RESUMO OBJETIVA SEGURANÇA DA INFORMAÇÃO.

Prévia do material em texto

OBJETIVA
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em ocorrências, podem causar impactos indesejados em suas características. Quanto à essas características pode-se afirmar que:
IV – A legalidade, a privacidade e a auditabilidade são também características da informação ligadas à segurança da informação, segundo alguns autores. 
V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por intermédio da Internet. 
Do ponto de vista da segurança da informação e dos sistemas o PCN aborda os sistemas críticos e seus componentes, além dos processos de negócio dos quais fazem parte. 
( ) O objetivo do PCN é assegurar a continuidade das operações da organização após a ocorrência de um incidente, mantendo os seus negócios em funcionamento. 
( ) A elaboração e atualização do PNC é atribuição exclusiva da área de Tecnologia da Informação, devido a seu conhecimento dos processos críticos do negócio. 
( ) O procedimento operacional de contingência é ativado pelo modelo PDCA – Plan, Do, Check, Act. 
( ) A elaboração do PCN inicia-se com a análise dos riscos e a análise do impacto nos negócios, e avança com a definição de estratégias de abordagem e elaboração dos planos de ação. 
V-F-F-V
No que se refere à gestão de crises é correto afirmar que: 
A gestão de crise tem por objetivo preparar a organização para enfrentar uma crise, com estratégias e táticas pré-determinadas, visando salvaguardar seus empregados, o seu negócio, os seus ativos e a sua imagem,
O processo de identificação precisa ser completado com a verificação, com base em: 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
II – Um token, cartão, chave física ou criptográfica, alguma coisa que o solicitante possui no momento da autorização. 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, que se refere à biometria estática do solicitante. 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação. 
Todas
Quanto à segurança no processo de desenvolvimento de software, analise as seguintes afirmações:
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, contemplando a segurança do software, a segurança do ambiente de desenvolvimento e a garantia de segurança do software desenvolvido é estabelecido pela norma ISO/IEC 15.408. 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Entretanto alguns dispositivos desta infraestrutura têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão. Avalie as afirmativas a seguir, referentes a estes dispositivos.
 I – Softwares antivírus podem incluir um conjunto de funcionalidades como personal firewall, combate ao spam, ao keylogging e ao pishing, entre outras. 
 II - A tradução de endereços, principal função de um Proxy, é uma medida de segurança que impede a identificação de endereços da rede interna aos elementos da rede externa. 
III - Os tipos de firewalls mais empregados podem ser classificados em filtros de pacotes, stateful inspection e application proxy gateway. 
Somente as afirmações I, II e III são corretas. 
Avalie as afirmações sobre os conceitos de informação a seguir: 
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na separação entre a informação e os dados. 
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter sua utilidade e seu valor. 
Somente as afirmações III e IV estão corretas.
Os sistemas operacionais para ambientes de computação móvel são especialmente importantes para a segurança da informação nestes ambientes, uma vez que são profundamente adaptados aos recursos computacionais e à infraestrutura de serviços e funcionalidades específicas do ambiente e dos equipamentos. Quanto a estes ambientes, é correto afirmar que:
A arquitetura do iOS apresenta características diferenciadas de segurança, que provê APIs de segurança na camada Core Services e a evolução dos security services.
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o compliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas. Com relação a esses referenciais, pode-se afirmar que:
As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação.
A segurança das informações em um banco de dados é obtida por intermédio de mecanismos, componentes e operações, entre as quais: 
II - Preservação por meio de cópias de segurança – os backups e redundância
IV - Controle de acesso e permissões, registro de atividades e histórico de modificações. 
Somente as afirmações II e IV são corretas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode -se considerar que:
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB ( International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas.
Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às redes e à Internet,
( ) O IPSec ou IP Security tem como objetivo oferecer segurança para pacotes de dados na rede, provendo confidencialidade e autenticação no protocolo TCP. 
( ) O SSL / TLS são protocolos que oferecem segurança ponto -a-ponto para aplicações que necessitam segurança na camada de transporte de dados do protocolo IP. 
( ) Uma VPN oferece comunicação segura ponto a ponto por meio da internet, constituindo uma rede criptografada dentro da internet. 
( ) Uma das mais importantes funções de um firewall é aplicar as regras da política de segurança da organização, visando proteger e controlar o acesso a sistemas e informações.
F-F-V-V
Analise as afirmações a seguir, relativas ao comércio eletrônico.
( ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o não-repúdio é um aspecto de suma importância, pois evita que falsos compradores assumam outra identidade, comprando em nome de outros. 
( ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio dos sites de compra, venda e troca, e requer especial atenção ao aspecto de identidade dos participantes, uma vez que é difícil comprovar, por meio eletrônico, quem realmente está do “outro lado”. 
( ) O B2B – Business to Business, como as operações financeiras, de logística e suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já que trata especificamente de comunicação entre or ganizações confiáveis.( ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o comportamento humano é fator essencial para que as defesas e a proteção sejam efetivas.
F-V-F-V
Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que:
Sistemas operacionais proprietários e voltados para hardware específico geralmente contemplam características que reforçam a segurança da informação.
Considere as afirmações a seguir quanto à Política de Segurança da Informação:
( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável. 
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. 
 ( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita. 
( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela segurança da informação da organização, levando em conta que a segurança da informação não é responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos.
F-F-V-V
A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos recursos requisitados e devidamente concedidos. Analise as afirmativas a seguir, relativas aos serviços utilizados com esse intuito. 
I - O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede destinado a centralizar os serviços de autenticação, autorização e contabiliz ação de acessos para controlar os computadores que se conectarão e usarão um determinado serviço de rede. 
II - O Kerberos é um protocolo de rede criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza criptografia simétrica.
Avalie as afirmações a seguir no contexto dos incidentes de segurança.
 ( ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas interfaces estão sujeitos a falhas, erros e faltas. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, geralmente referenciados genericamente como malwares. 
( ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que interferem no hardware, tais como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de temperatura de operação, e portanto não podem ser consideradas como vulnerabilidades. 
( ) Algumas características de dispositivos e ambientes computacionais eliminam as vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de personalização, a conectividade, a convergência de tecnologias e capacidades reduzidas de armazenamento e processamento de informações
V-V-F-F