Segurança da Informação - AV01

Prévia do material em texto

1. Pergunta 1
0,5/0,5
Leia o trecho a seguir:
“(O Honeypot) é uma metedologia interessante a ser implementada, quando precisamos de um nível de proteção maior em uma rede de grande porte. Além do que, como os crackers normalmente buscam a forma mais fácil de acesso, serão facilmente ‘enganados’ pela armadilha [...].”
Fonte: ASSUNÇÃO, M. Honeypots e Honeynets. 1 ed. Belo Horizonte: Marcos Flávio de Araújo Assunção, 2009, p. 5.
Com base no trecho apresentado e no conteúdo relacionado à privacidade e anonimato, é correto afirmar que o conceito de armadilha digital através de um “pote de mel” em uma rede tem como principal objetivo:
Ocultar opções de resposta 
1. 
Servir como segregador de uma rede menos protegida (Internet) de uma rede mais protegida (rede interna).
2. 
Atuar como um proxy em uma DMZ.
3. 
Correta: 
Enganar um intruso, levando-o a crer que está acessando o ambiente real durante uma invasão.
Resposta correta
4. 
Atuar como um firewall de aplicação em conjunto com um IDS ativo.
5. 
Proteger as conexões TCP/IP que chegam em um roteador, através de conceitos de obscuridade.
2. Pergunta 2
0,5/0,5
Leia o trecho a seguir:
“Considerando o atual ambiente de negócios [...], as mudanças requeridas às organizações são comumente induzidas por forças, tais como expectativas de clientes, desenvolvimento de novos produtos, busca por eficácia e eficiência. A gestão de riscos auxilia o gerente de projetos a decidir como tratar os riscos, o que envolve escolher entre táticas para evitar os riscos, transferir os riscos por meio de seguros ou contratos, realizar seu controle ou ainda assumi-los.”
Fonte: NAPOLITANO, D. M. R.; JUNIOR, R. R. O processo de identificação de riscos e sua influência nas decisões em projetos. Revista Gestão & Tecnologia, Pedro Leopoldo, p. 23. set/dez. 2015.
Considerando essas informações e o conteúdo estudado sobre identificação de ameaças, analise as etapas e ordene-as a seguir, de acordo com a sequência que ocorrem durante o gerenciamento de riscos da segurança da informação.
( ) Identificação
( ) Contingência
( ) Avaliação
( ) Respostas
Agora, assinale a alternativa que apresenta a sequência correta:
Ocultar opções de resposta 
1. 
2, 4, 1, 3.
2. 
Correta: 
1, 4, 2, 3.
Resposta correta
3. 
2, 1, 3, 4.
4. 
3, 2, 1, 4.
5. 
4, 1, 3, 2.
3. Pergunta 3
0/0,5
Leia o trecho a seguir:
“A participação dos empregados em redes sociais durante seu horário de trabalho pode não só reduzir o seu tempo de trabalho produtivo, mas também pode complicar rapidamente e significativamente a segurança corporativa da empresa.”
Fonte: MIRANDA, J.; QUELHAS, O.; FRANÇA, S. A segurança da informação empresarial: o caso da utilização de redes sociais por empregados. Disponível em: <http://www.inovarse.org/sites/default/files/T_15_251_3.pdf>. Acesso em: 05 ago. 2019.
Existem casos de vazamento de dados ou roubo de informações dos usuários da internet. É por essa e outras razões que as empresas se preocupam tanto com a disponibilização de dados nos perfis sociais da Internet. Considerando o texto apresentado e o conteúdo estudado, analise as asserções a seguir e a relação proposta entre elas.
I. As empresas podem criar perfis comerciais nas plataformas das redes sociais, como Facebook, por exemplo. Mas essa estratégia pode não ser tão segura.
Porque:
II. Os hackers estão sempre de plantão, vasculhando a internet atrás de vulnerabilidades deixadas por empresas que utilizam as redes sociais, através de informações relevantes que, posteriormente, podem ser usadas através da engenharia social para infiltração de algum invasor suspeito na empresa.
A seguir, assinale a alternativa correta:
Ocultar opções de resposta 
1. 
As asserções I e II são proposições falsas.
2. 
Incorreta: 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa correta da I.
3. 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
4. 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
5. 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I.
Resposta correta
4. Pergunta 4
0,5/0,5
Leia o trecho a seguir:
“No mundo cibernético de hoje, é mais provável encontrar um endereço IP ilegítimo do que um real. Portanto, o IP que aparece em seu log pode ser o que nos referimos como endereço IP ‘laranja’ – quase impossível de localizar.”
Fonte: MCCLURE, S.; SCAMBRAY, J.; KURTZ, G. Hackers Expostos – Segredos e Soluções para a Segurança de Redes. 7 ed. Porto Alegre: Bookman, 2014.
Com a análise do trecho apresentado, aliado ao conteúdo sobre privacidade e anonimato, é correto afirmar que um dos mecanismos que podem ser utilizados para garantir o anonimato na navegação pela internet é:
Ocultar opções de resposta 
1. 
