Atividade Prática - Segurança em Sistemas de Informação - nota 100

Prévia do material em texto

ATIVIDADE PRÁTICA – SEGURANÇA EM SISTEMAS DE INFORMAÇÃO – NOTA 100
1 - A segurança na rede começa com o processo de identificação e autorização, que provê
o controle de acesso à rede. Neste processo é necessário que o requisitante de acesso
(AR) seja submetido à um serviço de aplicação de políticas de segurança, que determina
o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de regras a ser
aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos recursos
requisitados e devidamente concedidos.
Assinale a única afirmação abaixo que representa a correta relação entre os serviços
utilizados com esse intuito.
A
O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede
criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza
criptografia simétrica.
B
O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação,
autorização e contabilização de acessos para controlar os computadores que se conectarão e
usarão um determinado serviço de rede.
C
O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na
internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego.
D
O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de
forma especial para a comunicação na web, em conjunto com navegadores e servidores web.
E
O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto
seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL.
2- Os negócios feitos por meio da comunicação eletrônica e dos computadores, conhecido
como e-commerce, não estão restritas à Internet, pois existem outras soluções como o
uso de bancos e cartões, compras e negociações feitas por terminais e dispositivos de
comunicação específicos, como tablets, celulares, totens e outros.
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as como
(F)alsas ou (V)erdadeiras:
( ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes
adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o não-
repúdio é um aspecto de suma importância, pois evita que falsos compradores assumam
outra identidade, comprando em nome de outros.
( ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio
dos sites de compra, venda e troca, e requer especial atenção ao aspecto de identidade
dos participantes, uma vez que é difícil comprovar, por meio eletrônico, quem realmente
está do “outro lado”.
( ) O B2B – Business to Business, como as operações financeiras, de logística e
suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já que
trata especificamente de comunicação entre organizações confiáveis.
( ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o
comportamento humano é fator essencial para que as defesas e a proteção sejam
efetivas.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de
acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-F-V
E V-V-F-F
3- Embora a informação possa manifestar-se em diversos meios – impressa ou eletrônica,
analógica ou digital, etc., é no modelo digital e eletrônico que tem seu expoente em
termos de volume, flexibilidade e facilidade de uso e acesso. Nesse contexto essa mesma
informação está continuamente exposta a riscos de segurança, os quais atentam contra
as suas características básicas: a confidencialidade, a integridade e a disponibilidade da
informação. Estes riscos, quando concretizados, resultam no que se denomina incidente
de segurança.
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada
uma como (F)alsa ou (V)erdadeira:
( ) Os serviços providos aos usuários de sistemas computacionais ou software através de
suas interfaces estão sujeitos a falhas, erros e faltas. A manifestação destes em eventos
resulta em um incidente de segurança.
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e
spywares, geralmente referenciados genericamente como malwares. Essas ameaças não
são naturais, pois geralmente há um agente malicioso relacionado ao incidente causado
por essas ameaças
( ) As falhas relacionadas a aspectos ambientais que interferem no hardware, tais como
interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de
temperatura de operação são denominadas falhas físicas.
( ) Dispositivos e ambientes computacionais com características de mobilidade,
 flexibilidade, capacidade de personalização, conectividade, convergência de tecnologias
e capacidades reduzidas de armazenamento e processamento de informações, como os
smartphones, são mais vulneráveis.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de
acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-V-V
 
