Baixe o app para aproveitar ainda mais
Prévia do material em texto
CONTEÚDO DE PLATAFORMAS EAD SEGURANÇA DA INFORMAÇÃO A segurança da informação está diretamente relacionada à proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. A propriedade em que a informação não é revelada para as entidades sem que antes tenha sido autorizada é a: ✔A. Confidencialidade. B. Integridade. C. Disponibilidade. D. Elasticidade. E. Nenhuma das anteriores. A segurança da informação é vital para manter os dados seguros e impedir o ataque e o acesso não autorizado às informações sigilosas. Por isso, a confidencialidade impede que a informação seja revelada para entidades não autorizadas. Controla e protege a rede interna contra acessos externos que não são permitidos. Age como um porteiro bloqueando o tráfego indesejado ou não autorizado de entrada ou saída, descartando os pacotes de acordo com um conjunto definido de regras de segurança. Esta é a definição de: A. Pen test. B. Port scan. ✔C. Firewall. D. Ethical hacker. E. Política de segurança. O firewall é um dispositivo que coloca uma barreira entre redes internas protegidas e controladas que podem ser redes externas confiáveis ou não, como a Internet. O Distributed Denial of Service (DDoS) é o tipo de ataque mais comum no Brasil e no resto do mundo. Ele torna uma página web e seus serviços indisponíveis por meio da realização de um número enorme de requisições a seu servidor e, por isso, passa a negar as requisições por estar sobrecarregado. Qual a propriedade da segurança da informação que é afetada neste tipo de ataque? A. Confidencialidade. B. Integridade. ✔C. Disponibilidade. D. Elasticidade. E. Nenhuma das anteriores. Um dos ataques mais comuns acontece por meio de acessos simultâneos massivos a um único alvo, em que o atacante sobrecarrega a rede de dados e bloqueia o seu acesso, afetando, assim, a disponibilidade do serviço. ____________ é utilizado para quebrar senhas por meio da tentativa de todas as combinações possíveis. Trata-se de um software que testa automaticamente milhões de combinações de senha até encontrar a correta e, então, invadir o servidor. A resposta correta para a lacuna é: A. Phishing. ✔B. Ataque de força bruta. C. Pen test. D. Worm. E. Ethical hacker. Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque significa tentar adivinhar o conjunto por meio de tentativa e erro. Se o invasor souber pelo menos o nome do usuário, já tem um bom caminho andado, pois só irá precisar descobrir a senha e é incrivelmente inacreditável como existem senhas óbvias em contas pelo mundo afora. Por isso, o ataque de força bruta é muito utilizado, pois testa inúmeras combinações de usuário e senha até encontrar a correta combinação. A gestão de continuidade de negócios deve prever estratégias a serem aplicadas a diversos tipos de recursos de uma organização. Entre tais recursos, incluem-se: A. Pessoas e recursos financeiros. B. Tecnologia, mas não informação. C. Informação e meio ambiente. D. Suprimentos, mas não pessoas. ✔E. Pessoas, instalações e informações. A resposta a um evento ou incidente requer a mobilização de toda a organização, de forma estruturada, rápida e concisa para diminuir ou evitar os impactos negativos. Um Sistema de Gestão de Continuidade de Negócios (SGCN), cria e mantém atualizado e disponível planos e procedimentos necessários para uma recuperação efetiva, minimizando os impactos à organização. Os principais recursos utilizados são pessoas, instalações e informações. O crescimento da tecnologia exige cada vez mais um pensamento computacional voltado para a resolução de problemas, já que a tecnologia também envolve algumas ameaças, como o roubo de dados confidenciais. O conhecimento sobre a segurança da informação é fundamental para proteger as organizações. Escolha a alternativa correta a respeito da segurança da informação: A. Os recursos são tidos como os ativos de maior valor de uma organização; por isso, é indispensável que sejam protegidos de ameaças. B. A segurança da informação reúne diversos procedimentos que têm por objetivo proteger as organizações de ameaças exclusivamente digitais. C. A segurança da informação envolve um conjunto de ações que visam a proteger as organizações especificamente de ameaças externas. ✔D. Os controles da segurança da informação precisam ser definidos, concretizados, controlados, observados e aperfeiçoados sempre. E. Por ser o ativo de maior valor de uma organização, a transmissão necessita de uma atenção especial da segurança da informação. A capacidade de pensamento computacional é fundamental diante do avanço da tecnologia. A tecnologia também apresenta alguns riscos, como invasão e roubo de dados confidenciais, sendo necessário ter um sólido conhecimento sobre segurança da informação. Proteger os ativos de uma organização é algo fundamental, então, ter uma segurança da informação bem estruturada é um ponto crucial para a sobrevivência dessa empresa. Os ativos da tecnologia da informação das empresas envolvem dispositivos de computação, infraestrutura, aplicações, serviços e seus dados, sejam eles em transmissão ou armazenados. As informações são os ativos de maior valor de qualquer organização, portanto, exigem proteção contra uma grande diversidade de ameaças, acidentais ou deliberadas, necessitando de diferentes controles de segurança. A segurança da informação envolve a proteção de informações, sistemas, recursos e demais ativos contra desastres, erros (intencionais ou não) e manipulação não autorizada, tendo como objetivo a redução da probabilidade e do impacto de incidentes de segurança. Todos esses controles necessitam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados para que assegurem que os objetivos do negócio e a segurança da informação da organização sejam atendidos. A segurança da informação tem a função de proteger a informação e os sistemas de informação de possíveis ataques às organizações, tendo como pilares a confidencialidade, a integridade e a disponibilidade. Sobre a disponibilidade, pode-se afirmar: I. A criptografia e a autenticação são algumas das formas que são usadas para garantir a disponibilidade. II. A disponibilidade está condicionada também a um sistema eficaz, bem como ao funcionamento da rede. III. É fundamental que existam planos de recuperação frente aos possíveis desastres, para manter a disponibilidade. IV. Tem como objetivo assegurar o estado original dos dados, para que sejam assim disponibilizados. V. Os métodos para a manutenção da disponibilidade dependem diretamente da confiabilidade. São verdadeiras: A. I, III e IV. B. II, IV e V. ✔C. II e III. D. I e V. E. II e IV. Apenas são verdadeiras as afirmações II e III. A segurança da informação tem a função de proteger a informação e os sistemas de informação de possíveis ataques às organizações, tendo como pilares a confidencialidade, a integridade e a disponibilidade. A confidencialidade diz respeito aos dados armazenados e também aos dados que estão sendo transmitidos e precisam ser protegidos durante a transmissão. O uso de senhas, criptografia, autenticação e defesa contra ataques de penetração são técnicas que podem ser utilizadas para preservar a confidencialidade, o que torna a afirmativa I incorreta. A disponibilidade é a garantia de que os dados estarão disponíveis sempre que necessário. Para que isso ocorra e seja eficaz, depende de fatores como funcionamento apropriado da rede e eficácia dos sistemas, o que confirma a afirmativa II. Planos de recuperação de desastres e backups eficientes são essenciais para que as informações se mantenham disponíveis mesmo em casos de acidentes, o que confirma a afirmativa III. A integridade tem como objetivo garantir o estado originaldos dados, isto é, certificar que as informações acessadas não foram modificadas, destruídas ou sofreram fraudes, o que torna a afirmativa IV incorreta. As técnicas usadas para garantir a confiabilidade são o caminho para a integridade, já que um invasor não conseguirá modificar o que não for possível acessar, o que torna a afirmativa V incorreta. A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A utilização da internet inseriu muitas vulnerabilidades de segurança, pois ela pode ser portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, o número de ameaças à segurança também aumentou. Entre essas ameaças, há os ataques direcionados. Sobre esse tipo de ataques, considere as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). ( ) O ataque direcionado não segue uma linha específica, pois ele é direcionado às informações em geral das organizações. ( ) São ataques que não tem constância, já que os invasores não permanecem ativos após a abordagem inicial. ( ) Uma das principais ameaças virtuais e exemplo de ataque direcionado é o business email compromise. ( ) O possível invasor estuda muito bem as organizações que pretende atacar e identifica um profissional de alta função. ( ) Os invasores fazem de tudo para que, mesmo após o ataque inicial, o ataque continue sendo efetuado. Assinale a alternativa que contenha a sequência correta: ✔A. F – F – V – V – V. B. V – F – F – V – V. C. F – V – V – F – V. D. F – F – V – V – F. E. V – V – F – F – F. A sequência correta é: F – F – V – V – V. A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A utilização