Atividade Pratica SSI 100

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação
Cada sistema computacional possui suas particularidades, quer seja em 
função de suas capacidades – processamento, memória, interfaces, 
autonomia – quer seja em função de sua constituição física ou mobilidade, e
também da programação à qual é capaz de corresponder. E estas 
particularidades determinam e requerem proteção adequada. É possível 
classificar e separar os tipos de proteção necessária aos componentes do 
sistema computacional em grupos com características distintas.
Analise as afirmativas a seguir com base nesta abordagem:
I – A proteção contra intempéries e fenômenos naturais evita que haja falta 
de energia devido à interrupção do fornecimento por parte da rede elétrica.
II – Os controles de qualidade atuam sobre a disponibilidade da energia 
evitando a interrupção do fornecimento.
III – Os controles de acesso, criptografia e capacidade de tráfego são 
aplicados sobre as comunicações dos sistemas computacionais.
IV – Hardware e software requerem mecanismos de proteção distintos, 
embora estes possam trabalhar de forma conjunta ou interdependente.
Assinale a única alternativa que está de acordo com o conteúdo que foi 
apresentado nas aulas e com a sua análise:
A Somente as afirmações I, II e III são corretas.
B Somente as afirmações I, II e IV são corretas.
C Somente as afirmações II, III e IV são corretas.
D Somente a afirmação III é correta.
E Somente as afirmações III e IV são corretas.
Questão 2/10 - Segurança em Sistemas de Informação
Cada sistema computacional possui suas particularidades, quer seja em 
função de suas capacidades – processamento, memória, interfaces, 
autonomia – quer seja em função de sua constituição física ou mobilidade, e
também da programação à qual é capaz de corresponder. E estas 
particularidades determinam e requerem proteção adequada. É possível 
classificar e separar os tipos de proteção necessária aos componentes do 
sistema computacional em grupos com características distintas.
Sob este ponto de vista, analise as afirmativas a seguir, classificando-as 
como (F)alsas ou (V)erdadeiras:
(F) A proteção contra intempéries e fenômenos naturais evita que haja falta 
de energia devido à interrupção do fornecimento por parte da rede elétrica.
(F) Os controles de qualidade atuam sobre a disponibilidade da energia 
evitando a interrupção do fornecimento.
(V) Os controles de acesso, criptografia e capacidade de tráfego são 
aplicados sobre as comunicações dos sistemas computacionais.
(V) Hardware e software requerem mecanismos de proteção distintos, 
embora estes possam trabalhar de forma conjunta ou interdependente.
Assinale a única alternativa que corresponde à classificação correta das 
afirmativas, de acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-F-F
Questão 3/10 - Segurança em Sistemas de Informação
A gestão de riscos é um processo de suma importância para a segurança da
informação. Pode-se considerar quatro atividades essenciais a esse 
processo, dispostas de forma sequencial e executadas de maneira cíclica, 
com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, 
avaliar, corrigir).
Com relação ao processo de gestão de riscos é correto afirmar que:
A Impacto é a medida do resultado que um incidente pode 
produzir nos negócios da organização.
B A matriz P x I – Probabilidade x Impacto é uma ferramenta da 
Análise Qualitativa de riscos, e auxilia no cálculo do ROI – return of 
investiment.
C Reduzir o risco implica na utilização de medidas que impeçam a
ocorrência do risco pela eliminação de vulnerabilidades ou tratamento 
contra as ameaças.
D Transferir o risco significa utilizar controles que reduzam a 
probabilidade ou o impacto do risco.
E Aceitar o risco é a melhor forma de preparar a organização 
contra as ameaças, pois mesmo aplicando um tratamento aos riscos é 
improvável que se consiga eliminá-los totalmente.
Questão 4/10 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário 
conhecer e adequar a organização às estratégias de segurança da 
informação e de defesa. Essas estratégias, ou grande parte delas, são 
oriundas de estratégias militares, e foram validadas por sua aplicação por 
anos a fio no decorrer da história da humanidade.
Avalie as afirmações a seguir, que tratam das estratégias de segurança e 
defesa:
(F) Uma white list é uma relação de proibições ou restrições, isto é, do que 
não pode. Já o oposto, a black list, é a lista sem restrições ou com as 
permissões, isto é, do que pode¸ normalmente aplicada quando o universo 
de possibilidades é difícil de se dimensionar
 (V) O cancelamento ou estorno de uma operação que requer a aprovação 
de um superior é um caso de aplicação do princípio do menor privilégio.
(V) Os princípios da diversidade da defesa e da defesa em profundidade são
convergentes, embora possam ser aplicados em diferentes níveis ou 
estágios da proteção.
