informação em um ambiente organizacional. Marque a opção que não apresenta um framework de gestão de apoio à segurança da informação:
Nota: 10.0
	
	A
	CIS Controls.
	
	B
	NIST CSF e Security Scorecard.
	
	C
	MITRE ATT & CK.
	
	D
	ITIL e COBIT.
Você assinalou essa alternativa (D)
Você acertou!
Comentário: ITIL e COBIT são frameworks para gestão de serviços e processos de TI.
Aula 2 - Tema 1
	
	E
	ISO 27001.
Questão 5/12 - Segurança em Sistemas de Informação
A informação carrega consigo o conhecimento, muitos conseguem extrair valiosos conhecimentos de um grupo de informações, depende muito da atribuição que colocamos nelas. Sobre a informação marque a alternativa correta:
Nota: 10.0
	
	A
	Os dados não possuem muito valor, mesmo que ainda não usados ou formatado e lapidado como “informação”.
	
	B
	Não existe a necessidade de proteger os dados, pois dependem muito do grau de importância dado por seus.
	
	C
	Em Tecnologia da Informação, não é comum também considerar a informação como fator de produção. Empresas não podem existir sem informação.
	
	D
	Um armazém que perde suas informações de estoque e clientes normalmente seria capaz de operar sem elas.
	
	E
	Existe a necessidade de proteger as informações em todas as fases de seu ciclo de vida, por mais que em alguns momentos as informações tenham maior ou menor importância.
Você assinalou essa alternativa (E)
Você acertou!
Comentário: Os dados possuem muito valor as empresas, a necessidade de cópias de segurança e proteção são grandes, a informação é considerada um fator de produção, muitas empresas não conseguiriam operar normalmente sem suas informações principais, resposta certa letra E.
Aula 1
Tema 1
Questão 6/12 - Segurança em Sistemas de Informação
A Security Scorecard é uma empresa que atua no segmento de segurança da informação. A plataforma Security Scorecard permite que os usuários acompanhem, visualizem e monitorem, de forma contínua, asclassificações de segurança, controlando fornecedores ou organizações parceiras e recebendo informes relacionados à área de cibersegurança, sempre com boletins atualizados. Segundo o Security Scorecard, os tipos de coletas são:
Nota: 10.0
	
	A
	Coleta ativa, coleta passiva, particionamento de rede e demais registros
Você assinalou essa alternativa (A)
Você acertou!
Comentário: Coleta ativa: descoberta de serviço, captura de conteúdo, impressão digital, enumeração de configuração, descoberta de certificados, resolução de nomes, nomes e números. Coleta passiva: redes dedicadas de observação (honeypots), servidor projetado para capturar tráfego malicioso (sinkholes), servidor DNS passivo, troca de publicidade, remetentes de spam, despejos de credenciais e e-mails registrados. Particionamento de rede: segmentação, falhas, convergência, tolerância, redundâncias e congestionamento. Demais registros: configuração incorreta, lags, atrasos e omissão. Resposta letra A.
Aula: 2
Tema: 1
	
	B
	Coleta ofensiva, coleta defensiva, fatiamento de rede e configurações incompletas
	
	C
	Coleta proativa, coleta reativa, segmento de rede e erros de sistema
	
	D
	Coleta defensiva, coleta ofensiva, particionamento de rede e outros registros
	
	E
	Coleta ativa, coleta passiva, segmento de rede e demais registros
Questão 7/12 - Segurança em Sistemas de Informação
Durante a análise de riscos são levantadas uma série de ameaças relacionadas com sua respectiva importância. Ao avaliarmos as ameaças, é necessária a criação de contramedidas que possam minimizar as ameaças, essas contramedidas visam mitigar as chances de alguns eventos ocorrerem e minimizar as consequências. Assinale a alternativa que apresenta uma categoria de contramedida válida contra ameaças.
Nota: 10.0
	
	A
	contramedidas repressivas que visam evitar acidentes
	
	B
	contramedidas de redução que visam detectar incidentes
	
	C
	contramedidas preventivas que visam diminuir a probabilidade de uma ameaça ocorrer
	
	D
	contramedidas corretivas que visam recuperar os danos causados por um incidente
Você assinalou essa alternativa (D)
Você acertou!
Comentário: As seis categorias de contramedidas contra ameaças são:
· contramedidas preventivas visam evitar acidentes;
· contramedidas de redução visam diminuir a probabilidade de uma ameaça ocorrer;
· contramedidas de detecção visam detectar incidentes;
· contramedidas repressivas visam limitar um incidente;
· contramedidas corretivas visam recuperar os danos causados por um incidente; e
· a aceitação de riscos também é uma possibilidade. Alguns investimentos em contramedidas podem ser caros e de difícil justificativa.
Resposta certa letra D.
Aula: 1
Tema: 4
	
	E
	de detecção que visam limitar um incidente
Questão 8/12 - Segurança em Sistemas de Informação
A Criptografia nas redes locais sem fio (Wi-Fi) é utilizada para blindar uma rede sem fio com um protocolo de autenticação que necessite de uma senha ou chave de segurança de rede quando um utilizador ou dispositivo tenta se conectar a esta rede sem fio. Caso a rede sem fio não tenha nenhum tipo de proteção de nenhum método de criptografia, usuários não autorizados podem enxergar e acessar a rede sem fio a fim de obter informações confidenciais ou até usar até mesmo de maneira ilegal e mal-intencionada. Qual dos protocolos de criptografia abaixo oferece segurança a redes sem fio (Wi-Fi)?
Nota: 10.0
	
	A
	WEP
	
	B
	IPSEC
	
	C
	DSA
	
	D
	WPA2
Você assinalou essa alternativa (D)
Você acertou!
Comentário: O protocolo de criptografia mais utilizado na segurança de redes sem fio é o WPA2, sendo que o WPA3 lançado recentemente proporcionará ainda mais segurança as redes sem fio.
 