da internet inseriu muitas vulnerabilidades de segurança, pois pode ser portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, o número de ameaças à segurança também aumentou. Entre essas ameaças, temos os ataques direcionados, que usam informações específicas de uma empresa, para executar o ataque, sendo, portanto, a primeira afirmativa falsa. Esses ataques são persistentes, pois os invasores fazem o possível para que o ataque continue após a penetração inicial, o que confirma a quinta afirmativa e torna a segunda afirmativa falsa. O business email compromise é um exemplo de ataque direcional e também é uma das principais ameaças virtuais, o que confirma a terceira afirmativa. O atacante estuda muito bem o seu alvo e faz uso da engenharia social, com o objetivo de induzir as vítimas ao erro, como fazer depósitos em uma conta. Ele estuda tão bem a organização a ponto de identificar um profissional de alto cargo e um funcionário da área financeira, por exemplo, responsável por pagamentos, o que confirma a quarta afirmativa. Entre as possíveis ameaças que fazem parte das ações dos cibercriminosos, que usam computadores como instrumentos para cometer atos ilegais, há as ameaças persistentes avançadas (APT, do inglês advanced persistent threats). A respeito desse tipo de ameaça, pode-se afirmar que: I. É uma técnica de ataque continuado em que o atacante procura o acesso a um sistema e então permanece nele durante um tempo. II. O governo e as grandes organizações costumam ser os principais alvos desse tipo de ameaças, que usam técnicas como malwares. III. O acesso contínuo efetuado a partir da ameaça persistente avançada ocorre por meio de quatro etapas bem direcionadas pelo atacante. São verdadeiras: A. II e III. ✔B. I e II. C. I e III. D. III. E. I. São verdadeiras: I e II. Entre as possíveis ameaças que fazem parte das ações dos cibercriminosos, que usam computadores como instrumentos para cometer atos ilegais, temos as ameaças persistentes avançadas, que usam técnicas de hacking contínuas — tentativas de explorar sistemas de computadores, com propósitos ilícitos —, clandestinas e sofisticadas. Tais técnicas objetivam obter o acesso a um sistema e manter-se dentro dele por um longo período, o que confirma a afirmativa I. Geralmente, esses ataques são direcionados a alvos como o governo ou grandes organizações. São usadas técnicas como malwares e phishing para obter acesso à rede desejada, o que confirma a afirmativa II. Kaspersky (2020) afirma que um APT tem como propósito obter acesso contínuo aos sistemas por meio de cinco estágios, o que torna a afirmativa III incorreta. Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram conectados a uma rede, é fundamental que as organizações tenham um gerenciamento de segurança eficiente, que possa proteger os acessos às redes, bem como os dados armazenados e transmitidos por meio delas. A respeito do gerenciamento de segurança, escolha a alternativa correta: A. Como uma das técnicas usadas no gerenciamento de segurança, há a autenticação, que atualmente, devido ao avanço das ameaças, já não diminui os riscos de ataques, mesmo quando é exitosa. ✔B. Uma das formas mais seguras do gerenciamento de segurança, quando se trata da técnica de autenticação, é a autenticação em duas etapas de verificação, como o uso do token. C. Para um bom gerenciamento de segurança, é importante que, dentro de uma organização, os colaboradores possuam acesso às informações dos demais setores dessa organização, mesmo que não atuem neles. D. As diferentes técnicas que são utilizadas para um gerenciamento de segurança eficiente incluem o token e o smartcard, que são senhas individuais fornecidas para os usuários. E. No processo de gerenciamento de segurança em que é utilizada a autenticação dos usuários para evitar possíveis ameaças, o acesso se dá de forma simplificada, apenas pela senha do usuário. Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram conectados a uma rede, é fundamental que as organizações tenham um gerenciamento de segurança eficiente, que possa proteger os acessos à rede, bem como os dados armazenados e transmitidos por meio dessas redes. Para que isso aconteça, é necessária a utilização de algumas técnicas e estratégias de segurança, para que sejam evitadas as ameaças. A autenticação é uma dessas técnicas, sendo que, nos sistemas de computadores, podem ser usados quatro fatores para autenticar: algo que o sujeito sabe; algo que o sujeito possui; algo que o sujeito é; e o lugar onde o sujeito está localizado. A autenticação é um dos principais fatores para qualquer sistema de segurança e, quando é bem-sucedida, diminui os riscos de ataques. A forma mais utilizada de autenticação é por meio de usuário e senha. A segurança física depende do segundo fator, algo que o sujeito possui. Tokens e smartcards estão sendo muito utilizados pelas empresas como forma de autenticação. Trata-se de dispositivos que devem ser conectados fisicamente aos computadores para que o usuário seja identificado e autenticado nos sistemas. A autenticação em dois fatores é um mecanismo ainda mais seguro, em que é usada uma combinação de dois dos fatores citados anteriormente, considerando-se apenas os três primeiros. Por exemplo, quanto ao token, além da necessidade de possuí-lo fisicamente, o sujeito precisa saber o código de acesso e, só então, será autenticado. Nos sistemas de segurança, diferentes usuários possuem diferentes autorizações de acesso. Dentro de uma organização, por exemplo, colaboradores do setor financeiro não devem possuir acesso aos arquivos do setor de recursos humanos. Dentro de uma rede, essas autorizações são dadas de acordo com o nome de usuário, que são nomes únicos definidos para cada usuário. Garantir total segurança no ambiente computacional é impossível. No entanto, existem diversas ferramentas que são importantes no monitoramento e na ação em casos de detecção de falhas ou de tentativas de invasão. Dentro de um documento de PSI, ao falar sobre detecção, é correto afirmar que um grupo importantede segurança para esse item é/são: A. A lista de equipamentos autorizados. B. Os relatórios de invasão enviados ao comitê. C. As ferramentas de backup. ✔D. As ferramentas de alerta e de auditoria. E. O banco de dados em ambiente seguro. Ao falar em detecção, é correto afirmar que as ferramentas de alerta de auditoria são as responsáveis por identificar intrusos e modificações de qualquer natureza no sistema. Já o backup não é uma ferramenta de detecção e sim de recuperação. A base de dados em local seguro não representa nenhum tipo de detecção, assim como a lista dos equipamentos autorizados não detectam nenhum tipo de invasão e, por fim, os relatórios são apenas informativos, pois não agem no processo de detecção. As empresas brasileiras devem prestar proteção aos dados pessoais que estão em sua posse, pois, muito mais que o zelo e o cuidado com sua base de conhecimento caso não observem essa deliberação, as empresas podem sofrer sanções como advertências, multas, bloqueios etc. Essa citação é aderente à qual das opções a seguir? A. Phishing. B. Lei de Segurança de Dados. C. DDoS. D. ISO 27003:2015. ✔E. Lei n.° 13.853/2019. É correto afirmar que o dever de prestar proteção aos dados pessoais é parte da Lei n.° 13.853/2019, pois ela descreve o zelo e o cuidado com a base de conhecimento. Já a Lei de Segurança de Dados não existe. Phishing e DDoS são técnicas de invasão e o ISO 27003:2015 trata da organização para implantação de sistemas de informações gerenciais. As informações disponíveis, independentemente do nível ou do local de acesso, são chamadas de públicas. Quando acessíveis apenas de dentro das dependências da empresa, são classificadas como internas. As credenciadas podem ser visualizadas por um grupo durante tempo determinado, e as secretas apenas pela alta gestão e pelos responsáveis pela tecnologia da informação. Público, interno, credenciados e externos são classificações para que grupo do documento de PSI? ✔A. Tipos de informação. B. Níveis de acesso. C. Padrões mínimos de qualidade. D. Acesso por sazonalidade e tempo determinado. E. Monitoramento e auditoria. É correto afirmar que são com base na classificação do tipo de informação que são definidos os níveis de acesso de cada colaborador, descrevendo regras para aplicativos, arquivos no servidor e acessos a diferentes redes; assim, acessos públicos, internos, credenciados e externos são classificações de tipo de informação. Já os níveis de acesso são representados pelos personagens de quem, como e quando acessam os dados da empresa. Os padrões mínimos de acesso dizem respeito a outro documento, ao SLA. O acesso pela sazonalidade e por tempo determinado é um credenciamento, e o monitoramento e a auditoria não são classificações do PSI. A tradução de VPN é rede privada virtual. Por meio de tráfegos de dados com protocolos padrões, é possível garantir o acesso externo com segurança como se estivesse dentro da própria empresa. Qual item do PSI essa definição atende? A. Classificação do tipo de informação. B. Segurança lógica. ✔C. Níveis de acesso. D. Monitoramento e auditoria. E. Segurança física. Segurança física e lógica são importantes, mas não determinam acesso externo com regras internas da empresa. O monitoramento e a auditoria são realizações da TI e não do usuário final. A classificação por tipo de informação trata do mapeamento e da idealização dos diferentes personagens que fazem uso dos sistemas. É correto afirmar que para trafegar dados com protocolos padrões, garantindo acesso externo seguro, é necessário estabelecer claramente os níveis de acesso. Com reuniões periódicas, é possível observar o cumprimento das normativas, notificar por meio de relatório, e zelar pela proteção e pela distribuição das informações das políticas de segurança da informação - PSI. Com base nessa afirmação, quem é o responsável máximo do PSI que sempre é requisitado em qualquer alteração do documento de política de segurança da informação? A. Setor de recursos humanos - RH. B. Chefia direta. C. Setor de tecnologia da informação - TI. D. O próprio colaborador. ✔E. Comitê de segurança da informação. A TI monitora e informa os resultados métricos do PSI. A chefia direta é responsável apenas por si (assim como o próprio colaborador) e pelo seu grupo. O RH informa ao setor de TI a respeito das contratações, das alterações (temporários ou permanentes) e dos desligamentos. O correto é afirmar que somente um comitê, composto por vários setores da empresa, é capaz de propor alterações no PSI. É essa pluralidade que torna capaz a visão sistêmica além da técnica na busca de soluções de proteção dos dados da instituição. A Lei n.