segurança

Prévia do material em texto

Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra entidade D (destinatário) utilizando a internet. Para se comunicarem, R e D utilizam criptografia de chave pública. R+ e R são as chaves pública e privada de R, respectivamente, e D+ e D- são as chaves pública e privada de D, respectivamente.
 
A partir dessa situação, avalie o que se afirma.
I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m.
II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m.
III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m.
IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m.
 
Está correto apenas o que se afirma em:
	
	
	
	II e IV.
	
	
	I e IV.
	
	
	III e IV.
	
	
	I e III.
	
	
	II e III.
	Data Resp.: 21/08/2023 15:01:19
		Explicação:
A resposta correta é: I e III.
		Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:
 
I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes.
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto.
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number).
 
Está correto o que se afirma em
	
	
	
	III, apenas.
	
	
	I e II, apenas.
	
	
	II e III, apenas.
	
	
	I e III, apenas.
	
	
	I, II e III.
	Data Resp.: 21/08/2023 15:03:00
		Explicação:
Do ponto de vista de gerenciamento, não faz sentido excluir todos os usuários (o grupo) apenas para revogar o acesso de um único usuário que não tenha mais permissão.
		Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a gestão da segurança da informação?
	
	
	
	ABNT NBR ISO/IEC 27002:2013
	
	
	ABNT NBR ISO 9001:2008
	
	
	ABNT NBR ISO/IEC 27001:2013
	
	
	ABNT NBR ISO 14001:2004
	
	
	ABNT NBR ISO/IEC 20000-1:2011
	Data Resp.: 21/08/2023 15:03:45
		Explicação:
A resposta correta é: ABNT NBR ISO/IEC 27002:2013
		O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio.
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas:
	
	
	
	Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio.
	
	
	Estabelecer uma política informal proibindo o uso de softwares autorizados.
	
	
	Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada.
	
	
	Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas.
	
	
	Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.
	Data Resp.: 21/08/2023 15:04:47
		Explicação:
A resposta correta é: Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.
		(FCC/2012 - Adaptada) Códigos maliciosos (malwares) são programas que objetivam executar ações danosas e atividades maliciosas em um computador. Neste contexto encontram-se bots e botnets, sobre os quais é correto afirmar:
	
	
	
	Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos, coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante.
	
	
	A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam.
	
	
	Um computador infectado por um bot costuma ser chamado de attack base, pois serve de base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de spam host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque.
	
	
	Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se propagar automaticamente.
	
	
	Botnet é um software malicioso de monitoramento de rede que tem a função de furtar dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma grande carga de dados direcionados ao servidor da rede
Explicação:
Botnets, também conhecido como rede zumbi, é um conjunto de equipamentos que sofreu um ataque, resultando no controle do equipamento pelo hacker. Através de botnets é possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros.
		(UFES/2014) O termo "Engenharia Social" é comumente utilizado para se referir a técnicas utilizadas por pessoas mal-intencionadas que abusam de relações sociais para conseguir informações sigilosas ou acesso a sistemas. Dos cenários abaixo, NÃO caracteriza um caso de Engenharia Social o que está descrito em
	
	
	
	Uma pessoa liga para você, identifica-se como sendo de uma empresa prestadora de serviços (ex.: de telefonia), explica que há um problema no seu cadastro e pede que você informe vários dados pessoais, como nome completo, endereço, etc.
	
	
	Você recebe um e-mail alertando sobre um novo vírus muito perigoso e orientando-o a procurar por determinado arquivo em seu sistema e, caso ele exista, excluí-lo imediatamente e repassar a mensagem a todos os seus conhecidos.
	
	
	Após fornecer seu endereço de e-mail em um site para se cadastrar, você recebe uma mensagem de e-mail desse site pedindo que você clique em um link para confirmar o seu cadastro.
	
	
	Em um ambiente de trabalho, uma pessoa liga, identifica-se como administrador dos sistemas da empresa e solicita que você siga uma série de passos, incluindo acesso a sites na internet e instalação de softwares, para melhorar o desempenho da sua máquina.
	
