Apol 2 Segurança em Sistemas de Informação NOTA 100

Prévia do material em texto

APOL 2 – SEGURANÇA EM SISTEMAS DE INFORMAÇÃO
1- A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que 
suporta a informação em si, quer sejam os computadores e os componentes das redes de 
computadores, e determinadas funções destes dispositivos acabam mesclando-se. Entretanto alguns 
dispositivos desta infraestrutura têm funções claramente definidas, como os proxies, os firewalls e 
os detectores de intrusão.
Avalie as afirmativas a seguir, referentes a estes dispositivos.
I – Softwares antivírus podem incluir um conjunto de funcionalidades como personal firewall, 
combate ao spam, ao keylogging e ao pishing, entre outras.
II - A tradução de endereços, principal função de um Proxy, é uma medida de segurança que impede 
a identificação de endereços da rede interna aos elementos da rede externa.
III - Os tipos de firewalls mais empregados podem ser classificados em filtros de pacotes, stateful 
inspection e application proxy gateway.
IV – Proxies, Firewalls e IDSs são geralmente instalados em pontos críticos das redes – fronteiras 
ou bordas, resultando em gargalos de comunicação.
Assinale a única alternativa que confere com o conteúdo que foi apresentado:
A - Somente as afirmações I, II e III são corretas.
B - Somente as afirmações I, II e IV são corretas.
C - Somente as afirmações I, III e IV são corretas.
D - Somente as afirmações II, III e IV são corretas.
E - Todas as afirmações são corretas.
2- A segurança na rede começa com o processo de identificação e autorização, que provê o 
controle de acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja 
submetido à um serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser 
concedido. Uma vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá 
prover o acesso e o controle aos recursos requisitados e devidamente concedidos.
Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com 
esse intuito.
Resp: letra C – O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação 
segura na internet que inclui a autenticação e identificação do requisitante e a criptografia do 
tráfego.
3- A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente de 
grande valor. Na era da informação na qual vivemos, o volume de informação que produzimos, 
manipulamos e armazenamos é muito elevado, dada a facilidade de fazê-lo através dos meios 
eletrônicos. Embora a informação possa manifestar-se em diversos meios – impressa ou eletrônica, 
analógica ou digital, etc., é no modelo digital e eletrônico que tem seu expoente em termos de 
volume, flexibilidade e facilidade de uso e acesso. Nesse contexto essa mesma informação está 
continuamente exposta a riscos de segurança, os quais atentam contra as suas características 
básicas: a confidencialidade, a integridade e a disponibilidade da informação. Estes riscos, quando 
concretizados, resultam no que se denomina incidente de segurança.
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada uma como 
(F)alsa ou (V)erdadeira:
( ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas 
interfaces estão sujeitos a falhas, erros e faltas.
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, 
geralmente referenciados genericamente como malwares.
( ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que interferem no 
hardware, tais como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de 
temperatura de operação, e portanto não podem ser consideradas como vulnerabilidades.
( ) Algumas características de dispositivos e ambientes computacionais eliminam as 
vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de personalização, a 
conectividade, a convergência de tecnologias e capacidades reduzidas de armazenamento e 
processamento de informações.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com 
o conteúdo apresentado no material e em aula:
Resp E – V, V, F, F
4- Marcos regulatórios são leis e acordos internacionais que governam e servem de base 
para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também 
implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de 
tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos 
pilares da segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei 
voltada para a gestão financeira, transparência e publicidade dos dados contábeis.É consequência 
de prejuízos causados a investidores por meio de fraudes contábeis, resultando em impacto na 
segurança da informação e dos sistemas por todo o mundo.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de 
usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das 
informações dos usuários desse segmento.
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios 
Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board 
ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e 
publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, 
seguradoras e agentes do mercado financeiro.
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos 
centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com 
impacto direto na segurança da informação e de sistemas.
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
Resp E – todas corretas
5- Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou 
grande parte delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por 
anos a fio no decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a 
black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada 
quando o universo de possibilidades é difícil de se dimensionar 
 ( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso 
de aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são convergentes, embora 
possam ser aplicados em diferentes níveis ou estágios da proteção. 
( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que 
reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos. 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as 
Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula: ernativa 
que classifica corretamente (com F para as Falsas e V para as Verdadeiras) as afirmativas, de acordo 
com o conteúdo apresentadono material e em aula:
A - V-F-F-F
B - F-V-V-F
C - F-F-V-V
D - F-V-V-V
E - V-V-V-F