º 13.709/2018, também conhecida como LGPD, representa um grande marco jurídico brasileiro. Essa Lei cria diretrizes de controle, tratamento e utilização dos dados pessoais dos cidadãos. Sendo assim, a aplicabilidade dessa lei está restrita a quais tipos de instituições? A. Essa Lei pode ser aplicada somente a instituições públicas. B. Essa Lei pode ser aplicada somente a instituições privadas. ✔C. Essa Lei pode ser aplicada em empresas públicas e privadas. D. Essa Lei pode ser aplicada somente em bancos digitais e startup. E. Essa Lei pode ser aplicada somente para hospitais e empresas privadas. A Lei n.º 13.709/2018 é um grande marco legal brasileiro que traz diversos impactos para as instituições privadas e também as públicas, justamente por tratar da proteção dos dados pessoais dos indivíduos em qualquer transação comercial, seja por pessoa física ou jurídica, de qualquer seguimento de mercado. O RGPD entrou em vigor no dia 25 de maio de 2018 e serviu de inspiração para a formulação da lei brasileira. A LGPD, quando comparada com a legislação europeia, acaba sendo mais resumida e genérica. Que tipo de problemas essa lacuna de informações pode gerar no Brasil? A. Essa lacuna acaba gerando objetividade e interpretações comuns, criando segurança jurídica e promovendo os demais benefícios para a sociedade, seguindo o propósito estabelecido de boa-fé. B. Essa lacuna acaba gerando ruídos de comunicação, porém os artigos são claros e objetivos, o que acaba minimizando os demais impactos e ocasionando boas interpretações, que servem de exemplo. C. Essa lacuna acaba gerando certa flexibilidade no uso dos dados e, com isso, promover maior cuidado na utilização da informação, mesmo os cuidados jurídicos vigentes em lei. ✔D. Essa lacuna acaba gerando subjetividade e interpretações variadas, criando insegurança jurídica e promovendo precedentes confusos que podem representar impactos negativos para a sociedade. E. Essa lacuna acaba gerando total segurança jurídica para o cidadão, pois ele terá sempre a informação de como o seu dado será utilizado pela empresa. Essa transparência é vital para o uso correto. A LGPD é mais enxuta em relação a alguns aspectos quando comparada com o RGPD, criando também espaços para interpretações, o que deixa tudo mais subjetivo. Essa lacuna pode gerar insegurança jurídica, justamente pela sua falta de objetividade, permitindo espaço para subjetividade em situações possíveis, como, por exemplo, em relação a prazos - enquanto na norma europeia (RGPD) é dito que determinada ação deve ser feita em até 72 horas, no caso da LGPD, é informado “prazo razoável”. Porém, o que seria um prazo razoável? Esse tipo de situação pode gerar diversos aspectos jurídicos que devem tomar conta dos tribunais em um futuro próximo. Na área jurídica, é comum haver conceitos e terminologias que, às vezes, causam estranheza e dificuldade na interpretação de determinado significado. A LGPD tem uma terminologia não muito comum no nosso dia a dia. Sendo assim, qual o nome dado para aquele que realiza a coleta do dado ou faz as operações necessárias para o seu melhor entendimento e posterioruso dentro das sintaxes existentes na Lei? A. Tratamento dos dados. ✔B. Agentes de tratamento. C. Dados anonimizados. D. Encarregado. E. Anonimização. Agentes de tratamento são o controlador que recepciona os dados pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção, e o operador que realiza algum tratamento de dados pessoais motivado por contrato ou obrigação legal. Já o tratamento dos dados faz referência a toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Os dados anonimizados são os relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento. O conceito de encarregado se refere à pessoa natural, indicada pelo controlado, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Por fim, a anonimização é realizada pelos meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. A LGPD se aplica a pessoas físicas e jurídicas, salvo no cenário em que o tratamento dos dados é usado para fins exclusivamente particulares e não econômicos ou, então, para fins jornalísticos e artísticos e também para a segurança pública e de defesa nacional, conforme o artigo 4º, incisos I, II, III e IV. Sendo assim, a aplicabilidade da lei segue alguns critérios. Quais seriam essas premissas? ✔A. De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em território nacional e os tratamentos/coletas também devem ter ocorrido no território brasileiro. B. De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em qualquer parte do mundo e os tratamentos/coletas podem ter ocorrido em outros países. C. De acordo com as premissas da aplicabilidade da LGPD, os critérios somente devem ser aplicados em cenários não econômicos ou, então, em caso de segurança nacional ou devido a cuidados de segurança. D. De acordo com as premissas da aplicabilidade da LGPD, a empresa deve ser estrangeira e usar essa informação em outro país, buscando, assim, mapear as necessidades dos seus clientes. E. De acordo com as premissas da aplicabilidade da LGPD, as transações precisam ser bem estruturadas, buscando, assim, mapear o real uso com base em critérios científicos e gerando resultados. A Lei se aplica à situação em que a transação ocorrer em território nacional e tiver por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional e, por fim, em que os dados tiverem sido coletados em território nacional. Dessa forma, é possível constatar que a LGPD não está diretamente relacionada à cidadania ou à nacionalidade dos dados do cidadão e, muito menos, faz referência ao domicílio do indivíduo titular. A LGPD foi fortemente inspirada na regulamentação europeia implementada em maio de 2018 no continente europeu. Então, é natural que alguns itens de conformidade sejam semelhantes ou até mesmo complementares. Um dos artigos diz que o titular pode solicitar, a qualquer instante, o tratamento dos seus dados pessoais. Porém, isso não se aplica em qual situação? A. Só não se aplica quando se trata de órgãos públicos e ONGs. B. Só não se aplica quando se trata de órgãos públicos e privados. C. Só não se aplica quando se trata de órgãos privados de mercado. D. Só não se aplica quando se trata de ONGs e universidades. ✔E. Só não se aplica quando revelar segredos comerciais e industriais. Segundo o artigo 20 da Lei, o responsável pelo tratamento de dados só não será obrigado a fornecer critérios e procedimentos que possam revelar segredos comerciais e industriais. Sendo assim, fica claro que a Lei não impacta na estratégia de mercado da empresa; pelo contrário, isso gera maior inteligência na determinação do real motivo do uso do dado, e não somente um grande cadastro, com registro que nunca será usado. A diferença apenas é a preservação da boa-fé, sendo necessário deixar claro, durante uma transação em duas partes, quais serão as consequências dos dados compartilhados para que, estando ciente disso, o titular possa aceitar ou não tal proposta. A ISO 27001 é dividida em 11 seções, sendo elas: A. introdução, escopo, referência normativa, termos e definições, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo B. B. introdução, referência normativa, termos e definições, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria, anexo e anexo A. C. introdução, escopo, referência bibliográfica, termos e definições, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. D. introdução, escopo, referência normativa, termos e definições, contexto da organização, líder, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. ✔E. introdução, escopo, referência normativa, termos e definições, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. O padrão para segurança da informação ISO/IEC 27001 especifica os requisitos necessários para estabelecer, implementar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação (SGSI). A ISO 27001 é dividida em: