Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 - Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas. Com relação a esses referenciais, pode-se afirmar que: A O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades. B O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para identificar e classificar os riscos. C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação. D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. E As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação. 2 - A legislação brasileira aplicada à área de segurança da informação tem como base a Constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a aplicação de regulamentos legais ao uso da Internet. Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, foi aprovada em tempo recorde a seguinte legislação: A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica de documentos. B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico. C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua comercialização no país, etc. D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet. E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. 3 - Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por anos a fio no decorrer da história da humanidade. Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: ( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar ( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de aplicação do princípio do menor privilégio. ( ) Os princípios da diversidade da defesa e da defesa em profundidade são convergentes, embora possam ser aplicados em diferentes níveis ou estágios da proteção. ( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos. Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula: A V-F-F-F B F-V-V-F C F-F-V-V D F-V-V-V E V-V-V-F 4 - Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer a devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha (PASSWORD), porém para muitas operações críticas e o uso de informações sensíveis estes controles não são suficientes. Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta. A Controles biométricos, certificados digitais e assinaturas eletrônicas são substitutos típicos do conjunto identificação (ID) e senha (PASSWORD). B Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos agentes, devido à velocidade das aplicações. C A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e funcionalidades são requisitos dos controles de acesso e identidade. D O desempenho dos controles de acesso não é um aspecto crítico, desde que as aplicações e os computadores sejam velozes e estejam cada vez mais conectados. E O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações críticas, haja visto o vasto uso destes controles na maioria das aplicações sensíveis, como o home banking, por exemplo. 5 - A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como (F)alsa ou (V)erdadeira. ( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão. ( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou danosas à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes ambientes. ( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, log de acessos e tradução de endereços internos para externos (NAT). ( ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada como um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente desconhecido e inseguro. Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula: A V-F-F-V B F-V-V-F C F-F-V-V D F-V-V-V E V-V-V-F 1 – E; 2 – D; 3 – D; 4 – E; 5 - A
Compartilhar