	
	Você recebe um e-mail indicando que acaba de ser sorteado com um prêmio e instruindo-o a acessar um determinado site e preencher o cadastro para coletar o seu prêmio.
	Data Resp.: 21/08/2023 15:07:31
		Explicação:
A Engenharia Social é um método de ataque que utiliza a persuasão para obter dados sigilosos do usuário, seja por meios eletrônicos ou não. Normalmente, o atacante se passa por alguém confiável, como uma instituição conhecida, como um banco ou empresa. A opção correta mencionada refere-se apenas a um procedimento de confirmação, comum quando você se cadastra em um site e recebe uma mensagem para confirmar a validade do seu endereço de e-mail.
		O processo de proteção de dados é um conjunto de ações que têm como objetivo garantir a segurança e a privacidade das informações armazenadas por uma organização ou indivíduo. Esse processo envolve a implementação de medidas técnicas, organizacionaise legais que visam prevenir o acesso, o uso, a alteração, a destruição ou a divulgação não autorizada de dados sensíveis. Nesse sentido, qual das opções abaixo é uma razão válida para justificar a importância de se realizar backups regularmente como medida de segurança da informação?
	
	
	
	Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware ou erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das operações.
	
	
	Realizar backups permite que você se livre de dados antigos e desnecessários, liberando espaço de armazenamento valioso.
	
	
	Backup é um desperdício de tempo e recursos, uma vez que as informações raramente são perdidas ou corrompidas.
	
	
	Os backups são importantes apenas para grandes empresas que precisam proteger grandes quantidades de dados confidenciais.
	
	
	Os backups são úteis apenas para fins de auditoria e conformidade regulatória, e não têm relação direta com a segurança da informação.
	Data Resp.: 21/08/2023 15:08:58
		Explicação:
Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware ou erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das operações. Realizar backups regularmente é uma medida fundamental de segurança da informação, pois permite que, em caso de perda, corrupção ou inacessibilidade de dados, uma cópia recente e íntegra possa ser restaurada, minimizando os prejuízos para a organização. Falhas de hardware, ataques de malware e erros humanos são comuns e podem resultar na perda de dados importantes. Portanto, é crucial que backups sejam realizados regularmente e que sejam armazenados em locais seguros e protegidos contra ameaças físicas e lógicas. Além disso, backups também podem ser úteis em situações de desastres naturais, como incêndios, inundações e terremotos, que podem destruir completamente os dados armazenados em um único local.
		O sistema de backup de missão crítica é também chamado de ambiente de:
	
	
	
	Personal Identification Number.
	
	
	Personal Unblocking Key.
	
	
	Daily Backup.
	
	
	Ransomware.
	
	
	Disaster Recovery.
	Data Resp.: 21/08/2023 15:09:53
		Explicação:
A resposta correta é: Disaster Recovery.
		Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo, por exemplo, inundando um servidor de aplicação em rede com mais dados do que é capaz de processar por unidade de tempo.
 
Se existe uma ferramenta, dentro do domínio do servidor, que reage a um ataque de negação de serviço, ela é classificada como uma medida de controle:
	
	
	
	Recuperadora
	
	
	Limitadora
	
	
	Reativa
	
	
	Detectora
	
	
	Preventiva
	Data Resp.: 21/08/2023 15:10:57
		Explicação:
A resposta correta é: Reativa
		O PDCA é um instrumento muito importante para desenvolver um plano de continuidade de negócios (PCN). Selecione a opção que é responsável por realizar a melhoria contínua do plano de continuidade de negócios:
	
	
	
	P - Planejar.
	
	
	A - Agir.
	
	
	O PDCA não é adequado para o PCN.
	
	
	D - Executar.
	
	
	C - Checar.
	Data Resp.: 21/08/2023 15:11:48
		Explicação:
A resposta correta é: A - Agir.
		O crescimento das redes abertas fez com que surgissem vários problemas de segurança, que vão desde o roubo de senhas e interrupção de serviços até problemas de personificação, em que uma pessoa faz-se passar por outra para obter acesso privilegiado. Com isso, surgiu a necessidade de verificação da identidade tanto dos usuários quanto dos sistemas e processos. Dentro desse contexto, esse ato de verificação é chamado:
	
	
	
	cadastro.
	
	
	acessibilidade.
	
	
	confiabilidade.
	
	
	configuração.
	
	
	autenticação.
	Data Resp.: 21/08/2023 15:15:07
		Explicação:
A resposta correta é: Autenticação.
		A informação é estruturação e organização dos dados. Assim, os dados constituem a matéria prima da informação. Dentro dos aspectos da segurança da informação que exigem atenção são: confidencialidade, integridade e disponibilidade. A respeito da:
I - Na confidencialidade, as informações serão acessadas por quem tiver a devida autorização.
II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada pelo emissor
III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados para tal fim.
Podemos considerar como corretas:
	
	
	
	III apenas.
	