introdução, escopo, referência normativa, termos e definições, contexto da organização, liderança, planejamento, apoio, operação, avaliação do desempenho, melhoria e anexo A. Assinale a alternativa que melhor descreve o objetivo da ISO 27001. ✔A. Disponibilizar um conjunto de requisitos, processos e controles à segurança da informação, diminuindo os seus riscos. B. Compartilhar um conjunto de requisitos, processos e controles à segurança da informação, diminuindo os seus riscos. C. Disponibilizar um conjunto objetos, processos e controles à segurança da informação, diminuindo os seus riscos. D. Disponibilizar um conjunto de requisitos, processos verificando os seus riscos. E. Disponibilizar um conjunto de requisitos, processos e falta de controles à segurança da informação. O objetivo da ISO 27001 é disponibilizar, à segurança da informação, um conjunto de requisitos, processos e controles, diminuindo os riscos das organizações. A norma pode ser implementada em qualquer tipo de empresa, pois provê metodologia para a implementação da gestão da segurança da informação em organizações de pequeno, de médio e de grande porte. A norma 27001 é internacional e publicada pela: A. International Start Organization (ISO). ✔B. International Standardization Organization (ISO). C. International Save Organization (ISO). D. Internal Start Organization (ISO). E. Internal Security Organization (ISO). A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma empresa. Assinale a alternativa que apresenta um dos benefícios da ISO 27001 para as organizações. A. Obtenção de vantagem de Marketing: existem cada vez mais leis, regulamentações e requisitos contratuais relacionados à segurança da informação, e a metodologia da ISO 27001 está em conformidade com todos esses requisitos. B. Conformidade com requisitos legais: o principal objetivo da ISO 27001 é prevenir incidentes de segurança. Ao prevenir incidentes, a empresa economizará o valor significativo.C. Melhor organização: se sua organização obtém a certificação, e seus competidores não, ela terá vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações. D. Redução de custos: se sua organização obtém a certificação, e seus competidores não, ela terá vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações. ✔E. Conformidade com requisitos legais: há cada vez mais leis, regulamentações e requisitos contratuais relacionados à segurança da informação, e a metodologia da ISO 27001 está em conformidade com todos esses requisitos. Entre alguns benefícios da ISO 27001 para as organizações, podemos citar: Conformidade com requisitos legais: a metodologia da ISO 27001 está em conformidade com todos os requisitos legais, como leis, normativas etc. Obtenção de vantagem de Marketing: caso a organização obtenha a certificação, ela terá vantagem perante a concorrência. Redução de custos: ao prevenir incidentes na área da segurança, a organização economizará um valor significativo. Melhor organização: a ISO 27001 encoraja as organizações a escreverem seus principais processos, mesmo aqueles não relacionados à segurança, possibilitando a redução da perda de tempo de seus empregados. A certificação para ISO 27001 pode ser retirada de duas formas. Quais são elas? ✔A. Certificação individual e certificação para organizações. B. Certificação própria e certificação para organizações. C. Certificação para gestores e certificação para empregados. D. Certificação para estudantes e certificação para TI. E. Certificação individual e certificação para gestores. Existem duas formas de certificação para a ISO 27001: a certificação individual e a certificação para organizações. Para uma empresa obter a certificação, ela deve implementar a norma e submeter-se a uma auditoria de certificação realizada por um organismo de certificação. Para se obter a certificação individual, basta fazer alguns cursos. Por que os clientes podem vir a exigir, para fechar um negócio, que as organizações sejam certificadas ou demonstrem sua vinculação a uma norma ou padrão internacional? A. Porque isso assegura que a entrega dos produtos será mais rápida. B. Porque os preços dos produtos e serviços serão mais baratos. C. Porque isso elimina totalmente as chances de um incidente de segurança da informação. ✔D. Porque, assim, a empresa demonstra sua preocupação com boas práticas internacionais e com a qualidade do que faz. E. Porque isso vai assegurar que a empresa cumpre toda a legislação pertinente. Porque, sendo certificada ou seguindo as diretrizes de uma norma, a organização demonstra que está preocupada com as boas práticas internacionais, o que assegura a qualidade de seus produtos e serviços com relação à gestão, à segurança, à inovação e aos processos. São exemplos de macroáreas estabelecidas na Norma 17799: A. gestão de recursos humanos e controle de passivos. ✔B. controle de acessos e política de segurança. C. gestão de continuidade de incidentes e inconformidade. D. gestão de RH e segurança individual. E. análise de projetos e análise de sistemas. As macroáreas estabelecidas pela Norma 17799 são: política de segurança, segurança organizacional, classificação e controle dos ativos de informação, segurança de recursos humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, controle de acessos, desenvolvimento e manutenção de sistemas de informação, gestão de continuidade de negócios e conformidade. O que é um ativo, segundo a norma ISO 27002? ✔A. É qualquer coisa para a qual a organização atribua valor e importância, devendo ser protegido. B. É qualquer funcionário que não esteja aposentado e ainda exerça suas atividades. C. É o patrimônio da empresa, suas máquinas e equipamentos. D. É o funcionário que foi admitido e ainda não tirou férias trabalhando para a organização. E. É a frota da organização, compreendendo todos os seus tipos de veículos. Um ativo é qualquer coisa que tenha importância e valor para a organização e que, por isso, precisa ser protegido de alguma maneira. Os ativos devem ser identificados, avaliados e ter regras para o tipo de uso a que se destinam, para que a organização possa manter um inventário deles. Para um profissional, para que serve uma certificação em segurança da informação? A. Serve como único fundamento para solicitação de aumento salarial. B. Serve para demonstrar que o indivíduo entende somente o básico sobre o assunto da certificação. ✔C. Serve como forma de valorizar seu currículo, atestando sua vasta experiência em determinado assunto. D. Serve para informar que o indivíduo não leva muito em consideração o estudo para exercer suas atividades. E. Serve como atestado de que o indivíduo finalizou sua jornada de estudos durante sua carreira profissional. Uma certificação serve para valorizar o currículo dos profissionais que a possuem, representando uma espécie de atestado de que o indivíduo certificado tem grande conhecimento ou experiência nos assuntos relacionados à certificação obtida. Qual é a certificação mais adequada para quem está começando como profissional de segurança da informação? A. CSA+. B. Auditor Líder ISO 27001. C. CISSP. D. Security+. ✔E. ISO 27002. A certificação ISO 27002 é a certificação que serve para quem está começando como profissional da área de segurança da informação, pois seu foco está nos conceitos básicos de segurança da informação, o que vai auxiliar na compreensão de quais são as informações vulneráreis em uma organização e quais são as medidas mais adequadas para protegê-las. De acordo com o conteúdo apresentado em Dica do Professor, a utilização de recursos tecnológicos nos negócios tem gerado consideráveis impactos na sociedade e levantado uma série de questões éticas relacionadas a crime, privacidade, individualidade, emprego, saúde e condições de trabalho. É importante compreender que a tecnologia da informação (TI) pode tanto ocasionar resultados benéficos quanto causar efeitos prejudiciais sobre as pessoas e a sociedade. O papel dos gestores modernos é justamente o de maximizar os efeitos benéficos da tecnologia para as pessoas e empresas, ao mesmo tempo em que os pontos negativos desta utilização são reduzidos. Analise as afirmações relacionadas com a ética no uso da TI e identifique a CORRETA: A. A ética nos negócios foca em como as empresas podem aumentar a sua produtividade, independente das formas de trabalho dos seus funcionários. B. A teoria das partes interessadas afirma que as empresas possuem responsabilidades éticas com todos os membros da sociedade, a qual permite que as corporações existam baseadas em um contrato social. C. A teoria do contrato social sustenta que os gerentes têm uma responsabilidade ética para administrar a empresa em benefício de todos os seus interessados. D. Um comportamento eticamente responsável pode ser observado naquelas empresas que permitem que seus funcionários trabalhem até 10 horas diárias ininterruptas. ✔E. Um dos princípios da ética tecnológica é o da proporcionalidade, que indica que o bem realizado pela tecnologia deve exceder o dano ou o risco. De acordo com este princípio, além desta regulação entre benefícios e danos, é importante que não exista nenhuma alternativa que realize os mesmos benefícios ou comparáveis com menos dano ou risco. O crime em informática, uma ameaça crescente para a sociedade, é causado por ações criminosas