Baixe o app para aproveitar ainda mais
Prévia do material em texto
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Lupa DGT0288_202307086631_TEMAS Prezado (a) Aluno(a), Você fará agora seu EXERCÍCIO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha. Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS. PRINCÍPIOS DA SEGURANÇA E O CICLO DE VIDA DA INFORMAÇÃO 1. A informação é estruturação e organização dos dados. Assim, os dados constituem a matéria prima da informação. Dentro dos aspectos da segurança da informação que exigem atenção são: confidencialidade, integridade e disponibilidade. A respeito da: I - Na confidencialidade, as informações serão acessadas por quem tiver a devida autorização. II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada pelo emissor III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados para tal fim. Podemos considerar como corretas: I, II, III. II e III. III apenas. I e III. I apenas. Data Resp.: 30/10/2023 14:12:42 Explicação: A resposta correta é: I e III. Na integridade, a informação que chega ao receptor é a que foi enviada pelo emissor. Ou seja, não houve modificação no envio da informação. 2. Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra entidade D (destinatário) utilizando a internet. Para se comunicarem, R e D utilizam criptografia de chave pública. R+ e R são as chaves pública e privada de R, respectivamente, e D+ e D- são as chaves pública e privada de D, respectivamente. A partir dessa situação, avalie o que se afirma. I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m. II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m. III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m. IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m. Está correto apenas o que se afirma em: I e IV. II e IV. I e III. III e IV. II e III. Data Resp.: 30/10/2023 14:13:12 Explicação: A resposta correta é: I e III. NORMAS DE SEGURANÇA DA INFORMAÇÃO 3. Dentre as opções a seguir, qual Norma Técnica apresenta um código de prática para a gestão da segurança da informação? ABNT NBR ISO 9001:2008 ABNT NBR ISO/IEC 20000-1:2011 ABNT NBR ISO 14001:2004 ABNT NBR ISO/IEC 27001:2013 ABNT NBR ISO/IEC 27002:2013 Data Resp.: 30/10/2023 14:13:56 Explicação: A resposta correta é: ABNT NBR ISO/IEC 27002:2013 AMEAÇAS E VULNERABILIDADES À SEGURANÇA DE INFORMAÇÃO 4. (FEPESE/2017) Identifique abaixo as afirmativas verdadeiras ( V ) e as falsas ( F ) sobre Negação de Serviço (DoS e DDoS): ( ) Negação de serviço, ou DoS (Denial of Service) é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. ( ) Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service). ( ) O principal objetivo dos ataques de Negação de Serviço (DoS e DDoS) é invadir e coletar informações do alvo. ( ) Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem o conhecimento de seu dono, por estar infectado e fazendo parte de botnets. Assinale a alternativa que indica a sequência correta, de cima para baixo. V F F F F V V F V F F V V V F V F F V F Data Resp.: 30/10/2023 14:14:33 Explicação: Podemos assumir que o principal objetivo dos ataques de Negação de Serviço (DoS e DDoS) é paralisar as operações do alvo. 5. (FCC/2012 - Adaptada) Códigos maliciosos (malwares) são programas que objetivam executar ações danosas e atividades maliciosas em um computador. Neste contexto encontram-se bots e botnets, sobre os quais é correto afirmar: Botnet é um software malicioso de monitoramento de rede que tem a função de furtar dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma grande carga de dados direcionados ao servidor da rede. Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos, coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se propagar automaticamente. Um computador infectado por um bot costuma ser chamado de attack base, pois serve de base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de spam host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque. Data Resp.: 30/10/2023 14:15:10 Explicação: Botnets, também conhecido como rede zumbi, é um conjunto de equipamentos que sofreu um ataque, resultando no controle do equipamento pelo hacker. Através de botnets é possível fazer ataques de negação de serviço, envios de e-mails em massa e vários