A navegação via criptografia.
2. 
O navegador Blowfish.
3. 
A navegação via honeypot.
4. 
A navegação via DMZ.
5. 
Correta: 
O navegador Tor.
Resposta correta
5. Pergunta 5
0,5/0,5
Leia o trecho a seguir:
"Atualmente as ameaças e os ataques estão muito poderosos, trazendo inúmeros malefícios para as empresas, como perdas sigilosas de informações e também perdas financeiramente consideráveis. "As ameaças podem ser classificadas como acidentais ou intencionais, podendo ambas serem ativas ou passivas. Ameaças acidentais são as que não estão associadas à intenção premeditada. As ameaças intencionais variam desde a observação de dados com ferramentas simples de monitoramento de redes, a ataques sofisticados baseados no conhecimento do funcionamento do sistema"."
Fonte: JUSTI, R. M; MENDES, L. A. M. Segurança da informação nas redes corporativas. Universidade Presidente Antônio Carlos, Barbacena: UNIPAC, 2016, p.10.
Considerando essas informações e o conteúdo estudado sobre tipos de ataques, pode-se afirmar que os códigos maliciosos fazem parte de um cenário de grande ameaça, porque:
Ocultar opções de resposta 
1. 
os códigos maliciosos são inofensivos aos sistemas que são executados na Internet, já que possuem arquivos salvos em discos físicos locais.
2. 
os hackers atacam empresas que possuem sistemas antivírus atualizados, sendo assim, aumenta as chances de conseguir invadir o ambiente de rede corporativo.
3. 
as ameaças via hackers são preocupantes para grandes empresas multinacionais e bancos, pois o foco está no roubo de dados financeiros e transações monetárias.
4. 
Correta: 
são programados por hackers para danificar, espionar, deletar ou até roubar dados, a fim de conseguir algum tipo de crédito pelo ataque realizado ou por simples vaidade.
Resposta correta
5. 
os vírus de computador, uma vez implantados no sistema operacional, é difícil de ser removido, sendo obrigatória a reinstalação do sistema.
6. Pergunta 6
0,5/0,5
Leia o trecho a seguir:
“Algumas companhias que já possuem infraestruturas de TI adequadas e atualizadas precisarão apenas de um apoio nos ajustes necessários na direção de uma maior segurança em seus parques de TI. Outras necessitarão de uma ajuda ampliada para avaliar quais são os riscos, quais os pontos mais sensíveis a uma provável invasão e como se encontram seus sistemas de segurança da informação. E a resposta para isso pode estar nas soluções em Cloud, nas estruturas híbridas ou on premise. O mais importante é realizar uma análise e diagnóstico de toda rede, data center e das soluções em nuvem e ver o que se encaixa e o que o falta para ter uma proteção, que eu chamaria de 360 graus.”
Fonte: KRAVASKI, S. Artigos. Ecommercebrasil. 2019. Disponível em: < https://www.ecommercebrasil.com.br/artigos/seguranca-da-informacao-so-altos-investimentos-garantem-a-protecao/>. Acesso em: 08 jul. 2019.
Considerando essas informações e o conteúdo estudado sobre a proteção das informações, pode-se afirmar que as empresas precisam investir na proteção de seus ativos, porque:
Ocultar opções de resposta 
1. 
a inteligência artificial pode ser um desafio para as empresas que buscam novas soluções de segurança física para os seus dados internos.
2. 
a segurança da informação necessita, primeiramente, que se ajuste as atitudes dos colaboradorespara, depois, implementar recursos físicos no ambiente de trabalho.
3. 
Correta: 
a tecnologia presente nos produtos de segurança física e lógica para empresas está focada em garantir a integridade das informações para os usuários e sistemas.
Resposta correta
4. 
trata de implementar soluções práticas no dia a dia, como usar óculos escuros especiais para confundir as pessoas externas da empresa, por exemplo.
5. 
a busca por medidas corretivas é mais garantida do que as soluções preventivas existentes atualmente.
7. Pergunta 7
0,5/0,5
Leia o trecho a seguir:
“Golpes de comércio eletrônico são aqueles nos quais golpistas, com o objetivo de obter vantagens financeiras, exploram a relação de confiança existente entre as partes envolvidas em uma transação comercial [...] o golpista cria um site fraudulento, com o objetivo específico de enganar os possíveis clientes que, após efetuarem os pagamentos, não recebem as mercadorias.”
Fonte: Golpes na Internet (Cartilha de Segurança da Internet). Cert.br. Disponível em: <https://cartilha.cert.br/golpes/>. Acesso em: 09/08/2019.
De acordo com o trecho apresentado e com o conteúdo relacionado à segurança da informação, pode-se afirmar que a técnica de criação de um site fraudulento para burlar a segurança de um site de comércio eletrônico é denominada:
Ocultar opções de resposta 
1. 
Malware.
2. 
Site indevido.
3. 
Correta: 
Phishing.
Resposta correta
4. 
Proxy Tor.
5. 
Spam.