	
	I apenas.
	
	
	II e III.
	
	
	I e III.
	
	
	I, II, III.
	Data Resp.: 21/08/2023 15:17:38
		Explicação:
A resposta correta é: I e III. 
Na integridade, a informação que chega ao receptor é a que foi enviada pelo emissor. Ou seja, não houve modificação no envio da informação.
	
	Na questão que avalia conhecimento de informática, a  menos  que  seja  explicitamente  informado  o  contrário,  considere que: todos os programas  mencionados estejam em  configuração‐padrão,  em  português;  o  mouse  esteja  configurado  para  pessoas  destras;  expressões  como  clicar,  clique  simples  e  clique  duplo  refiram‐se  a  cliques  com  o  botão esquerdo do mouse; e teclar  corresponda  à operação  de  pressionar  uma  tecla  e,  rapidamente,  liberá‐la,   acionando‐a  apenas  uma  vez.  Considere  também  que  não haja restrições  de proteção, de funcionamento e de uso em relação aos programas, arquivos,  diretórios, recursos e equipamentos mencionados.
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações.
	
	
	
	não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições
	
	
	conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização
	
	
	descartar o inventário dos ativos, caso a organização possua
	
	
	realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação
	
	
	direcionar os funcionários apenas para o exercício de suas funções diárias; pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados
	Data Resp.: 21/08/2023 15:19:38
		Explicação:
A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação.
		(FEPESE/2017) Identifique abaixo as afirmativas verdadeiras ( V ) e as falsas ( F ) sobre Negação de Serviço (DoS e DDoS):
( ) Negação de serviço, ou DoS (Denial of Service) é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet.
( ) Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service).
( ) O principal objetivo dos ataques de Negação de Serviço (DoS e DDoS) é invadir e coletar informações do alvo.
( ) Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem o conhecimento de seu dono, por estar infectado e fazendo parte de botnets.
Assinale a alternativa que indica a sequência correta, de cima para baixo.
	
	
	
	V F F V
	
	
	V F F F
	
	
	V V F V
	
	
	F F V F
	
	
	F V V F
	Data Resp.: 21/08/2023 15:23:50
		Explicação:
Podemos assumir que o principal objetivo dos ataques de Negação de Serviço (DoS e DDoS) é paralisar as operações do alvo.
		(FCC/2010) Sobre segurança da informação, considere:
I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade.
II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas.
Está corretoo que consta APENAS em
	
	
	
	I e III
	
	
	II e III
	
	
	I
	
	
	I e II
	
	
	III
	Data Resp.: 21/08/2023 15:25:35
		Explicação:
Os itens II e III apresentam os conceitos invertidos, sendo correto afirmar:
Vulnerabilidade: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas;
Risco: é medido pela probabilidade de uma ameaça acontecer e o dano potencial à empresa.
		Ativos são recursos econômicos controlados por uma organização que possuem valor e podem gerar benefícios futuros. Eles são divididos em duas categorias principais: ativos tangíveis e ativos intangíveis. De maneira geral, qual exemplo pode ser considerado um ativo lógico tangível?
	
	
	
	Colaboradores.
	
	
	Informação.
	
	
	Humanos.
	
	
	Imagem da organização.
	
	
	Marca.
	Data Resp.: 21/08/2023 15:26:31
		Explicação:
Ativos tangíveis lógicos são aqueles que envolvem a informação e sua representação em algoritmos, por exemplo, uma fórmula química, os detalhes sobre a safra da laranja no mercado norte-americano, o algoritmo principal de busca do Google, os detalhes técnicos das baterias dos carros do Elon Musk.
		O link de acesso à internet de uma instituição encontra-se muito instável porque o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de risco, isso deve ser considerado como evidência de:
	
	
	
	Negação de serviço.
	
	
	Resiliência.
	
	
	Ameaça.
	
	
	BYOD.
	
