AOL_2 - Segurança e Auditoria de Sistemas

Prévia do material em texto

Módulo D - 185223 . 7 - Segurança e Auditoria de Sistemas - D.20232.D 
 
Conteúdo do exercício 
1. Pergunta 1 
Associação Brasileira de Normas técnicas, em conjunto com o Instituto ISO 
internacional tem a finalidade estudar, padronizar e implantar as normas. As normas 
que direcionam a segurança da informação estão nas normas NBR ISO/IEC 27001 e 
NBR ISO/IEC 27002. Um Sistema de Gestão de Segurança da Informação (SGSI) deve se 
basear nas normativas para ter a abrangência e efetividade. Para uma implantação 
bem-sucedida analise a lista abaixo: 
I- As normas asseguram sucesso na implantação da segurança da informação; 
II- A segurança da informação poderá ou deverá ter atribuições definidas; 
III- o risco não é prioridade principal para a segurança da informação; 
IV- Segurança pode ser direcionada apenas para ambiente externo 
V- Detecção de qualquer nível de possibilidade na segurança da informação; 
VI- As normas asseguram um roteiro apropriado para a implantação de segurança da 
informação. 
Selecione a alternativa que abrange a efetividade para a implantação bem-sucedida de 
um SGSI. 
Ocultar opções de resposta 
1. I e VI. 
2. I. 
3. Correta: 
VI. 
Resposta correta 
4. II e III. 
5. IV e V. 
2. Pergunta 2 
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, 
podemos elencar algumas boas práticas de programação. Assinale a alternativa que 
contém algumas destas boas práticas: 
Ocultar opções de resposta 
1. Correta: 
Operar com menos privilégio, minimizar o uso de strings inseguras e funções 
de buffer, tratar entrada e saída de dados. 
Resposta correta 
2. Maximizar o uso de strings inseguras e funções de buffer, operar com menos 
privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. 
3. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída 
de dados. 
4. Operar com menos privilégio, utilizar concatenações de strings para cláusulas 
de SQL dinâmicas, evitar o uso de criptografia fraca. 
5. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de 
strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
3. Pergunta 3 
Sobre autenticação de fator múltiplo, analise as sentenças abaixo: 
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma 
senha. 
II O fator de herança inclui algo que o usuário possui, como um token. 
III O PIN é um fator de posse. 
IV A biometria é um fator de herança. 
Está correto o que consta em: 
Ocultar opções de resposta 
1. IV, somente. 
2. I, III e IV, somente. 
3. III e IV, somente. 
4. Correta: 
 I e IV, somente. 
Resposta correta 
5. I, somente. 
4. Pergunta 4 
Sobre tipos de backup é correto afirmar: 
Ocultar opções de resposta 
1. Os backups diferenciais são mais seguros que os backups incrementais. 
2. Os backups diferenciais realizam apenas backup dos dados que foram 
alterados desde a última tarefa de backup. 
3. Backup completo é a soma de um backup diferencial com um backup 
incremental. 
4. Os backups incrementais consistem em backups de todos os dados que foram 
alterados desde o último backup completo. 
5. Correta: 
Os backups incrementais realizam apenas backup dos dados que foram 
alterados desde a última tarefa de backup. 
Resposta correta 
5. Pergunta 5 
Quanto às categorias de malwares, analise as sentenças abaixo: 
I. Vírus é um programa que se autorreplica após alguma ação do usuário. 
II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário. 
III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade 
ao usuário. 
IV. Spyware é um malware que monitora o equipamento do usuário e efetua coleta de 
informações do mesmo. 
 Está correto o que consta em: 
Ocultar opções de resposta 
1. I,II,III,IV. 
2. I e II, apenas. 
3. I e IV, apenas. 
4. Correta: 
I,II e IV, apenas. 
Resposta correta 
5. IV, apenas. 
6. Pergunta 6 
Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a 
criptografia simétrica: 
Ocultar opções de resposta 
1. É o resultado de tamanho fixo, também chamado de síntese da mensagem, 
obtido pela aplicação de uma função matemática unidirecional a uma 
quantidade de dados arbitrária. 
2. É um método de criptografia no qual duas chaves diferentes são usadas: uma 
chave pública para criptografar dados e uma chave particular para 
descriptografá-los. 
3. É o processo de regravação de partes de um arquivo em setores contíguos de 
um disco rígido a fim de aumentar a segurança da informação. 
4. É um método de criptografia no qual duas chaves diferentes são usadas: uma 
chave particular para criptografar dados e uma chave pública para 
descriptografá-los. 
5. Correta: 
Usa um algoritmo de criptografia que requer que a mesma chave secreta seja 
usada na criptografia e na descriptografia. 
Resposta correta 
7. Pergunta 7 
Ocultar opções de resposta 
1. É um ataque onde são utilizadas senhas armazenadas em um dicionário. 
2. É um ataque que necessita alto poder de processamento, não sendo possível 
realiza-lo com um computador doméstico. 
3. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e 
caracteres especiais. 
4. É um ataque que consiste na tentativa de reverter um algoritmo de chave 
simétrico. 
5. Correta: 
Consiste de verificação sistemática de todas as possíveis chaves e senhas até 
que as corretas sejam encontradas. No pior dos casos, isto envolveria 
percorrer todo o espaço de busca. 
Resposta correta 
8. Pergunta 8 
COBIT significa direciona os objetivos de Controle para Tecnologia da Informação e 
Áreas Relacionadas”. O COBIT está baseado em controles, para uma governança de TI. 
Analise a lista abaixo: 
I- A área de TI elabora os controles de investimento; 
II- É responsável pela economia de investimentos; 
III-Padroniza normas de segurança; 
IV- Padroniza processos; 
Selecione a alternativa que define os princípios do COBIT: 
Ocultar opções de resposta 
1. II e III. 
2. I, II e IV. 
3. Correta: 
IV. 
Resposta correta 
4. III e IV. 
5. I, II. 
9. Pergunta 9 
A necessidade de desenvolver aplicações seguras é prioridade nas empresas. As 
normas ABNT relativas à segurança da informação são (ISO/IEC 15.408 e família 
ISO/IEC 27000). Para um ambiente seguro deve-se utilizar: 
I- Configuração estática; 
II- Suporte ao ciclo de vida; 
III- testes apenas nas situações críticas de segurança; 
IV- Analisar e avaliar as vulnerabilidades. 
Selecione a alternativa que define os principais aspectos de um ambiente seguro: 
Ocultar opções de resposta 
1. I, II, III e IV. 
2. I e II. 
3. Correta: 
II e IV. 
Resposta correta 
4. I, II e III. 
5. II e III. 
10. Pergunta 10 
Quanto à segurança no tratamento de mídias, é correto afirmar: 
Ocultar opções de resposta 
1. Quanto menor o nível de classificação da informação, maior deverá ser a 
garantia de que as informações não podem ser recuperadas após a eliminação. 
2. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas 
de formatação de baixo nível. 
3. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. 
4. Correta: 
 Sempre que uma mídia de armazenamento seja descartada, deve-se 
considerar o uso de procedimentos para assegurar a eliminação adequada da 
informação. 
Resposta correta 
5. Não existem normas que tratam do descarte de mídias de forma segura.