8. Pergunta 8
0,5/0,5
Leia o trecho a seguir:
“Tipicamente, um sistema de detecção de intrusão é o programa que vai ser utilizado como ‘retaguarda’. Após todo o resto ter falhado, é ele que vai conseguir detectar alguma possível brecha que alguém possa ter utilizado para tentar um ataque.”
Fonte: ASSUNÇÃO, M. Honeypots e Honeynets. 1 ed. Belo Horizonte: Marcos Flávio de Araújo Assunção, 2009, p. 7.
Após a leitura do texto citado e de acordo com os conhecimentos adquiridos com relação à criptografia, é correto afirmar que uma classificação dos tipos de IDS por método de análise é àquela:
Ocultar opções de resposta 
1. 
por IDS de Rede (NIDS), analisando as assinaturas dos pacotes por uso indevido dos pacotes TCP/IP.
2. 
Por resposta reativa, no qual o método de análise foca em um modelo de padrão entre os sistemas envolvidos de forma distribuída.
3. 
Por uso de protocolo, onde os protocolos TCP/IP são analisados de forma ativa pela detecção em um Host IDS.
4. 
Correta: 
Por uso indevido, no qual o método de análise é com base em um comportamento diferente do padrão de uma atividade normal do sistema.
Resposta correta
5. 
Por resposta passiva, no qual o método de análise é baseado em uma atividade que foge do padrão analisado do sistema.
9. Pergunta 9
0,5/0,5
Leia o trecho a seguir:
“[...] Os controles de acesso restringem os indivíduos não autorizados de usarem recursos de informação [...] Autenticação determina a identidade da pessoa pedindo acesso. Ao contrário, a autorização determina quais ações, direitos ou privilégios a pessoa tem com base na identidade verificada.”
Fonte: RAINER, R.; CEGIELSKY, C. Introdução a Sistemas de Informação – Apoiando e Transformando Negócios na Era de Mobilidade: 1 ed. Elsevier: Rio de Janeiro, 2011, p. 56.
Com a análise do trecho acima, aliado ao conteúdo estudado sobre criptografia e certificados digitais, é correto afirmar que um tipo de autorização que pode ser definido em um sistema é:
Ocultar opções de resposta 
1. 
o DAC, através do fator conhecimento, utilizando login e senha.
2. 
o RBAC, utilizado em ambiente com um proprietário pré-definido para o objeto em que se dará a permissão.
3. 
o MAC, utilizado através de dispositivos do tipo smart cards.
4. 
o DAC, através do fator propriedade, utilizando login e senha.
5. 
Correta: 
o MAC, utilizado em ambientes com dados com alto nível de criticidade ou sensibilidade.
Resposta correta
10. Pergunta 10
0,5/0,5
Leia o trecho a seguir:
“Quando o assunto se refere aos riscos associados à Computação em Nuvem – modelo de entrega de soluções e sistemas hospedados em fornecedores terceiros - a conversa geralmente envereda por questões relacionadas à privacidade e segurança das informações residentes na nuvem. Apesar dessas preocupações, o debate sobre os riscos na nuvem, muitas vezes, ignora a importância de criar planos de contingência e Acordo de Níveis de Serviço (ANS) (em inglês SLA – Service Level Agreement), voltados a garantir confiabilidade e a certeza de que os negócios não sofrerão grandes baques no caso de um incidente.”
Fonte: CASTRO, R.; SOUZA, V. Segurança em Cloud Computing: Governança e Gerenciamento de Riscos de Segurança. 2018. Disponível em: <https://cic.unb.br/~alchieri/disciplinas/posgraduacao/agi/g5/seguranca.pdf>. Acesso em: 09 jul. 2019.
A segurança da informação nas organizações está em níveis cada vez mais críticos, devido aos altos índices de ameaças envolvendo ataques cibernéticos ou invasões de pessoas não autorizadas nos ambientes internos. Considerando essas informações e o conteúdo estudado, analise as afirmativas a seguir:
I. As empresas que procuram uma norma oficial para implementar soluções de segurança da informação no seu ambiente corporativo podem ter auxílio com base na ISO 27000, que trata do gerenciamento de acesso.
II. No que diz respeito à segurança física, o uso de passagens eletrônicas com acionamento via bluetooth, não contribui para reduzir o número de incidentes sobre pessoas desconhecidas adentrarem nas empresas.
III. A gestão do controle de acesso deve ser atribuída a uma empresa terceirizada que não conheça a cultura da empresa, para dificultar o fluxo de entrada e saída, e barrar pessoas não autorizadas.
IV. Existe uma norma internacional que utiliza uma regra segundo a qual tudo deve ser proibido ao menos que seja expressamente permitido, demonstrando que o ambiente corporativo deve respeitar e zelar pela privacidade e integridade das informações, sem privilégios de cargos ou determinações impostas sem critérios.
Está correto apenas o que se afirma em:
Ocultar opções de resposta 
1. 
III e IV.
2. 
I e II.
3. 
I, II e III.
4. 
Correta: 
I e IV.
Resposta correta
5. 
I, III e IV.