ou irresponsáveis de indivíduos que estão tirando vantagem do uso abrangente e da vulnerabilidade de computadores, da internet e de outras redes. Ele representa o maior desafio da ética de uso das tecnologias da informação, além de constituir uma séria ameaça para a segurança dos sistemas empresariais. Em relação aos crimes em informática, analise as seguintesafirmações: I. A cópia não autorizada de software proprietário não é considerada crime quando o usuário realiza apenas duas cópias de determinado software. II. Não se configura crime quando um usuário acessa sem autorização determinado hardware, mas não o danifica. III. Um funcionário não pode compartilhar informações corporativas sem a devida liberação, pois estaria cometendo um crime de informática. De acordo com as informações apresentadas em Dica do Professor, está CORRETO o que se afirma em: A. Somente I. B. Somente II. ✔C. Somente III. D. Somente I e II. E. Somente II e III. Esta descrição refere-se à teoria das partes interessadas. A estruturação de um ambiente de tecnologia de informação (TI) precisa levar em consideração as potenciais ameaças existentes no mundo virtual. Muitos crimes, até então cometidos apenas no mundo real, estão migrando para o ambiente virtual e ocasionando grandes perdas financeiras para as empresas e pessoas. Alguns países já estão, inclusive, adequando a sua legislação para enquadrar os crimes cibernéticos e punir os responsáveis de maneira mais adequada e efetiva. De acordo com o conteúdo apresentado em Dica do Professor e considerando os diversos tipos de crimes em informática, identifique a afirmação CORRETA: A. A pirataria de software ocorre quando, por exemplo, um funcionário utiliza, sem autorização, a rede da empresa para realizar tarefas particulares. B. O furto de propriedade intelectual é caracterizado apenas quando está relacionado com software. ✔C. O hacking é entendido como o uso obsessivo de computadores ou acesso e uso não autorizados de sistemas de computadores de redes. D. O roubo cibernético é o uso de computadores e informações de uma organização ou governo, nomeadamente pela internet, para causar danos físicos reais ou graves perturbações à infraestrutura. E. O uso da internet para lazer pelos funcionários de uma empresa é um dos problemas que mais gera perdas financeiras, especialmente em organizações do setor bancário. Os hackers podem ser externos ou empregados da empresa, que usam a internet e outras redes para furtar ou danificar dados e programas de propriedade de terceiros. De acordo com o conteúdo apresentado em Dica do Professor, um dos mais destrutivos exemplos de crime cibernético é o ciberterrorismo, que envolve a criação de um vírus de computador ou um worm (verme). Vírus é o nome mais popular, mas, tecnicamente, um vírus é um código de programa que não pode funcionar sem ser inserido em outro programa, ao passo que worm é um programa distinto que pode rodar sem ajuda. Analise as afirmações a seguir em relação aos vírus e worms: I. A única porta de entrada dos vírus nos sistemas modernos é através de arquivos anexados nos e-mails. II. Normalmente, um vírus tem a capacidade de se copiar para dentro de arquivos de um sistema operacional. III. Os programas antivírus conseguem eliminar boa parte dos vírus de computador, mas não apresentam a mesma eficácia em relação aos worms. Está CORRETO o que se afirma em: A. Somente I. ✔B. Somente II. C. Somente III. D. Somente I e II. E. Somente II e III. Esta característica faz com que seja difícil encontrar determinados vírus que se alojam nos sistemas de computadores. As recentes tecnologias da informação (TI) facilitam o processo de coletar, armazenar, recuperar e compartilhar dados e informações com rapidez e facilidade. Esta característica gera um efeito benéfico na eficiência dos sistemas de informação. Por outro lado, essa grande capacidade da TI em armazenar e recuperar informações pode gerar efeitos negativos no direito de privacidade de cada indivíduo. Analise os itens a seguir sobre a privacidade em ambientes que utilizam tecnologias da informação e identifique a afirmação que, de acordo com a obra Administração de Sistemas de Informação, base teórica para esta Unidade de Aprendizagem, está CORRETA: A. Em hipótese nenhuma as empresas podem acessar as conversas de e-mail de seus funcionários. B. Em uma abordagem técnica, a rede social é o único ambiente que gera problemas de violação da privacidade das pessoas. ✔C. O risco de ter a privacidade violada pode ser reduzido com a utilização de ferramentas de criptografia e navegação anônima. D. O Spamming é a prática de envio de mensagens críticas, ofensivas e, muitas vezes, vulgares para pessoas ou grupos. E. Uma boa prática utilizada pelas empresas para aumentar a privacidade dos dados de seus clientes é centralizá-los em apenas um servidor de banco de dados. A criptografia é uma grande aliada dos sistemas de gerenciamento de segurança da informação, pois permite às pessoas e empresas compartilharem dados e informações de maneira mais segura. Conforme Fontes (2008), devem-se considerar algumas etapas para elaborar política de segurança. Assinale a alternativa que apresenta tais fases corretamente. A. Inicialização do projeto; desenvolvimento; comunicação e treinamento do produto; definição dos processos de manutenção e atualização. B. Início do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; definição dos processos. C. Inicialização do projeto; entrega, comunicação e treinamento do produto; definição dos processos de manutenção e atualização. ✔D. Inicialização do projeto; desenvolvimento; entrega, comunicação e treinamento do produto; definição dos processos de manutenção e atualização. E. Inicialização do projeto; desenvolvimento; entrega do produto; definição dos processos de manutenção e atualização. As etapas para elaboração de política de segurança são: Inicialização do projeto: descreve-se o projeto, justificando e declarando seu objetivo. Desenvolvimento: deve-se realizar levantamento do que existe na organização ou grupo de organizações em relação ao tema trabalhado para a definição dos regulamentos. Entrega, comunicação e treinamento do produto: é necessário realizar a entrega do projeto formalmente, pois a organização é importante para regras que vão legislar internamente. Definição dos processos de manutenção e atualização: define-se como acontecerá a manutenção e atualização das políticas e normas de segurança da informação. Em relação à gerência de confiança, é possível citar conceitos como: Ações: operações com consequências relacionadas à segurança do sistema. Política: regras escritas precisamente que determinam as principais autorizadas e quais ações realizar. Quais são os outros dois conceitos que faltam? ✔A. Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. B. Princípios: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. C. Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; acessibilidade: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. D. Principais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais; credenciais: usuários, processos ou outras entidades que podem realizar ações no sistema. E. Principais: gerentes, processos ou outras entidades que podem realizar ações no sistema; credenciais: assinaturavirtual que associa as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. Os outros conceitos relacionados à gerência de confiança são: Principais: usuários, processos ou outras entidades que podem realizar ações no sistema; credenciais: documentos assinados digitalmente que associam as identidades principais a ações permitidas, incluindo a autoridade de permitir que principais deleguem autoridade a outros principais. A política de segurança da informação é o pilar da eficácia da segurança da informação. Sobre seu conceito, assinale a alternativa correta. A. A política de segurança da informação é um manual de procedimentos que descreve como os recursos de TI da empresa devem manter privilégios e serem utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. ✔B. A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. C. A política de segurança da informação é apenas um manual de procedimentos que descreve como os recursos da empresa devem ser protegidos e utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. D. A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa não devem ser protegidos. E. A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades não irão surgir. A política de segurança da informação é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados. Se não existirem regras preestabelecidas, a segurança desejada se torna inconsistente e inúmeras vulnerabilidades podem surgir. Um sistema de gerenciamento de confiança consiste em dois componentes principais: linguagem de política e verificador de conformidade. Assinale a alternativa que melhor define o KeyNote. A. O sistema KeyNote é um software que especifica termos de política de segurança da informação. Além de implementar esses itens definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. B. O sistema KeyNote é uma linguagem que especifica termos de TI. Além de implementar os termos definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. ✔C. O sistema KeyNote é uma linguagem que especifica termos