Baixe o app para aproveitar ainda mais
Prévia do material em texto
AV1 1a Questão (Ref.: 201506958042) Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido: Confiabilidade Integridade Disponibilidade Confidencialidade Legalidade 2a Questão (Ref.: 201506451891) A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. 3a Questão (Ref.: 201506961330) A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em risco esta informação e que chamamos de ciclo de vida são: (Assinale a alternativa I N C O R R E T A). Manuseio. Consultoria. Transporte. Descarte. Armazenamento. 4a Questão (Ref.: 201506285832) Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Pública. Secreta. Interna. Confidencial. Irrestrito. 5a Questão (Ref.: 201506800361) Relacione a primeira coluna com a segunda: A. Área de armazenamento sem proteção 1. ativo B. Estações de trabalho 2. vulnerabilidade C. Falha de segurança em um software 3. ameaça D. Perda de vantagem competitiva 4. impacto E. Roubo de informações 5. medida de segurança F. Perda de negócios G. Não é executado o "logout" ao término do uso dos sistemas H. Perda de mercado I. Implementar travamento automático da estação após período de tempo sem uso J. Servidores K. Vazamento de informação A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. 6a Questão (Ref.: 201506468877) Observe a figura acima e complete corretamente a legenda dos desenhos: Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 7a Questão (Ref.: 201506468880) As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Natural, voluntária e involuntária Voluntária, involuntária e intencional Intencional, proposital e natural Natural, presencial e remota Intencional, presencial e remota 8a Questão (Ref.: 201506815265) Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Defacement Spyware Backdoor Keylogger Phishing 9a Questão (Ref.: 201506282654) Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Ataque para Obtenção de Informações Ataques de códigos pré-fabricados Ataque á Aplicação Ataque aos Sistemas Operacionais Ataque de Configuração mal feita 10a Questão (Ref.: 201506457520) Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Trojans. Wabbit. Phishing. Hijackers. Exploits. 1º 1a Questão (Ref.: 201506990305) Fórum de Dúvidas (1 de 17) Saiba (3) Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser: Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-alvo. Armazenada em local seguro com acesso apenas por diretores e pessoas autorizadas. Comunicada apenas ao setor de tecnologia da informação de maneria rápida para que todos possam se manter focados no trabalho. Escondida de toda a organização para garantir sua confidencialidade, integridade e disponibilidade. Comunicada apenas aos usuários que possuem acesso à Internet. Gabarito Comentado 2a Questão (Ref.: 201506457504) Fórum de Dúvidas (1 de 17) Saiba (3) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Auditoria Integridade Privacidade Disponibilidade Confidencialidade 3a Questão (Ref.: 201506802500) Fórum de Dúvidas (1 de 17) Saiba (3) Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três)aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? Autenticidade, Legalidade e Privacidade Integridade, Legalidade e Confiabilidade Privacidade, Governabilidade e Confidencialidade Disponibilidade, Privacidade e Segurabilidade Confiabilidade, Integridade e Disponibilidade 4a Questão (Ref.: 201506958028) Fórum de Dúvidas (3 de 17) Saiba (1 de 3) O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a afirmar que ________________________é o elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. o dado o registro o conhecimento o arquivo a informação Gabarito Comentado Gabarito Comentado 5a Questão (Ref.: 201506285695) Fórum de Dúvidas (1 de 17) Saiba (3) Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Impacto . Ameaça. Vulnerabilidade. insegurança Risco. 6a Questão (Ref.: 201507042608) Fórum de Dúvidas (3 de 17) Saiba (1 de 3) Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a: Dado Informação Nenhuma da alternativas anteriores Conhecimento Sistemas de Informação 7a Questão (Ref.: 201506958034) Fórum de Dúvidas (1 de 17) Saiba (3) Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Passivo Intangível Ativo Abstrato Tangível 8a Questão (Ref.: 201506958042) Fórum de Dúvidas (1 de 17) Saiba (3) Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido: Integridade Confidencialidade Confiabilidade Disponibilidade Legalidade 2º 1a Questão (Ref.: 201506285837) Fórum de Dúvidas (2) Saiba (0) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? As opções (a) e (c) estão corretas. Irrestrito. Interna. Confidencial. Secreta. 2a Questão (Ref.: 201506285828) Fórum de Dúvidas (2) Saiba (0) Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações. Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. Gabarito Comentado 3a Questão (Ref.: 201506961330) Fórum de Dúvidas (2) Saiba (0) A informação terá valor econômico para uma organização se ela gerar lucro ou se for alavancadora de vantagem competitiva. Neste sentido devemos proteger os diferentes momentos vividos por esta informação que a colocam em risco. Os momentos que colocam em risco esta informação e que chamamos de ciclo de vida são: (Assinale a alternativa I N C O R R E T A). Manuseio. Armazenamento. Transporte. Descarte. Consultoria. Gabarito Comentado 4a Questão (Ref.: 201506958070) Fórum de Dúvidas (2) Saiba (0) A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. a confidencialidade a legalidade a integridade a disponibilidade o não-repúdio 5a Questão (Ref.: 201506285662) Fórum de Dúvidas (2) Saiba (0) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que organizam, processam, publicam ou destroem informações. São aqueles que produzem, processam, reúnem ou expõem informações. São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles tratam, administram, isolam ou armazenam informações. Gabarito Comentado Gabarito Comentado 6a Questão (Ref.: 201506452157) Fórum de Dúvidas (2) Saiba (0) Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação: Baseia-se na utilização final que se fará com a informação. Utiliza-se das propriedades inseridas nos dados. É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. Reflete o custo substitutivo de um bem. 7a Questão (Ref.: 201506285868) Fórum de Dúvidas (2) Saiba (0) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de restrição. Valor de negócio. Valor de troca. Valor de propriedade. Valor de uso. 8a Questão (Ref.: 201506468876) Fórum de Dúvidas (2) Saiba (0) O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicose humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: Manuseio, armazenamento, transporte e descarte Criação, compartilhamento, utilização e descarte Iniciação, processamento, utilização e remoção Criação, utilização, armazenamento e compartilhamento Manuseio, transporte, compartilhamento e remoção Gabarito Comentado 3º 1a Questão (Ref.: 201506929763) Fórum de Dúvidas (5) Saiba (0) Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo? Cavalos de tróia. Engenharia social. Back doors. Vírus de computador. Acesso físico. Gabarito Comentado 2a Questão (Ref.: 201506923370) Fórum de Dúvidas (1 de 5) Saiba (0) Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Humana. Vulnerabilidade de Mídias. Vulnerabilidade Natural. Vulnerabilidade de Hardware. Vulnerabilidade Física. Gabarito Comentado 3a Questão (Ref.: 201506489206) Fórum de Dúvidas (5) Saiba (0) Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. 4a Questão (Ref.: 201506468877) Fórum de Dúvidas (5) Saiba (0) Observe a figura acima e complete corretamente a legenda dos desenhos: Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Gabarito Comentado 5a Questão (Ref.: 201506800361) Fórum de Dúvidas (1 de 5) Saiba (0) Relacione a primeira coluna com a segunda: A. Área de armazenamento sem proteção 1. ativo B. Estações de trabalho 2. vulnerabilidade C. Falha de segurança em um software 3. ameaça D. Perda de vantagem competitiva 4. impacto E. Roubo de informações 5. medida de segurança F. Perda de negócios G. Não é executado o "logout" ao término do uso dos sistemas H. Perda de mercado I. Implementar travamento automático da estação após período de tempo sem uso J. Servidores K. Vazamento de informação A2, B1, C2, D4, E4, F4, G2, H4, I5, J1, K3. A2, B1, C3, D3, E4, F4, G2, H4, I5, J1, K3. A2, B1, C3, D3, E3, F4, G2, H4, I5, J1, K4. A2, B1, C2, D3, E3, F3, G2, H4, I5, J1, K4. A2, B1, C2, D4, E3, F4, G2, H4, I5, J1, K3. Gabarito Comentado 6a Questão (Ref.: 201506958494) Fórum de Dúvidas (5) Saiba (0) Analise o trecho abaixo: "Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo: Mídia Comunicação Física Hardware Natural Gabarito Comentado 7a Questão (Ref.: 201506356689) Fórum de Dúvidas (5) Saiba (0) Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Física Vulnerabilidade Software Vulnerabilidade Mídias Vulnerabilidade Natural Vulnerabilidade Comunicação Gabarito Comentado 8a Questão (Ref.: 201506452239) Fórum de Dúvidas (1 de 5) Saiba (0) As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou errosdurante a instalação. Gabarito Comentado 4º 1a Questão (Ref.: 201506282682) Fórum de Dúvidas (4) Saiba (1) Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Medidas Perceptivas Medidas Corretivas e Reativas Medidas Preventivas Métodos Quantitativos Métodos Detectivos Gabarito Comentado 2a Questão (Ref.: 201506282589) Fórum de Dúvidas (4) Saiba (1) Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ? rootkit keyloggers active-x trojan horse worm 3a Questão (Ref.: 201506958537) Fórum de Dúvidas (4) Saiba (1) Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um: Trojan Backdoor Keylogger Worm Screenlogger 4a Questão (Ref.: 201506282594) Fórum de Dúvidas (4) Saiba (1) Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Interna e Oculta Interna e Externa Conhecida e Externa Secreta e Oculta Secreta e Externa 5a Questão (Ref.: 201506922371) Fórum de Dúvidas (3 de 4) Saiba (1 de 1) A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las. Todas as sentenças estão corretas. As sentenças I e III estão corretas. As sentenças II e III estão corretas. Apenas a sentença I está correta. As sentenças I e II estão corretas. Gabarito Comentado 6a Questão (Ref.: 201506847021) Fórum de Dúvidas (4) Saiba (1) Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro. III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos. Estão CORRETAS as afirmativas: II apenas II e III, apenas. I e III, apenas. I e II, apenas. I, II e III. Gabarito Comentado 7a Questão (Ref.: 201506800381) Fórum de Dúvidas (4) Saiba (1) Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5, 2, 4, 3, 1. 3, 1, 4, 5, 2. 