	
	Vulnerabilidade.
	Data Resp.: 21/08/2023 15:27:14
		Explicação:
A resposta correta é: Vulnerabilidade.
		Indique a alternativa que pode conter um relacionamento mais apropriado entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE tratados pela Gestão de Riscos na Tecnologia da Informação.
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	
	Data Resp.: 21/08/2023 15:28:10
		Explicação:
A resposta correta é:
	
		8.
		Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade:
	
	
	
	Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável.
	
	
	Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.
	
	
	Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção.
	
	
	Corrigir o problema e relatar a vulnerabilidade à equipe de segurança.
	
	
	Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente.
	Data Resp.: 21/08/2023 15:29:38
		Explicação:
A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.
	
	
	Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:
 
I. Uma ameaça tem o poder de comprometer ativos vulneráveis.
II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.
 
Está correto somente o que se afirma em:
	
	
	
	II
	
	
	I e III
	
	
	I
	
	
	I e II
	
	
	III
	Data Resp.: 21/08/2023 15:30:20
		Explicação:
A resposta correta é: I e II
		É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para que seja enviada a solução de descriptografia dos dados da vítima. O scareware é seu tipo mais comum e usa táticas ameaçadoras ou intimidadoras para induzir as vítimas a pagar.
O texto se refere ao:
	
	
	
	Spam
	
	
	Botnet
	
	
	Ransomware
	
	
	Spyware
	
	
	DDoS
	Data Resp.: 21/08/2023 15:31:23
		Explicação:
A resposta correta é: Ransomware
	
	Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:
	6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
(...)
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação.
 
d)   elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"?
	
	
	
	Indica uma simples observação a ser feita
	
	
	Não se aplica a esta norma
	
	
	Sim
	
	
	Não
	
	
	Falta informação nessa checagem para classificar
	Data Resp.: 21/08/2023 15:32:13
		Explicação:
A resposta correta é: Sim.
	
	
	
		2.
		O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio.
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas:
	
	
	
	Estabelecer uma política informal proibindo o uso de softwares autorizados.
	
	
	Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada.
	
	
	Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.
	
	
	Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas.
	
	
	Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio.
	Data Resp.: 21/08/2023 15:33:08
		Explicação:
A resposta correta é: Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.
		
		Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização:
	
	
	
	Fornece segurança a todas as partes interessadas
	
	
	Oportunidade de identificar e eliminar fraquezas
	
	
	Isola recursos com outros sistemas de gerenciamento
	
	
	Mecanismo para minimizar o fracasso do sistema
	
	
	Participação da gerência na Segurança da Informação
	Data Resp.: 21/08/2023 15:34:58
		Explicação:
A resposta correta é: Isola recursos com outros sistemas de gerenciamento.
		Assinale a assertiva que representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização:
	
	
	
	Não participação da gerência na Segurança da Informação
	
	
	Isola recursos com outros sistemas de gerenciamento
	
	
	Oportunidade de identificar e eliminar fraquezas
	
	
	Mecanismo para eliminar o sucesso do sistema
	
	
	Fornece insegurança a todas as partes interessadas
	Data Resp.: 21/08/2023 15:35:56
		Explicação:
A resposta correta é: Oportunidade de identificar e eliminar fraquezas.(TRE-TO/2006 - Adaptada) Entre as medidas técnicas utilizadas no processo de proteção de dados, estão o uso de criptografia para garantir a confidencialidade das informações, o controle de acesso para limitar quem pode acessar os dados e em que condições, e a realização de backups regulares para garantir a disponibilidade dos dados em caso de falhas ou desastres. Nesse sentido, assinale a opção correta a respeito de criptografia.
	
	
	
	Um dos pontos fortes dos sistemas de criptografia simétrica é a facilidade da distribuição da chave aos seus usuários.
	
	
	A criptografia assimétrica provê sigilo, integridade, autenticidade e não-repúdio dos dados cifrados.
	
	
	A criptografia simétrica provê sigilo, integridade e autenticidade dos dados cifrados.
	
	
	Na criptografia assimétrica, é utilizada uma única chave para cifração e decifração.
	
