pratica 1 segurança em sistemas de informação nota 70

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas.
Com relação a esses referenciais, pode-se afirmar que:
	
	A
	O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades.
	
	B
	O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para identificar e classificar os riscos.
	
	C
	O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação.
	
	D
	Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações.
	
	E
	As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação.
Questão 2/10 - Segurança em Sistemas de Informação
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetiva.
Considere as afirmações a seguir quanto à Política de Segurança da Informação:
(  ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável.
(  ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação.
(  ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita.
(  ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela segurança da informação da organização, levando em conta que a segurança da informação não é responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula:
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-V-V-V
	
	D
	V-V-V-F
	
	E
	F-F-V-V
Questão 3/10 - Segurança em Sistemas de Informação
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do perímetro de segurança da organização.
O processo de identificação precisa ser completado com a verificação, com base em:
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece.
II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática do solicitante.
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, alguma coisa que o solicitante possui no momento da autorização.
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação.
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
	
	A
	Somente as afirmações I e III são corretas.
	
	B
	Somente as afirmações II e IV são corretas.
	
	C
	Somente as afirmações III e IV são corretas.
	
	D
	Somente as afirmações I e IV são corretas.
	
	E
	Todas as afirmações são corretas.
Questão 4/10 - Segurança em Sistemas de Informação
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do perímetro de segurança da organização.
O processo de identificação precisa ser completado com a verificação, com base em:
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece.
II – Um token, cartão, chave física ou criptográfica, alguma coisa que o solicitante possui no momento da autorização.
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, que se refere à biometria estática do solicitante.
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação.
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
	
	A
	Somente as afirmações I e III são corretas.
	
	B
	Somente as afirmações II e IV são corretas.
	
	C
	Somente as afirmações III e IV são corretas.
	
	D
	Somente as afirmações I e IV são corretas.
	
	E
	Todas as afirmações são corretas.
Questão 5/10 - Segurança em Sistemas de Informação
A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente de grande valor. Na era da informação na qual vivemos, o volume de informação que produzimos, manipulamos e armazenamos é muito elevado, dada a facilidade de fazê-lo através dos meios eletrônicos. Embora a informação possa manifestar-se em diversos meios – impressa ou eletrônica, analógica ou digital, etc., é no modelo digital e eletrônico que tem seu expoente em termos de volume, flexibilidade e facilidade de uso e acesso. Nesse contexto essa mesma informação está continuamente exposta a riscos de segurança, os quais atentam contra as suas características básicas: a confidencialidade, a integridade e a disponibilidade da informação. Estes riscos, quando concretizados, resultam no que se denomina incidente de segurança.
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada uma como (F)alsa ou (V)erdadeira:
(  ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas interfaces estão sujeitos a falhas, erros e faltas.
(  ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, geralmente referenciados genericamente como malwares.
(  ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que interferem no hardware, tais como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de temperatura de operação, e portanto não podem ser consideradas como vulnerabilidades.
(  ) Algumas características de dispositivos e ambientes computacionais eliminam as vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de personalização, a conectividade, a convergência de tecnologias e capacidades reduzidas de armazenamento e processamento de informações.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula:
	
	A
	V-F-F-VB
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
	
	E
	V-V-F-F
Questão 6/10 - Segurança em Sistemas de Informação
Cada sistema computacional possui suas particularidades, quer seja em função de suas capacidades – processamento, memória, interfaces, autonomia – quer seja em função de sua constituição física ou mobilidade, e também da programação à qual é capaz de corresponder. E estas particularidades determinam e requerem proteção adequada. É possível classificar e separar os tipos de proteção necessária aos componentes do sistema computacional em grupos com características distintas.
Analise as afirmativas a seguir com base nesta abordagem:
I – A proteção contra intempéries e fenômenos naturais evita que haja falta de energia devido à interrupção do fornecimento por parte da rede elétrica.
II – Os controles de qualidade atuam sobre a disponibilidade da energia evitando a interrupção do fornecimento.
III – Os controles de acesso, criptografia e capacidade de tráfego são aplicados sobre as comunicações dos sistemas computacionais.
IV – Hardware e software requerem mecanismos de proteção distintos, embora estes possam trabalhar de forma conjunta ou interdependente.
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado nas aulas e com a sua análise:
	
	A
	Somente as afirmações I, II e III são corretas.
	