de política de segurança da informação. Além de implementar os termos definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. D. O sistema KeyNote é uma linguagem que especifica apenas termos de política de segurança da informação. E. O sistema KeyNote é um software que implementa os termos de TI e também define uma aplicação como sendo programa ou sistema que usa KeyNote. O sistema KeyNote é uma linguagem que especifica termos de política de segurança da informação. Além de implementar os termos definidos, também indica uma aplicação como sendo programa ou sistema que usa KeyNote. Em suma, o KeyNote interpreta se dada ação deve ser permitida ou não de acordo com as políticas fornecidas, e é de responsabilidade da aplicação invocar o KeyNote adequadamente e analisar corretamente suas respostas. A política de segurança da informação tem como objetivo proteger os pilares da segurança da informação. Quais são esses pilares? A. Seguridade, integridade e disponibilidade. B. Confidencialidade, integralidade e disponibilidade. C. Confidencialidade, seguridade e disposição. D. Confidencialidade, integridade e disposição de arquivos. ✔E. Confidencialidade, integridade e disponibilidade. Os pilares da segurança da informação são a confidencialidade, a qual garante que a informação é acessível apenas às pessoas autorizadas; a integridade, fazendo com que as informações não sofram alterações inesperadas; e a disponibilidade, que torna as informações disponíveis a qualquer tempo para acesso. Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da informação? A. As vulnerabilidades podem impedir que os atacantes consigam invadir as redes de computadores. ✔B. As vulnerabilidades podem permitir que uma tentativa de ataque seja bem-sucedida, resultando em perda da integridade da informação. C. As vulnerabilidades podem permitir o acesso de usuários legítimos na rede. D. As vulnerabilidades podem permitir que sejam impedidos quaisquer ataques vindos de fora da rede. E. As vulnerabilidades podem permitir que uma tentativa de ataque seja identificada e impedida. As vulnerabilidades são uma das maiores preocupações da segurança da informação, pois deixam os sistemas e as informações armazenadas por eles expostos para atacantes. Elas reduzem a segurança da informação, permitindo que uma tentativa de ataque seja bem-sucedida, o que resulta na perda da integridade da informação. O ataque de negação de serviço ataca principalmente qual dos atributos da segurança da informação? ✔A. Disponibilidade. B. Confiabilidade. C. Integridade. D. Confidencialidade. E. Autenticidade. A negação de serviço é um ataque à disponibilidade das informações, pois consiste na impossibilidade de executar funcionalidades básicas e na interrupção dos serviços de servidores, causando impedimento na máquina ou sistema atacados. Quais são os 2 tipos gerais de ataques de negação de serviço? A. Negação de serviço ou denial of service (DoS) e negação de serviço identificada ou identified denial of service (IDoS). B. Negação de acesso ou denial of access (DoA) e negação de serviço distribuída ou distributed denial of service (DDoS). C. Negação de serviço ou denial of service (DoS) e negação de serviços vulnerável ou vulnerable denial of service (VDoS). D. Negação de invasão ou denial of invasion (DoI) e negação de serviço distribuída ou distributed denial of service (DDoS). ✔E. Negação de serviço ou denial of service (DoS) e negação de serviço distribuída ou distributed denial of service (DDoS). Os ataques de negação de serviço se dividem em negação de serviço ou denial of service (DoS), em que o atacante utiliza uma máquina de excelente configuração para atacar a da vítima, e negação de serviço distribuída ou distributed denial of service (DDoS), por meio da qual o atacante usa um computador-master e vários computadores-zumbis para atacar a máquina-vítima ao mesmo tempo. São formas de ataque ou subdivisões dos ataques de negação de serviço: A. Por exclusão, de privacidade e na infraestrutura da rede. B. Por aglutinação, de vulnerabilidade e na construção da rede. C. Por inundação, de credibilidade e no funcionamento da rede. ✔D. Por inundação, de vulnerabilidade e na infraestrutura de rede. E. Por identificação, de integridade e na infraestrutura da rede. Os ataques de negação de serviço podem ser: por inundação, por amplificação, na infraestrutura da rede, de vulnerabilidade e de protocolo. Uma das medidas mais comuns para prevenir um ataque de negação de serviço é a utilização de servidores proxy. Como ele funciona? A. O servidor proxy funciona como barreira para a máquina-vítima, impedindo qualquer tipo de tráfego. B. O servidor proxy funciona como porta entre a rede mundial e o computador-vítima, deixando todo tipo de tráfego passar. ✔C. O servidor proxy funcionacomo ponte entre a Internet e a máquina-vítima, filtrando o tráfego indesejado e deixando passar o verdadeiro. D. O servidor proxy é elemento intermediário entre o computador-atacante e o computador-vítima, efetivando a conexão entre eles. E. O servidor proxy representa uma máquina conectada na mesma rede do computador-vítima e sofre ataques no lugar dela. A utilização de servidores proxy consiste na análise das requisições às máquinas da rede, funcionando como ponte entre a Internet e o computador-vítima. Esse tipo de servidor filtra o tráfego indesejado, permitindo que o tráfego verdadeiro passe. São problemas reais de segurança da informação: A. disponibilidade de serviços. ✔B. roubos de informações. C. integridade de informações. D. confidencialidade. E. restrição de acesso. Os roubos de informações, juntamente com os ataques de vírus e a indisponibilidade de serviços, são alguns dos problemas reais de segurança da informação mais comuns. Disponibilidade de serviços, integridade de informações, confidencialidade e restrição de acesso são objetivos da segurança da informação. Para solucionar problemas relativos à segurança da informação e até mesmo evitá-los, é importante: ✔A. garantir o sigilo das informações e ter controles de acesso bem definidos. B. Ddar acesso irrestrito a todos os usuários. C. jamais atualizar as ferramentas de segurança, para assegurar que vírus não entrem na rede. D. envolver somente a gestão da empresa na política de segurança da informação. E. liberar acesso para qualquer tipo de site e permitir que usuários instalem programas nos computadores. Para evitar problemas de segurança da informação é fundamental garantir o sigilo das informações, ferramentas de segurança atualizadas, backup periódico das informações, plano de continuidade de negócio, controles de acesso bem definidos para os usuários que precisam e elaborar uma boa política de segurança da informação, que inclua a gestão e todos os demais envolvidos na empresa. Por que o fator humano é tão importante para a segurança da informação? A. Porque as pessoas costumam não errar quando lidam com tecnologia da informação. B. Porque as pessoas precisam de treinamento somente uma vez e já se garante que vão fazer tudo corretamente. C. Porque as pessoas não precisam conhecer a política de segurança da informação. D. Porque as pessoas somente utilizam, mas não desenvolvem os sistemas de informação. ✔E. Porque são as pessoas que comandam as organizações e utilizam os sistemas, portanto são elas que garantem o sucesso da segurança na informação. O fator humano é importante para a segurança da informação, pois é o que assegura que se tire proveito do que a tecnologia proporciona, uma vez que são as pessoas que comandam as organizações, desenvolvem e utilizam os sistemas. Além disso, é normal que as pessoas cometam erros na realização das atividades, por isso a importância de mantê-las atualizadas sempre. O que é engenharia social? A. É a conscientização das empresas a respeito de questões ambientais e sociais. B. É uma política educacional para conscientizar usuários sobre segurança. C. É um método de defesa para ataques de segurança da informação. ✔D. É um método de ataque à segurança da informação. E. É uma área da Engenharia Civil. A engenharia social é um método de ataque à segurança da informação, no qual o invasor utiliza a persuasão, abusando da ingenuidade, da confiança e da falta de habilidade do usuário, para obter informações que podem ser utilizadas para efetivar acessos não autorizados a informações ou a computadores. Ou seja, não está relacionada à conscientização das empresas a respeito de questões ambientais e sociais, nem às políticas educacionais, tampouco à Engenharia Civil. São métodos de testes de segurança da informação: A. ação bruta e ataques de vírus. ✔B. injeção de código e força bruta. C. injeção de força e análise de acessos. D. conscientização de usuários e política de segurança. E. envolvimento da alta gestão e sondagem e mapeamento. Os principais métodos de testes de segurança da informação são: sondagem e mapeamento, força bruta, avaliação de servidores, análise do tráfego e injeção de código. Não estão nessa lista: ataque de vírus, análise de acessos, conscientização de usuários e política de segurança ou envolvimento da alta gestão. No ambiente cooperativo: A. A empresa isola sua rede interna das demais a fim de evitar problemas de segurança. B. A empresa cria uma conexão entre a sua matriz e as suas filiais, mas não