	
	Na criptografia assimétrica, são utilizadas duas chaves, uma pública e uma privada, sendo uma especificamente utilizada para cifrar e a outra, para decifrar.
	Data Resp.: 21/08/2023 15:37:09
		Explicação:
A criptografia simétrica não provê autenticidade. A criptografia assimétrica utiliza duas chaves, uma pública e uma privada. Como a criptografia simétrica utiliza apenas uma chave para criptografar/descriptografar, a mensagem será comprometida caso o invasor consiga capturar tal chave. Para garantir a segurança de divulgação da chave secreta, utiliza-se a criptografia assimétrica em conjunto. Dessa forma, é notória a dificuldade de distribuição da chave simétrica.
		Segurança da informação é um conjunto de práticas e medidas destinadas a proteger a confidencialidade, integridade e disponibilidade de informações. Qual das opções abaixo é considerada uma boa prática de segurança?
	
	
	
	Nunca baixar programas de fornecedores oficiais.
	
	
	Sempre abrir links ou fazer download de arquivos enviados por e-mails não confiáveis ou de remetentes desconhecidos.
	
	
	Sempre utilizar antivírus desatualizados.
	
	
	Desabilitar o firewall do sistema operacional.
	
	
	Nunca compartilhar senhas.
	Data Resp.: 21/08/2023 15:39:12
		Explicação:
O compartilhamento de senhas é uma prática arriscada e pode comprometer a segurança da informação, já que uma vez que a senha é compartilhada, a pessoa que a recebe pode ter acesso a informações confidenciais. Portanto, manter senhas seguras e não compartilhá-las é uma boa prática para proteger a confidencialidade das informações.
		(CESGRANRIO/2012) O uso de criptografia simétrica no compartilhamento de informações secretas requer o compartilhamento de chave simétrica. Uma forma segura para um emissor enviar uma chave simétrica por meios de comunicação inseguros para um receptor é criptografar essa chave com a chave:
	
	
	
	privada do emissor.
	
	
	pública do emissor.
	
	
	pública do emissor e a chave privada do receptor.
	
	
	privada do receptor.
	
	
	pública do receptor.
	Data Resp.: 21/08/2023 15:39:51
		Explicação:
Para enviar uma chave simétrica por meios de comunicação inseguros, é necessário criptografá-la. Nesse caso, a criptografia deve ser realizada utilizando a chave pública do receptor.
		
		(AMEOSC/2022 - Adaptada) Protege o computador contra outros programas potencialmente danosos. Ele detecta, impede e atua na remoção de programas maliciosos, como vírus e worms.
Marque a alternativa CORRETA que corresponde ao contexto acima.
	
	
	
	Proxy.
	
	
	Painel de Controle.
	
	
	Roteador.
	
	
	Firewall.
	
	
	Antivírus.
	Data Resp.: 21/08/2023 15:40:29
		Explicação:
O antivírus é um programa de segurança projetado para detectar, impedir e remover softwares maliciosos, como vírus e worms, que podem prejudicar o computador e seus arquivos. Ele trabalha constantemente em segundo plano para monitorar atividades suspeitas e alertar o usuário sobre possíveis ameaças. Por isso, o antivírus é uma medida importante de proteção contra ameaças virtuais e deve ser mantido sempre atualizado.
		Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque ..."
	
	
	
	Utilizam algoritmos de criptografia de chave pública.
	
	
	Usam chave única para criptografar e descriptografar a mensagem.
	
	
	Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente.
	
	
	Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública.
	
	
	Fazem a troca de chaves na chave simétrica.
	Data Resp.: 21/08/2023 15:42:11
		Explicação:
A resposta correta é: Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente.
		"Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio, quando aplicado sistematicamente, é o principal fundamento do sistema de proteção". Selecione a opção que se refere a esse mecanismo de proteção:
	
	
	
	Privilégio mínimo.
	
	
	Compartilhamento mínimo.
	
	
	Separação de privilégios.
	
	
	Padrões à prova de falhas.
	
	
	Mediação completa.
	Data Resp.: 21/08/2023 15:42:54
		Explicação:
A resposta correta é: Mediação completa.
		Em relação ao backup incremental, selecione a opção correta:
	
	
	
	É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo.
	
	
	É a cópia dos dados criados e modificados desde o último backup.
	
	
	É exatamente igual ao backup diferencial.
	
	
	Faz cópias de todos dados, inclusive dos logs de transações associados, para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD.
	