	B
	Somente as afirmações I, II e IV são corretas.
	
	C
	Somente as afirmações II, III e IV são corretas.
	
	D
	Somente a afirmação III é correta.
	
	E
	Somente as afirmações III e IV são corretas.
Questão 7/10 - Segurança em Sistemas de Informação
A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, bem, patrimônio – da organização, de grande importância e valor, e que por isso necessita de proteção adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos diversos meios utilizados para obter, armazenar, transportar e modificar a informação.
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação:
(  ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e imagens.
(  ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação.
(  ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o negócio da organização, necessitando, portanto, de proteção.
(  ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de todas essas informações.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina:
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-V-F-V
	
	D
	F-V-V-V
	
	E
	V-V-V-F
Questão 8/10 - Segurança em Sistemas de Informação
Os negócios feitos por meio da comunicação eletrônica e dos computadores, conhecido como e-commerce, não estão restritas à Internet, pois existem outras soluções como o uso de bancos e cartões, compras e negociações feitas por terminais e dispositivos de comunicação específicos, como tablets, celulares, totens e outros.
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as como (F)alsas ou (V)erdadeiras:
(  ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o não-repúdio é um aspecto de suma importância, pois evita que falsos compradores assumam outra identidade, comprando em nome de outros.
(  ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio dos sites de compra, venda e troca, e requer especial atenção ao aspecto de identidade dos participantes, uma vez que é difícil comprovar, por meio eletrônico, quem realmente está do “outro lado”.
(  ) O B2B – Business to Business, como as operações financeiras, de logística e suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já que trata especificamente de comunicação entre organizações confiáveis.
(  ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o comportamento humano é fator essencial para que as defesas e a proteção sejam efetivas.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula:
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-F-V
	
	E
	V-V-F-F
Questão 9/10 - Segurança em Sistemas de Informação
Cada sistema computacional possui suas particularidades, quer seja em função de suas capacidades – processamento, memória, interfaces, autonomia – quer seja em função de sua constituição física ou mobilidade, e também da programação à qual é capaz de corresponder. E estas particularidades determinam e requerem proteção adequada. É possível classificar e separar os tipos de proteção necessária aos componentes do sistema computacional em grupos com características distintas.
Sob este ponto de vista, analise as afirmativas a seguir, classificando-as como (F)alsas ou (V)erdadeiras:
(  ) A proteção contra intempéries e fenômenos naturais evita que haja falta de energia devido à interrupção do fornecimento por parte da rede elétrica.
(  ) Os controles de qualidade atuam sobre a disponibilidade da energia evitando a interrupção do fornecimento.
(  ) Os controles de acesso, criptografia e capacidade de tráfego são aplicados sobre as comunicações dos sistemas computacionais.
(  ) Hardware e software requerem mecanismos de proteção distintos, embora estes possam trabalhar de forma conjunta ou interdependente.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula:
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-V-V
	
	E
	V-V-F-F
Questão 10/10 - Segurança em Sistemas de Informação
Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer a devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha (PASSWORD), porém para muitas operações críticas e o uso de informações sensíveis estes controles não são suficientes.
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta.
	
	A
	Controles biométricos, certificados digitais e assinaturas eletrônicas são geralmente utilizados em conjunto com a identificação (ID) e senha (PASSWORD).
	
	B
	Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos agentes, devido à velocidade das aplicações.
	
	C
	A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e funcionalidades são atributos exclusivos dos sistemas operacionais, e isso dificulta a utilização de controles de acesso.
	
	D
	O desempenho dos controles de acesso é um aspecto bastante crítico, exigindo que as aplicações e os computadores sejam cada vez mais velozes e estejam cada vez menos conectados, restringindo, assim, o raio de ação desses controles.
	
	E
	O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações críticas, por isso são os controles mais utilizados na maioria das aplicações sensíveis, como o home banking, por exemplo.