se permitem clientes ou fornecedores compartilhando a rede. C. Algumas organizações se conectam em rede para cada uma atingir um objetivo individual, sem vínculo com os objetivos das demais. ✔D. Várias organizações se conectam em rede e cooperam entre si para atingirem objetivos em comum. E. Somente as filiais podem se conectar com pessoas externas à empresa, para que as informações fiquem preservadas. Várias organizações trocam informações por meio da integração entre as suas redes (não apenas filiais). As partes cooperam entre si para atingir objetivos em comum, importantes para que qualquer tipo de organização tenha sucesso na sua atividade. Ou seja, a empresa não isola sua rede interna das demais, a fim de evitar problemas de segurança. Também não cria uma conexão entre a sua matriz e as suas filiais, mas não se permitem clientes ou fornecedores compartilhando a rede. Escolha a alternativa que melhor completa a frase. Em um ambiente cooperativo, quanto maior for a conectividade entre as partes: A. menor será a preocupação com a segurança da informação. B. menor será a despesa com investimentos em infraestrutura de rede. ✔C. maior será a possibilidade de um ataque acontecer, e por isso aumenta a preocupação com a segurança da informação. D. maior será o lucro da empresa no final de um semestre. E. menor será a cooperação entre elas. Em um ambiente cooperativo, quanto maior for a conectividade entre as partes, maior será a possibilidade de um ataque acontecer, devido ao aumento das oportunidades trazido pela quantidade de partes envolvidas na troca de informações e pela interação entre os diferentes ambientes, o que resulta num aumento considerável dos pontos de vulnerabilidade. Para que servem as regras de filtragem ou de conexão? ✔A. Servem para proteger máquinas públicas da organização e locais que separam a organização do ambiente externo. B. Servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo. C. Servem para definir o tipo de conectividade entre os computadores de uma área da empresa. D. Servem para estabelecer quantos usuários poderão se conectar ao mesmo tempo na rede interna da empresa. E. Servem para estipular os tipos de vírus que serão excluídos das máquinas dos usuários em tempo real de conexão. As regras de filtragem ou de conexão serão necessárias para proteger tanto máquinas públicas da organização quanto locais que separam a organização do mundo exterior. Ou seja, não servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo, nem o tipo de conectividade entre os computadores de uma área da empresa. Também não servem para estabelecer quantos usuários poderão se conectar ao mesmo tempo na rede interna da empresa, tampouco estipular os tipos de vírus que serão excluídos das máquinas dos usuários em tempo real de conexão. Quem são os insiders? A. São pessoas de fora que atacam as informações da organização, conhecidos como engenheiros sociais. ✔B. São pessoas de dentro da própria organização que representam ameaças maliciosas, como, por exemplo, funcionários insatisfeitos. C. São clientes que desejam se conectar à rede da empresa para conhecer os preços dos produtos. D. São parceiros de negócios que atuam como patrocinadores devido aoalto custo das infraestruturas de rede da atualidade. E. São os atacantes que se utilizam do phishing para invadir as informações de uma organização. São pessoas de dentro da própria organização que configuram ameaças maliciosas, podendo ser funcionários insatisfeitos, ex-funcionários, terceirizados ou parceiros de negócios. Ou seja, não são pessoas de fora que atacam as informações da organização, conhecidos como engenheiros sociais, nem clientes que desejam se conectar à rede da empresa para conhecer os preços dos produtos. Também não são parceiros de negócios que atuam como patrocinadores, devido ao alto custo das infraestruturas de rede da atualidade, tampouco são os atacantes que se utilizam do phishing para invadir as informações de uma organização. Qual é o objetivo de um firewall cooperativo? A. Auxiliar os funcionários a entrar em sites da Internet durante o horário de expediente. B. Impedir que máquinas ligadas à Internet possam se conectar à rede interna da organização. C. Impedir que os computadores da rede interna da organização se conectem à Internet, evitando problemas de segurança. D. Instalar os aplicativos antivírus necessários à proteção em todas as máquinas da rede interna da organização e das partes envolvidas. ✔E. Facilitar a administração da segurança da informação, posicionando e integrando as tecnologias para que o ambiente e os usuários fiquem protegidos. O objetivo de um firewall cooperativo é facilitar a administração da segurança da informação no ambiente cooperativo, posicionando corretamente e integrando tecnologias específicas para que o ambiente e os usuários fiquem protegidos. Ou seja, seu objetivo não é auxiliar os funcionários a entrar em sites da Internet durante o horário de expediente, nem impedir que máquinas ligadas à Internet possam se conectar à rede interna da organização. Também não é impedir que os computadores da rede interna da organização se conectem à Internet, evitando problemas de segurança, tampouco instalar os aplicativos antivírus necessários à proteção em todas as máquinas da rede interna da organização e das partes envolvidas. Quais são os pilares da segurança da informação? A. Ataque, defesa e proteção. ✔B. Disponibilidade, confidencialidade, autenticidade e integridade. C. Compartilhamento, proteção e confiabilidade. D. Disponibilidade, desconfiança e espionagem. E. Falhas, tecnologias e defesas. Os fundamentos da segurança da informação são: a disponibilidade, que envolve o fato de um sistema de informação ficar disponível pelo máximo de tempo possível; a confidencialidade, que é o fato de a informação ser divulgada somente para quem tem autorização de acessá-la; a autenticidade, que diz que quanto mais próxima da original for uma informação que chega ao destinatário, mais confiável ela será; e a integridade, que é o fato de uma informação chegar ao destinatário inalterada. Quais são os tipos de mecanismos de segurança utilizados na segurança da informação? A. Controles tecnológicos e computacionais. B. Controles de ataque e defesa. ✔C. Controles físicos e lógicos. D. Controles disponíveis e indisponíveis. E. Controles de vírus e scan. A segurança da informação se utiliza de: controles físicos, que são barreiras materiais que limitam ou impedem o acesso às informações ou à infraestrutura onde elas se encontram; e controles lógicos, que são barreiras abstratas que limitam ou impedem o acesso às informações que estão em ambientes controlados. O que é phishing? A. É um tipo de defesa instalado pelo sistema operacional. B. É um tipo de defesa que protege os servidores e já vem instalado com o sistema operacional. C. É um tipo de ataque que instala programas através de força bruta nos servidores da rede. D. É um tipo de defesa que envia e-mails para os usuários da rede avisando sobre um ataque. ✔E. É um tipo de ataque que normalmente se configura em forma de mensagem. O phishing é um tipo de ataque que normalmente vem em forma de mensagem. Por isso é comum que seja um e-mail com uma mensagem parecida com a que seria enviada originalmente de alguma instituição conhecida, na tentativa de fazer o leitor aceitar o que está escrito e ainda executar, por vontade própria, a instalação de algum programa, serviço ou arquivo danoso no seu próprio dispositivo. O que são ataques do tipo scan? ✔A. São varreduras feitas nos computadores da rede para analisar seus detalhes e seus serviços disponíveis. B. São sinônimos dos vírus, programas maliciosos instalados no computador do usuário. C. São ataques iniciados quando o usuário clica em um link de um e-mail recebido de remetente desconhecido. D. São programas que se instalam no computador e fazem uma varredura dos vírus previamente instalados. E. São ataques que dependem da ingenuidade do usuário para que algum programa mal-intencionado seja instalado na máquina. O scan envolve varreduras feitas em redes de computadores com o objetivo de identificar as máquinas ativas e os serviços que podem estar sendo disponibilizados por elas, visando a analisar detalhes dos computadores que estão ligados na rede. Assinale a alternativa que contém técnicas de defesa para ataques a informações. A. Worm, antivírus, phishing. B. Engenharia social, scan, phishing. C. Criptografia, senha, fraude. ✔D. Antivírus, biometria, cartão inteligente. E. DoS, palavra-chave, fraude. Antivírus são programas desenvolvidos para fazer a prevenção, a detecção e a eliminação de vírus encontrados no dispositivo. Biometria é um mecanismo utilizado para reconhecer pessoas baseando-se em suas características físicas. Cartão inteligente é um documento eletrônico assinado digitalmente por uma autoridade certificadora pertencente à ICP-Brasil. Uma das formas de segurança trata da proteção dos recursos em relação ao acesso de pessoas indevidas, seja de uma aplicação como um todo, seja de parte do serviço. Dadas as seguintes afirmações sobre os requisitos de segurança: ( ) Particularidade é o requisito que diz respeito aos dados que são de uma parte em particular. ( ) Confidencialidade garante que a troca de informação esteja protegida de