	
	Também é chamado de backup incremental cumulativo.
	Data Resp.: 21/08/2023 15:44:37
		Explicação:
A resposta correta é: É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo.
		Um funcionário de uma empresa concluiu que existe uma probabilidade de 67% de sobrecarga e problemas no serviço de distribuição de conteúdo de vídeo em um eventual aumento na demanda do servidor. Dentro da GR, essa conclusão pode ser obtida na etapa de:
	
	
	
	Definição do contexto.
	
	
	Monitoramento e controle de riscos.
	
	
	Aceitação do risco (residual).
	
	
	Processo de avaliação de riscos.
	
	
	Terminação de riscos.
	Data Resp.: 21/08/2023 15:45:26
		Explicação:
A resposta correta é: Processo de avaliação de riscos.
		Houve um superaquecimento em um roteador, que parou de funcionar. O plano de tratamento para esse caso, definido como "risco alto", será colocado em prática imediatamente, porque esse risco é considerado:
	
	
	
	Resolvido
	
	
	Não identificado
	
	
	Residual
	
	
	Prioritário
	
	
	Informalmente identificado
	Data Resp.: 21/08/2023 15:45:58
		Explicação:
A resposta correta é: Prioritário
		
		Um membro da comissão de segurança precisa saber informações sobre cada um dos processos da GR. Ele consultará uma dentre as normas da família ISO/IEC 27000, que definem uma série de normas relacionadas à segurança da informação. Ele precisa obter a norma:
	
	
	
	ISO/IEC 27002
	
	
	ISO/IEC 27005
	
	
	ISO/IEC 31000
	
	
	ISO/IEC 27001
	
	
	ISO/IEC 27000
	Data Resp.: 21/08/2023 15:46:24
		Explicação:
A resposta correta é: ISO/IEC 27005
		O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na entrada dos aparelhos, mas essa variação não foi o suficiente para causar danos aos equipamentos de computação a eles conectados.
 
Conforme os termos relacionados à segurança da informação, o que ocorreu pode ser classificado como:
	
	
	
	Eletricidade
	
	
	Dano
	
	
	Tensionamento
	
	
	Evento
	
	
	Variação
	Data Resp.: 21/08/2023 15:47:47
		Explicação:
A resposta correta é: Evento
		O Risco é um conceito importante quando se trata do Plano de Continuidade de Negócios (PCN). A respeito do Risco, selecione a opçãocorreta:
	
	
	
	Normalmente não podem ser controlados.
	
	
	Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização.
	
	
	Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente.
	
	
	Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos.
	
	
	É um conceito abstrato e com baixa chance de se transformar em um desastre.
	Data Resp.: 21/08/2023 15:49:37
		Explicação:
A resposta correta é: Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos.
	
		Dos planos que constituem o PCN (Plano de Continuidade de Negócios), selecione o que define as funções e responsabilidades das equipes envolvidas com acionamento das equipes de contingência:
	
	
	
	Plano de Contingência (Emergência).
	
	
	PDCA (Plan-Do-Check-Execute).
	
	
	Plano de Recuperação de Desastres (PRD).
	
	
	Plano de Administração de Crises (PAC).
	
	
	Plano de Continuidade Operacional (PCO).
	Data Resp.: 21/08/2023 15:50:14
		Explicação:
A resposta correta é: Plano de Administração de Crises (PAC).
		
		O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI:
	
	
	
	Obter referências para adoção das melhores práticas apropriadas em TI.
	
	
	Justificar a importância do desenvolvimento da GCSTI.
	
	
	Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios.
	
	
	Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI.
	
	
	Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI.
	Data Resp.: 21/08/2023 15:50:52
		Explicação:
A resposta correta é: Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios.
		Um Plano de Recuperação de Desastres (PRD) é o documento que define os recursos, ações, tarefas e dados requeridos para administrar __________________ e __________________ que suportam os Processos de Negócio. Selecione a opção que preenche corretamente as lacunas:
	
	
	
	o plano de continuidade; tratamento dos eventos imprevisíveis.
	
	
	as consequências dos desastres previsíveis; na criação de planos de ação.
	
	
	o processo de recuperação; restauração dos componentes.
	
	
	o plano de continuidade; tratamento dos eventos previsíveis.
	
	
	o plano de operação; avaliar os pontos de controle.
	Data Resp.: 21/08/2023 15:51:26
		Explicação:
A resposta correta é: o processo de recuperação; restauração dos componentes.