(V) Simplicidade e obscuridade são estratégias distintas, porém não 
contrárias entre si, uma vez que reforçar a obscuridade não requer, 
necessariamente, o uso de mecanismos de proteção complexos.
Assinale a única alternativa que classifica corretamente (com F para as 
Falsas e V para as Verdadeiras) as afirmativas, de acordo com o conteúdo 
apresentado no material e em aula:
A V-F-F-F
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-V-F
Questão 5/10 - Segurança em Sistemas de Informação
A infraestrutura de segurança da informação está diretamente ligada à 
infraestrutura que suporta a informação em si, quer sejam os computadores
e os componentes das redes de computadores, e determinadas funções 
destes dispositivos acabam mesclando-se.
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, 
assinalando cada uma delas como (F)alsa ou (V)erdadeira.
(F) Todos os dispositivos da infraestrutura de segurança da informação têm 
funções claramente definidas, como os proxies, os firewalls e os detectores 
de intrusão, e devem autuar de forma autônoma e independente.
(V) É função de um IDS monitorar o uso dos recursos para identificar e inibir 
ações indesejadas ou danosas à informação e aos sistemas, combatendo as 
ameaças e reduzindo a vulnerabilidade destes ambientes.
(V) Os PROXIES funcionam como intermediários entre usuários de uma rede 
interna e outra externa – normalmente a internet, executando operações de 
autenticação e identificação, filtragem de informações, log de acessos e 
tradução de endereços internos para externos (NAT).
(V) Os firewalls atuam entre a rede de computadores interna da organização
- geralmente considerada como um ambiente conhecido e seguro – e a rede 
externa, geralmente considerada como um ambiente desconhecido e 
inseguro.
Assinale a única alternativa que corresponde à classificação correta das 
afirmativas, de acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-V-V
Questão 6/10 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário 
conhecer e adequar a organização às estratégias de segurança da 
informação e de defesa. Essas estratégias, ou grande parte delas, são 
oriundas de estratégias militares de defesa e foram validadas por sua 
aplicação por milhares de vezes no decorrer da história da humanidade.
Avalie as afirmações a seguir, que tratam das estratégias de segurança e 
defesa:
(V) O cancelamento ou estorno de uma operação que requer a aprovação de
um superior é um caso de aplicação do princípio do menor privilégio.
(F) Os princípios da diversidade da defesa e da defesa em profundidade são
equivalentes pois sempre atuam em um mesmo nível de proteção.
(F) Simplicidade e obscuridade são estratégiasopostas, uma vez que para 
reforçar a obscuridade é necessário utilizar mecanismos muito complexos.
(F) Uma white list é uma relação de proibições ou restrições, isto é, do que 
não pode. Já o oposto, a black list, é a lista sem restrições ou com as 
permissões, isto é, do que pode¸ normalmente aplicada quando o universo 
de possibilidades é difícil de se dimensionar
Assinale a única alternativa que classifica corretamente (com F para as 
Falsas e V para as Verdadeiras) as afirmativas, de acordo com o conteúdo 
apresentado no material e em aula:
A V-F-F-F
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-V-F
Questão 7/10 - Segurança em Sistemas de Informação
Uma abordagem bastante efetiva no sentido de prover a segurança da 
informação é a que adota os mecanismos de segurança desde o início do 
processo de desenvolvimento do software. O quão mais cedo neste 
processo se pensar em riscos, ameaças e formas de proteger a informação, 
mais efetivas e abrangentes tornam-se as medidas, além de aumentarem as
opções quanto à estratégias e mecanismos de segurança a serem adotados,
métodos, técnicas e ferramentas auxiliares e disponíveis para o processo de
desenvolvimento e a redução do custo para a implementação da segurança.
Quanto à segurança no processo de desenvolvimento de software, analise 
as seguintes afirmações:
I – A segurança da informação somente pode ser garantida pelos 
procedimentos de teste de software, os quais são geralmente enfatizados 
pelas organizações devido à sua importância, agilidade e baixo custo.
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce 
das questões de segurança do software é uma prática comum, o que tem 
elevado continuamente o padrão de segurança da informação e dos 
sistemas.
III – Um dos efeitos da negligencia quanto ao teste de software é a 
identificação de faltas, erros e vulnerabilidades tardiamente, quando a 
correção ou eliminação tornam-se muito dispendiosas ou inviáveis.
IV – O padrão internacional para o desenvolvimento de software seguro, 
contemplando a segurança do software, a segurança do ambiente de 
desenvolvimento e a garantia de segurança do software desenvolvido é 
estabelecido pela norma ISO/IEC 15.408.