bisbilhoteiros. ( ) Integridade garante que a mensagem não será modificada e que chegou íntegra ao destinatário. ( ) Autorização é o processo que decide quando uma entidade com determinada identidade pode acessar um recurso específico. ( ) Isolamento é requisito que separa parte dos requisitos para proteger esses dados de acessos indevidos. Marque a opção a seguir que representa a resposta correta sobre as afirmações. A. V – V – V – F – F. B. V – F – V – F – V. C. F – V – F – V – F. ✔D. F – V – V – V – F. E. F – V – V – F – F. Particularidade e isolamento não são requisitos de segurança. A confidencialidade garante que a troca de informação esteja protegida de bisbilhoteiros. A integridade garante que a mensagem não será modificada. Autorização é o processo que decide quando uma entidade com determinada identidade pode acessar um recurso específico. O Kerberos é um protocolo de autenticação para ambientes abertos e distribuídos em que os usuários acessam serviços disponibilizados de forma segura por servidores distribuídos pela rede. Marque a opção que contém um servidor centralizado responsável pela autenticação dos usuários como componente. A. Key Distribution Server. B. Key Distribution Ticket. ✔C. Key Distribution Center. D. Ticket Granting Ticket. E. Ticket Granting Server. O servidor centralizado responsável pela autenticação dos usuários é o servidor de autenticação, ou AS, que é um componente do Key Distribution Center, ou KDC. O Ticket Granting Ticket, ou TGT, é a credencial concedida ao usuário pela AS. O Ticket Granting Server, ou TGS, é um servidor inserido para evitar que a senha seja extraviada. Key DistributionServer e Key Distribution Ticket não existem. A tecnologia de criptografia fornece uma base para a proteção de mensagens trocadas pela Internet e os dados armazenados nas bases de dados. Marque a opção que representa uma das duas categorias de criptografia que exige a utilização de uma única chave para criptografar e descriptografar uma mensagem. A. Criptografia regular. B. Criptografia proporcional. C. Criptografia assimétrica. D. Criptografia equivalente. ✔E. Criptografia simétrica. A criptografia que exige a utilização da mesma chave tanto para o processo de criptografia de um dado ou mensagem quanto para o processo de descriptografia é a criptografia simétrica. O segundo tipo de criptografia é a criptografia assimétrica, em que o processo de criptografia acontece por uma chave pública, e o processo de descriptografia, por uma chave privada. As criptografias regular, proporcional e equivalente não são categorias de criptografia existentes. Os webservices apresentam diversos riscos que devem ser mitigados pelos desenvolvedores e profissionais de segurança. Marque a opção que representa o ataque que compromete o acesso ao serviço por meio da sobrecarga da aplicação por solicitações com grandes volumes de dados ou excesso de solicitações, causando indisponibilidade do serviço. ✔A. Ataque de negação de serviço. B. Injeção de código SQL. C. Ataque de bisbilhoteiros. D. Sequestro de sessão. E. Tratamento inadequado de erros. O ataque que causa sobrecarga da aplicação devido às solicitações com grandes volumes, que pode causar indisponibilidade do serviço, é o ataque de negação de serviço. A injeção de SQL acontece quando um usuário mal-intencionado consegue inserir código de manipulação de banco de dados em uma mensagem SOAP. O ataque de bisbilhoteiros acontece quando hackers acessam os dados de servidores para capturar senhas e dados de cartão de crédito. O sequestro de sessão é o ataque no qual os hackers passam a ter controle do estado de sessão de um usuário, com possibilidades de realizar atividades indesejadas. Já o tratamento inadequado dos erros acontece quando um servidor apresenta uma mensagem de erro de consulta ao banco para o usuário, de forma que as vulnerabilidades de segurança fiquem expostas para possíveis usuários mal-intencionados. O WS-Security, WSS, é uma expansão do SOAP para adicionar segurança em webservices que deve ser utilizada junto com outros protocolos específicos. Marque a opção que representa o protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre os computadores de origem e destino. A. SAML. ✔B. SSL. C. XACML. D. XML. E. HTTP. O protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre as partes é o SSL, acrônimo para Secure Socket Layer. O XML é uma linguagem de marcação que pode ser usada como base para os protocolos de segurança. O SAML é um protocolo para declaração de informações de autenticação e autorização. O XACML é o protocolo criado para declarar as regras de controle de acesso em formato XML. O HTTP é um protocolo de comunicação de sistemas de informação. Os ativos de informação são considerados os meios que a empresa utiliza para armazenar, processar e transmitir as informações, incluindo a própria informação. Assinale a alternativa que contém apenas ativos de informação. A. Documentos de sistemas, ferramentas de sistemas e mobiliário. B. Aplicação, computadores, banco de dados, material de escritório (novo e em uso). C. Computação, equipamentos de comunicação, nome fantasia e CNPJ da empresa. ✔D. Banco de dados, documentação de sistemas, planos de continuidade, informações arquivadas etc. E. Sistemas operacionais, sala-cofre, acomodações etc. Ativos da informação são tudo aquilo que armazena o todo ou parte da informação. Desta forma, apenas equipamentos ou ferramentas que contêm informações são considerados ativos. Banco de dados, documentação de sistemas, planos de continuidade, informações arquivadas são exemplos de ativos; já materiais de escritório ainda não utilizados, mobiliário, acomodações da empresa não são ativos de informação. A informação deve ser protegida por todo o seu ciclo de vida, pois ela passa por transformações durante este período. Assim, informações que eram confidenciais na concepção de um projeto, com o término deste, podem ser patenteadas tornando-se, assim, informações públicas. Desse modo, o ciclo de vida das informações é dividido em quatro etapas. Sobre as quatro etapas do ciclo de vida da informação, assinale a alternativa correta. ✔A. Manuseio, armazenamento, transporte, descarte. B. Manuseio, armazenamento, transporte, descarga. C. Criação, alteração, manutenção e exibição. D. Descarte, manutenção, transporte, armazenamento. E. Manuseio, armazenamento, descarte, criação. As etapas do ciclo de vida da informação são: manuseio, armazenamento, transporte e descarte. Manuseio: trata-se do momento da criação e da manipulação da informação. Armazenamento: trata-se do armazenamento da informação. Transporte: momento em que a informação é transportada. Descarte: ato de descartar a informação quando esta deixa de ser relevante. As empresas classificam as informações conforme suas necessidades e prioridades. Assinale a alternativa que contém a classificação correta das informações. A. Pública, privada, secreta, interna. ✔B. Pública, interna, confidencial, secreta. C. Externa, interna, pública, confidencial. D. Interna, secreta, pública, privada. E. Confidencial, pública, secreta, externa. A classificação da informação de acordo com necessidades e prioridades é dividida em: pública, interna, confidencial e secreta. Pública – informação que pode ser pública sem danos à empresa. Interna – informação interna, porém não causa grandes danos ao se tornar pública. Confidencial – informação que, caso torne-se pública, causaria grandes danos à empresa. Secreta – esta informação é crítica para empresa, deve ser preservada e deve ser investido nela o maior esforço possível para sua segurança. A Segurança de Informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno de investimentos e as oportunidades de negócio. A Segurança da Informação é composta por três conceitos básicos. Assinale a alternativa que indica corretamente esses 3 conceitos básicos. A. Disponibilidade, integração e confidencialidade. B. Integridade, disponibilidade e confiança. ✔C. Confidencialidade, integridade e disponibilidade. D. Confiabilidade, disponibilidade e integridade. E. Segurança, integridade e confidencialidade. Os conceitos básicos da Segurança da Informação são: confidencialidade, integridade e disponibilidade. Confidencialidade: diz respeito à segurança de acesso aos dados, de forma que dados sigilosos sejam mantidos em sigilo. Integridade: diz respeito à não violação de dados. Disponibilidade: diz respeito ao tempo que o sistema e os dados ficam disponíveis. As informações são classificadas de acordo com o nível de privacidade. Isso é importante pois evita que pessoas não autorizadas acessem as informações. De acordo com essa classificação, considere as afirmativas a seguir: I – A informação, quando acessada de forma indevida, não causa tantos danos. II – A informação deve ser tratada com maior esforço possível, por ser vital para empresa, levando ao seu fechamento. III – A informação, quando acessada de forma indevida, pode acarretar prejuízos para empresa, porém não a ponto de causar o seu fechamento. Assinale a alternativa que corresponda ao tipo de nível de privacidade: ✔A. I – Interna, II – Secreta, III – Confidencial B. I – Interna, II – Confidencial, III – Secreta. C. I – Pública, II – Interna, III – Confidencial. D. I – Interna, II – Pública, III
Compartilhar