4- A GCN - Gestão da Continuidade dos Negócios é um processo diretamente relacionado
com a segurança da informação e dos sistemas. Seu objetivo é evitar a interrupção ou
reduzir a interferência dos incidentes nos processos críticos e nas informações vitais para
a preservação da organização e de seus negócios. Para isso, a GCN contempla os
seguintes aspectos:
I - Resposta a incidentes.
II - A gestão de crises.
III - O regime de contingência.
IV - A recuperação de desastres.
Avalie as afirmações a seguir e selecione a única que está de acordo com o conteúdo
apresentado em aula:
A Somente as afirmações I e II são corretas.
B Somente as afirmações I, II e III são corretas.
C Somente as afirmações I, II e IV são corretas.
D Somente as afirmações II, III e IV são corretas.
E Todas as afirmações são corretas.
5- O Plano de Continuidade dos Negócios - PCN ou BCP - Business Continuity Plan é um
documento ou conjunto de documentos que estabelece as estratégias e planos de ação
para o enfrentamento de situações de emergência que afetem a operação normal da
organização. Do ponto de vista da segurança da informação e dos sistemas o PCN
aborda os sistemas críticos e seus componentes, além dos processos de negócio dos
quais fazem parte.
Analise as afirmações a seguir, relativas ao PCN, identificando-as como (F)alsas ou
(V)erdadeiras:
( ) O objetivo do PCN é assegurar a continuidade das operações da organização após a
ocorrência de um incidente, mantendo os seus negócios em funcionamento.
( ) A elaboração e atualização do PNC é atribuição exclusiva da área de Tecnologia da
Informação, devido a seu conhecimento dos processos críticos do negócio.
( ) O procedimento operacional de contingência é ativado pelo modelo PDCA – Plan, Do,
Check, Act.
( ) A elaboração do PCN inicia-se com a análise dos riscos e a análise do impacto nos
negócios, e avança com a definição de estratégias de abordagem e elaboração dos
planos de ação.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de
acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-F-V
E V-V-F-F
6- O processo de identidade e autorização é parte importante da proteção, especialmente
no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à
rede, aos recursos computacionais e à informação estando fora do perímetro de
segurança da organização.
O processo de identificação precisa ser completado com a verificação, com base em:
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece.
II – Um token, cartão, chave física ou criptográfica,que se refere à biometria estática do
solicitante.
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, alguma
coisa que o solicitante possui no momento da autorização.
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz,
caligrafia e taxa de digitação.
Assinale a única alternativa que confere com o material e com o que foi apresentado na
aula:
A Somente as afirmações I e III são corretas.
B Somente as afirmações II e IV são corretas.
C Somente as afirmações III e IV são corretas.
D Somente as afirmações I e IV são corretas.
E Todas as afirmações são corretas.
7- Os negócios feitos por meio da comunicação eletrônica e dos computadores, conhecido
como e-commerce, não estão restritas à Internet, pois existem outras soluções como o
uso de bancos e cartões, compras e negociações feitas por terminais e dispositivos de
comunicação específicos, como tablets, celulares, totens e outros.
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as como
(F)alsas ou (V)erdadeiras:
( ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes
adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o não-
repúdio é um aspecto de suma importância, pois evita que falsos compradores assumam
outra identidade, comprando em nome de outros.
( ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o
comportamento humano é fator essencial para que as defesas e a proteção sejam
efetivas.
 ( ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio
dos sites de compra, venda e troca, e requer especial atenção ao aspecto de identidade
dos participantes, uma vez que é difícil comprovar, por meio eletrônico, quem realmente
está do “outro lado”.
( ) O B2B – Business to Business, como as operações financeiras, de logística e
suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já que
trata especificamente de comunicação entre organizações confiáveis.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de
acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-F-V
E V-V-F-F
8- A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente de
grande valor. Na era da informação na qual vivemos, o volume de informação que
produzimos, manipulamos e armazenamos é muito elevado, dada a facilidade de fazê-lo
através dos meios eletrônicos. Embora a informação possa manifestar-se em diversos
meios – impressa ou eletrônica, analógica ou digital, etc., é no modelo digital e eletrônico
que tem seu expoente em termos de volume, flexibilidade e facilidade de uso e acesso.
Nesse contexto essa mesma informação está continuamente exposta a riscos de
segurança, os quais atentam contra as suas características básicas: a confidencialidade,
a integridade e a disponibilidade da informação. Estes riscos, quando concretizados,
resultam no que se denomina incidente de segurança.
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada
uma como (F)alsa ou (V)erdadeira:
( ) Os serviços providos aos usuários de sistemas computacionais ou software através de
suas interfaces estão sujeitos a falhas, erros e faltas.
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e
spywares, geralmente referenciados genericamente como malwares.
( ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que
interferem no hardware, tais como interferência eletromagnética, ruídos e problemas da
alimentação elétrica ou de temperatura de operação, e portanto não podem ser
consideradas como vulnerabilidades.
( ) Algumas características de dispositivos e ambientes computacionais eliminam as
vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de personalização,
a conectividade, a convergência de tecnologias e capacidades reduzidas de
armazenamento e processamento de informações.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de
acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-F-F
9- Os controles de acesso geralmente operam em conjunto com os controles de
verificação para estabelecer a devida autorização e garantir a autenticidade das
operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha
(PASSWORD), porém para muitas operações críticas e o uso de informações sensíveis
estes controles não são suficientes.
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta.
A
Controles biométricos, certificados digitais e assinaturas eletrônicas são substitutos típicos do
conjunto identificação (ID) e senha (PASSWORD).
B
Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos
agentes, devido à velocidade das aplicações.
C
A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e
funcionalidades são requisitos dos controles de acesso e identidade.
D
O desempenho dos controles de acesso não é um aspecto crítico, desde que as aplicações e os
computadores sejam velozes e estejam cada vez mais conectados.
E O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações
críticas, haja visto o vasto uso destes controles na maioria das aplicações sensíveis, como o
home banking, por exemplo.
10- Marcos regulatórios são leis e acordos internacionais que governam e servem de base
para a definição e a aplicação das práticas de segurança da informação e de sistemas.
Isso também implica em um aspecto de grande importância: a legalidade dessas
medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a
considerar a legalidade como um dos pilares da segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se
considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é
uma lei voltada para as finanças, decorrente de problemas financeiros causados à
economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto
na segurança da informação e dos sistemas.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das
informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos
demais países.
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para
Relatórios Financeiros) é um conjunto de recomendações do IASB (International
Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que
estabelece padrões para o tratamento e publicação de informações financeiras e
contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do
mercado financeiro.
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação
dos bancos centrais de diversos países, e estabelecem princípios de governança,
transparência e auditoria, com impacto direto na segurança da informação e de sistemas.
Assinale a única alternativa que confere com o material e com o que foi apresentado na
aula:
A Somente as afirmações I e III são corretas.
B Somente as afirmações II e IV são corretas.
C Somente as afirmações III e IV são corretas.
D Somente as afirmações I e IV são corretas.
E Todas as afirmações são corretas.