 Aula: 2
Tema: 2
	
	E
	RSA
Questão 9/12 - Segurança em Sistemas de Informação
A norma ISO/IEC 15408 é uma modelagem bem flexível com um grupo de métodos para a análise e avaliação de aspectos relacionados a segurança de produtos e sistemas de Tecnologia da Informação, tais como: hardware, software e firmware. Abaixo temos seu modelo geral:
Fonte: ISO/IEC 15408
Os componentes de segurança são toda a base dos requisitos funcionais de segurança apresentados no perfil de proteção do ativo de segurança. Os requisitos funcionais de segurança são apresentados em classes, grupos e componentes. Marque a opção que apresenta de forma correta as classes expressas dessa norma:
Nota: 10.0
	
	A
	Sistemas antispam, firewall, proxy e filtro de conteúdo.
	
	B
	Auditoria de segurança, proteção de dados de usuário, privacidade, identificação e autenticação.
Você assinalou essa alternativa (B)
Você acertou!
Comentário: As classes expressas dessa ISO são: Auditoria de segurança, Proteção das funcionalidades de segurança, Utilização dos recursos, Acesso aos alvos de avaliação, Canais e caminhos confiáveis, Proteção de dados de usuário, Identificação e autenticação, Gerenciamento de segurança, Privacidade, Comunicação e Suporte à criptografia.
Aula 1 - Tema 3
	
	C
	Segurança e controles físicos, segurança e controles lógicos e gerenciamento de segurança.
	
	D
	Gestão de ativos, política de segurança da informação, gestão de incidentes e conformidade.
	
	E
	Gestão de incidentes, conformidade, gestão de ativos e controles físicos.
Questão 10/12 - Segurança em Sistemas de Informação
A informação é um grande ativo que, como qualquer outro componente valioso e importante de uma empresa, é essencial para os negócios de uma organização, diante mão requer e necessita de proteção adequada. A informação pode existir de diversas formas, seja qual for a sua apresentação ou meio ao qual está vinculada, é altamente recomendado que esteja sempre segura e protegida. Todas as informações de uma empresa têm um ciclo de vida. Dessa forma em alguns momentos em que a informação é colocada em risco, temos que observar e ter atenção ao tempo de vida que essa informação necessita ter, em relação as fases do ciclo de vida das informações, marque a opção que não representa uma etapa do ciclo de vida da informação:
Nota: 10.0
	
	A
	Coleta e Produção - quando a informação é criada, coletada, gerada ou alterada.
Você assinalou essa alternativa (A)
Você acertou!
Aula 1
Tema 1
Comentário: O ciclo de vida da informação é constituído pelo manuseio, armazenamento, transporte e descarte da informação.
	
	B
	Armazenamento - quando a informação é consolidada, gravada ou retida.
	
	C
	Transporte – quando a informação é transferida, comunicada, transportada.
	
	D
	Descarte - quando a informação perde seu valor e é inutilizada ou descartada.
	
	E
	Criação – quando a informação é originada, capturada e modificada.
Questão 11/12 - Segurança em Sistemas de Informação (questão opcional)
A legislação brasileira aplicada à área de segurança da informação tem como base a Constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a aplicação de regulamentos legais ao uso da Internet.
Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, foi aprovada em tempo recorde a seguinte legislação:
Nota: 10.0
	
	A
	MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica de documentos.
	
	B
	MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico.
	
	C
	Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua comercialização no país, etc.
	
	D
	Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet.
Você assinalou essa alternativa (D)
Você acertou!
Conteúdo apresentado em tema da aula "A Organização da Segurança da Informação", Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem (versão impressa).
	
	E
	Lei nº 12.965/14, o Marco Civil da Internet, queestabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Questão 12/12 - Segurança em Sistemas de Informação (questão opcional)
A segurança da informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa; isto é, aplica-se tanto às informações corporativas como às pessoas. Aponte a alternativa que apresenta a tríade de segurança da informação:
Nota: 10.0
	
	A
	Legalidade, Autenticidade e Disponibilidade.
	
	B
	Integridade, Legalidade e Autenticidade.
	
	C
	Confidencialidade, Integridade e Irretratabilidade.
	
	D
	Confidencialidade, Disponibilidade e Integridade.
Você assinalou essa alternativa (D)
Você acertou!
Comentário: A confidencialidade, integridade e disponibilidade são consideradas a tríade da gestão de segurança da informação. Resposta certa letra D.
Aula: 1
Tema: 2
	
	E
	Disponibilidade, Integridade e Legalidade.