Assinale a única alternativa que confere com o conteúdo que foi 
apresentado e com a sua análise:
A Somente as afirmações I, II e III são corretas.
B Somente as afirmações I, II e IV são corretas.
C Somente as afirmações II, III e IV são corretas.
D Somente as afirmações III e IV são corretas.
E Todas as afirmações são corretas.
Questão 8/10 - Segurança em Sistemas de Informação
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez
transformados em ocorrências, podem causar impactos indesejados em 
suas características. Quanto à essas características pode-se afirmar que:
I – A confidencialidade refere-se à manutenção do valor e das características
originais da informação.
II - Uma informação integra é aquela que jamais sofreu qualquer tipo de 
alteração durante o seu ciclo de vida.
III – A disponibilidade da informação é o oposto da confidencialidade, já que 
qualquer informação disponível não é confidencial.
IV – A legalidade, a privacidade e a auditabilidade são também 
características da informação ligadas à segurança da informação, segundo 
alguns autores.
V – A autenticidade, e a irretratabilidade ou não repúdio são características 
da informação indispensáveis ao uso atual da tecnologia da informação, 
como no caso do comércio por intermédio da Internet.
Assinale a única alternativa que confere com o que foi apresentado na aula:
A Somente as afirmações I e II estão corretas.
B Somente as afirmações IV e V estão corretas.
C Somente as afirmações III e IV estão corretas.
D Todas as afirmações são corretas.
E Nenhuma das afirmações é correta.
Questão 9/10 - Segurança em Sistemas de Informação
A segurança da informação e dos sistemas que fazem uso da internet está 
ligada à segurança das redes – locais e de longa distância. Os diversos 
serviços colocados à disposição, entre eles o correio eletrônico - o e-mail, as
redes sociais, os serviços de mensagem instantânea e os serviços de 
comércio eletrônico dependem da infraestrutura de rede e de seus recursos 
associados.
Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às 
redes e à Internet, classificando-as como (F)alsas ou (V)erdadeiras:
(F) O IPSec ou IP Security tem como objetivo oferecer segurança para 
pacotes de dados na rede, provendo confidencialidade e autenticação no 
protocolo TCP.
(F) O SSL / TLS são protocolos que oferecem segurança ponto-a-ponto para 
aplicações que necessitam segurança na camada de transporte de dados do
protocolo IP.
(V) Uma VPN oferece comunicação segura ponto a ponto por meio da 
internet, constituindo uma rede criptografada dentro da internet.
(V) Uma das mais importantes funções de um firewall é aplicar as regras da 
política de segurança da organização, visando proteger e controlar o acesso 
a sistemas e informações.
Assinale a única alternativa que corresponde à classificação correta das 
afirmativas, de acordo com o conteúdo apresentado no material e em aula:
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-F-F
Questão 10/10 - Segurança em Sistemas de Informação
Marcos regulatórios são leis e acordos internacionais que governam e 
servem de base para a definição e a aplicação das práticas de segurança da
informação e de sistemas. Isso também implica em um aspecto de grande 
importância: a legalidade dessas medidas. Essa questão é de tamanha 
importância que alguns autores chegam mesmo a considerar a legalidade 
como um dos pilares da segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto 
pode-se considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados 
Unidos, é uma lei voltada para a gestão financeira, transparência e 
publicidade dos dados contábeis.É consequência de prejuízos causados a 
investidores por meio de fraudes contábeis, resultando em impacto na 
segurança da informação e dos sistemas por todo o mundo.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de 
Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece 
regras para a proteção das informações de usuários de planos de saúde nos 
Estados Unidos, tem reflexo direto no tratamento da segurança das 
informações dos usuários desse segmento.
v-III – O IFRS (International Financial Reporting Standards ou Padrão 
Internacional para Relatórios Financeiros) é um conjunto de recomendações 
do IASB (International Accounting Standards Board ou Comitê Internacional 
de Padrões Contábeis) que estabelece padrões para o tratamento e 
publicação de informações financeiras e contábeis, adotado principalmente 
por bancos, financeiras, seguradoras e agentes do mercado financeiro.
v-IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-
regulamentação dos bancos centrais de diversos países, e estabelecem 
princípios de governança, transparência e auditoria, com impacto direto na 
segurança da informação e de sistemas.
Assinale a única alternativa que confere com o material e com o que foi 
apresentado na aula:
A Somente as afirmações I, II e III são corretas.
B Somente as afirmações I, II e IV são corretas.
C Somente as afirmações I, III e IV são corretas.
D Somente as afirmações II, III e IV são corretas.
E Todas as afirmações são corretas.