3, 2, 4, 5, 1. 3, 1, 5, 2, 4. 5,1,4,3,2. 8a Questão (Ref.: 201506929767) Fórum de Dúvidas (4) Saiba (1) Com relação as ameaças aos sistema de informação, assinale a opção correta: Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores. Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores. Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador. Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão. Gabarito Comentado 5º Prezado (a) Aluno(a), Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3). Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS. 1. Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo DDos SQL Injection Shrink wrap code Source Routing Phishing Scan 2. Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Obtenção de Acesso Camuflagem das Evidências Exploração das Informações Divulgação do Ataque Levantamento das Informações 3. Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros.Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque: Port Scanning. Phishing Scam. Ip Spoofing. Dumpster diving ou trashing. Packet Sniffing. Gabarito Comentado 4. Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ? O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". O atacante tenta manter seu próprio domínio sobre o sistema O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 5. Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança : Levantamento, Exploração, Obtenção, Manutenção e Camuflagem Obtenção, Levantamento, Exploração, Manutenção e Camuflagem Obtenção, Exploração, Levantamento, Manutenção e Camuflagem Exploração, Levantamento, Obtenção, Manutenção e Camuflagem Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 6. Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ? Worm Backdoor Rootkit Spam 0Day 7. Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataque à Aplicação Ataque para Obtenção de Informações Ataque aos Sistemas Operacionais Ataque de Configuração mal feita Ataques Genéricos 8. João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Fragmentação de pacotes IP Port Scanning Fraggle Ip Spoofing SYN Flooding Gabarito Comentado 6º 1. Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de uma ameaça explorar uma vulnerabilidade Probabilidade de uma ameaça explorar um incidente. Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. 2. Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes ? Ameaça, incidente, impacto e recuperação Impacto, ameaça, incidente e recuperação Ameaça, impacto, incidente e recuperação Incidente, recuperação, impacto e ameaça Incidente, impacto, ameaça e recuperação Gabarito Comentado 3. Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? Bot/Botnet Phishing Rootkit Spammer Spyware Gabarito Comentado 4. Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ? Backdoor Dumpster diving Adware Defacement DoS Gabarito Comentado 5. Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ? DoS Monitor Sniffer Keylogger Spyware Gabarito Comentado 6. Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: Melhorar a efetividade das decisões para controlar os riscos Manter a reputação e imagem da organização Melhorar a eficácia no controle de riscos Eliminar os riscos completamente e não precisar mais tratá-los Entender os riscos associados ao negócio e a gestão da informação Gabarito Comentado 7. Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? Backdoor Spyware Adware 0day DoS/DDoS Gabarito Comentado 8. Vamos analisar cada item. E marque a alternativa correta. O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local; O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB; O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos; O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional; 7º Prezado (a) Aluno(a), Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3). Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS. 1. Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Diretrizes; Manuais e Procedimentos Manuais; Normas e Relatórios Diretrizes; Normas e Relatórios Diretrizes; Normas e Procedimentos Manuais; Normas e Procedimentos 2. Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. 3. A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Desenvolvimento e Manutenção de Sistemas Segurança Física e do Ambiente Controle de Acesso Segurança em Recursos Humanos Gerenciamento das Operações e Comunicações 4. Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27003 ISO/IEC 27001 ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27002 Gabarito Comentado 5. Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que: garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails. garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. 6. A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. especulações, ameaças determinações, ações estratégias, ameaças oportunidades, vulnerabilidades oportunidades, ações 7. Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Gabarito Comentado 8. A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise: I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: I e II, somente II e IV, somente I, II e III, somente I e III, somente I, II e IV, somente Gabarito Comentado 8º 1a Questão (Ref.: 201506489580) Fórum de Dúvidas (3) Saiba (1) A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. Gabarito Comentado 2a Questão (Ref.: 201506792787) Fórum de Dúvidas (3) Saiba (1) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Gabarito Comentado 3a Questão (Ref.: 201506468898) Fórum de Dúvidas (3) Saiba (1) Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todasas organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Gabarito Comentado 4a Questão (Ref.: 201506370341) Fórum de Dúvidas (1 de 3) Saiba (1) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Correção Corretivas e Preventivas Corretivas e Corrigidas Prevenção e Preventivas Corrigidas e Preventivas 5a Questão (Ref.: 201506458591) Fórum de Dúvidas (1 de 3) Saiba (1) Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A politica de gestão de continuidade de negócio. A política do BIA. Identificar, Analisar e avaliar os riscos. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar e avaliar as opções para o tratamento das vulnerabilidades. 6a Questão (Ref.: 201506964456) Fórum de Dúvidas (3) Saiba (1) Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. x Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Definir e medir a eficácia dos controles ou grupos de controle selecionados. 7a Questão (Ref.: 201507042615) Fórum de Dúvidas (1 de 3) Saiba (1) Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando: Confiança Não-repúdio Legalidade x Integridade Auditoria 8a Questão (Ref.: 201506847090) Fórum de Dúvidas (3) Saiba (1) Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: x I e III. I e II. II. II e III. III e IV. 9º 1a Questão (Ref.: 201506964461) Fórum de Dúvidas (0) Saiba (0) A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: Investigação e diagnóstico; resolução de problemas; recuperação Análise de impacto no negócio; avaliação de risco; plano de contingência Plano de redundância; análise de risco; planejamento de capacidade Gestão de configuração; planejamento de capacidade; gestão de mudança Tratamento de incidentes; solução de problemas; acordo de nível de operação 2a Questão (Ref.: 201506363351) Fórum de Dúvidas (0) Saiba (0) Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? Manutenção, implementação do programa e maturação Planejamento, estudo e implementação do programa Planejamento, maturação e desenvolvimento Planejamento, desenvolvimento e implementação do programa Manutenção, desenvolvimento e implementação do programa 3a Questão (Ref.: 201506800374) Fórum de Dúvidas (0) Saiba (0) Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? Uma catástrofe de grandes impactos. Um ataque massivo pela internet. Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. Um evento súbito, que ocorre de maneira inesperada. Eventos de ordem natural ou acidental, como terremotos e incêndios. Gabarito Comentado 4a Questão (Ref.: 201506285825) Fórum de Dúvidas (0) Saiba (0) Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Não-Repúdio; Confidencialidade; Autenticidade; Integridade; Auditoria; Gabarito Comentado 5a Questão (Ref.: 201506363350) Fórum de Dúvidas (0) Saiba (0) Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas As metas eobjetivos dos usuários sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos definidos sejam comprometidos por interrupções inesperadas 6a Questão (Ref.: 201506363344) Fórum de Dúvidas (0) Saiba (0) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 7a Questão (Ref.: 201506285831) Fórum de Dúvidas (0) Saiba (0) Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Integridade; Auditoria; Autenticidade; Confidencialidade; Não-Repúdio; 8a Questão (Ref.: 201506792801) Fórum de Dúvidas (0) Saiba (0) O Plano de Continuidade do Negócio...... deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. define uma ação de continuidade imediata e temporária. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. 10º 1. Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave Gabarito Comentado Gabarito Comentado 2. Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ? Filtro com Pacotes Firewall Indireto Firewall Proxy Firewall com Estado Firewall de Borda 3. Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais. Indique a opção que contenha todas as afirmações verdadeiras. I e III. II e III. II e IV. III e IV. I e II. Gabarito Comentado 4. Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : Um roteador de borda Um firewall com estado Um detector de intrusão Um servidor proxy Um filtro de pacotes 5. O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: Esteganografia PKI Certificação digital Firewall Proxy Gabarito Comentado 6. A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como: tcp/ip. pki. backbone. zona desmilitarizada (DMZ). wi-fi. 7. Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. A mensagem de Ana para Bernardo deve ser assinada com a chave pública de Ana e criptografada com a chave privada de Bernardo. e criptografada com a chave privada de Bernardo. com a chave privada de Bernardo e criptografada com a chave pública de Ana. e criptografada com a chave pública de Ana. com a chave privada de Ana e criptografada com a chave pública de Bernardo. Gabarito Comentado 8. Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um detector de intrusão para realizar a análise do tráfego da rede Um firewall para auxiliar na análise do tráfego da redeUm analisador de espectro de rede, para analisar o tráfego da rede Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Gabarito Comentado
Compartilhar