outros. NORMAS DE SEGURANÇA DA INFORMAÇÃO 6. A tríade CID é uma forma simplificada de representar os múltiplos objetivos da segurança da informação. O que a tríade CID, que o SGSI busca preservar, representa? Computação, Internet, Dados. Certificação, Inovação, Desenvolvimento. Complacência, Integridade, Durabilidade. Consistência, Implementação, Durabilidade. Confidencialidade, Integridade, Disponibilidade. Data Resp.: 30/10/2023 14:16:37 Explicação: A tríade CID é um modelo de segurança da informação que visa preservar a confidencialidade, integridade e disponibilidade das informações. BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO 7. (TRE-TO/2006 - Adaptada) Entre as medidas técnicas utilizadas no processo de proteção de dados, estão o uso de criptografia para garantir a confidencialidade das informações, o controle de acesso para limitar quem pode acessar os dados e em que condições, e a realização de backups regulares para garantir a disponibilidade dos dados em caso de falhas ou desastres. Nesse sentido, assinale a opção correta a respeito de criptografia. A criptografia assimétrica provê sigilo, integridade, autenticidade e não-repúdio dos dados cifrados. Um dos pontos fortes dos sistemas de criptografia simétrica é a facilidade da distribuição da chave aos seus usuários. A criptografia simétrica provê sigilo, integridade e autenticidade dos dados cifrados. Na criptografia assimétrica, são utilizadas duas chaves, uma pública e uma privada, sendo uma especificamente utilizada para cifrar e a outra, para decifrar. Na criptografia assimétrica, é utilizada uma única chave para cifração e decifração. Data Resp.: 30/10/2023 14:17:26 Explicação: A criptografia simétrica não provê autenticidade. A criptografia assimétrica utiliza duas chaves, umapública e uma privada. Como a criptografia simétrica utiliza apenas uma chave para criptografar/descriptografar, a mensagem será comprometida caso o invasor consiga capturar tal chave. Para garantir a segurança de divulgação da chave secreta, utiliza-se a criptografia assimétrica em conjunto. Dessa forma, é notória a dificuldade de distribuição da chave simétrica. 8. Segurança da informação é um conjunto de práticas e medidas destinadas a proteger a confidencialidade, integridade e disponibilidade de informações. Qual das opções abaixo é considerada uma boa prática de segurança? Desabilitar o firewall do sistema operacional. Sempre utilizar antivírus desatualizados. Nunca compartilhar senhas. Nunca baixar programas de fornecedores oficiais. Sempre abrir links ou fazer download de arquivos enviados por e-mails não confiáveis ou de remetentes desconhecidos. Data Resp.: 30/10/2023 14:18:05 Explicação: O compartilhamento de senhas é uma prática arriscada e pode comprometer a segurança da informação, já que uma vez que a senha é compartilhada, a pessoa que a recebe pode ter acesso a informações confidenciais. Portanto, manter senhas seguras e não compartilhá-las é uma boa prática para proteger a confidencialidade das informações. GESTÃO DE CONTINUIDADE DO NEGÓCIO 9. Os quatro pilares fundamentais que sustentam o negócio de uma organização são elementos essenciais que formam a base para a sua existência e operação eficaz. Eles desempenham um papel fundamental na estruturação de todas as demais áreas da organização. Quais são os quatro pilares fundamentais que sustentam o negócio de uma organização? Marketing, Vendas, Pesquisa e Desenvolvimento. Pessoas, Processos, Tecnologia e Recursos. Missão, Visão, Valores e Estratégia. Qualidade, Eficiência, Sustentabilidade e Inovação. Economia, Tecnologia, Política e Cultura. Data Resp.: 30/10/2023 14:18:28 Explicação: Os quatro pilares fundamentais que sustentam o negócio de uma organização são Pessoas, Processos, Tecnologia e Recursos. GESTÃO DE RISCO 10. Um membro da comissão de segurança precisa saber informações sobre cada um dos processos da GR. Ele consultará uma dentre as normas da família ISO/IEC 27000, que definem uma série de normas relacionadas à segurança da informação. Ele precisa obter a norma: ISO/IEC 27002 ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27005 ISO/IEC 31000 Data Resp.: 30/10/2023 14:18:57 Explicação: A resposta correta é: ISO/IEC 27005
Compartilhar