100%, APOLS 1,2 E 3 SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

APOL 1 
Questão 1/5 - Segurança em Sistemas de Informação 
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados 
em ocorrências, podem causar impactos indesejados em suas características. Quanto à 
essas características pode-se afirmar que: 
 
IV – A legalidade, a privacidade e a auditabilidade são também características da 
informação ligadas à segurança da informação, segundo alguns autores. 
 
V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação 
indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por 
intermédio da Internet. 
 
Assinale a única alternativa que confere com o que foi apresentado na aula: 
 
B) Somente as afirmações IV e V estão corretas. 
Você acertou! ​Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, 
páginas 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
Questão 2/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas 
estratégias, ou grande parte delas, são oriundas de estratégias militares de defesa e foram 
validadas por sua aplicação por milhares de vezes no decorrer da história da humanidade. 
 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
 
( V ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior 
é um caso de aplicação do princípio do menor privilégio. 
( F ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes 
pois sempre atuam em um mesmo nível de proteção. 
( F ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a 
obscuridade é necessário utilizar mecanismos muito complexos. 
( F ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o 
oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ 
normalmente aplicada quando o universo de possibilidades é difícil de se dimensionar 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as 
Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 
A) V-F-F-F 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da 
Rota de Aprendizagem (versão impressa). 
 
Questão 3/5 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para 
a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso 
também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa 
questão é de tamanha importância que alguns autores chegam mesmo a considerar a 
legalidade como um dos pilares da segurança da informação e dos sistemas. 
 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar 
que: 
 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma 
lei voltada para as finanças, decorrente de problemas financeiros causados à economia 
mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto na 
segurança da informação e dos sistemas. 
 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das 
informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais 
países. 
 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para 
Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting 
Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões 
para o tratamento e publicação de informações financeiras e contábeis, adotado 
principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. 
 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos 
bancos centrais de diversos países, e estabelecem princípios de governança, transparência 
e auditoria, com impacto direto na segurança da informação e de sistemas. 
 
Assinale a única alternativa que confere com o material e com o que foi apresentado na 
aula: 
 
C Somente as afirmações III e IV são corretas. 
Conteúdo apresentado no tema A Organização da Segurança da Informação, 
Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa). 
 
 
 
Questão 4/5 - Segurança em Sistemas de Informação 
A gestão de riscos é um processo de suma importância para a segurança da informação. 
Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma 
sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, 
Act ou seja, planejar, fazer, avaliar, corrigir). 
 
Com relação ao processo de gestão de riscos é correto afirmar que: 
 
A Impacto é a medida do resultado que um incidente pode produzir nos 
negócios da organização. 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 
1, páginas de 12 a 14 da Rota de Aprendizagem (versão impressa). 
 
Questão 5/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou 
conjuntos de práticas voltadas para a governança e o compliance: o ITIL e o COBIT. E as 
normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, 
colaboraram para atingir as metas de segurança da informação e de sistemas. 
 
Com relação a esses referenciais, podemos considerar que: 
 
A O ITIL é um padrão para o gerenciamento de serviços e infraestrutura 
de TI e por isso auxilia na identificação de vulnerabilidades. 
Você acertou! C​onteúdo apresentado no tema Organização da Segurança da 
Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão 
impressa). 
APOL 2 
 
Questão 1/5 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da 
informação é a que adota os mecanismos de segurança desde o início do 
processo de desenvolvimento do software. O quão mais cedo neste processo se 
pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quanto à 
estratégias e mecanismos de segurança a serem adotados, métodos, técnicas e 
ferramentas auxiliares e disponíveis para o processo de desenvolvimento e a 
redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as 
seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos 
de teste de software, os quais são geralmente enfatizados pelas organizações 
devido à sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das 
questões de segurança do software é uma prática comum, o que tem elevado 
continuamente o padrão de segurança da informação e dos sistemas. 
III – Um dos efeitos da negligência quanto ao teste de software é a identificação 
de faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação 
tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, 
contemplando a segurança do software, a segurança do ambiente de 
desenvolvimento e a garantia de segurança do software desenvolvido é 
estabelecido pela norma​ ISO/IEC 15.408​. 
Assinale a única alternativa que confere com conteúdo que foi apresentado: 
 D Somente as afirmações III e IV são corretas. 
Conteúdo apresentado no tema A Organização da Segurança da Informação, 
Aula 2, páginas de 17 a 20 da Rota de Aprendizagem(versão impressa). 
 
Questão 2/5 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à 
infraestrutura que suporta a informação em si, quer sejam os computadores e os 
componentes das redes de computadores, e determinadas funções destes 
dispositivos acabam mesclando-se. Entretanto alguns dispositivos desta 
infraestrutura têm funções claramente definidas, como os proxies, os firewalls e 
os detectores de intrusão. 
Avalie as afirmativas a seguir, referentes a estes dispositivos. 
I – Softwares antivírus podem incluir um conjunto de funcionalidades como 
personal firewall, combate ao spam, ao keylogging e ao pishing, entre outras. 
II - A tradução de endereços, principal função de um Proxy, é uma medida de 
segurança que impede a identificação de endereços da rede interna aos 
elementos da rede externa. 
III - Os tipos de ​firewalls​ mais empregados podem ser classificados em filtros de 
pacotes, s​tateful inspection​ e ​application proxy gateway​. 
IV – Proxies, Firewalls e IDSs são geralmente instalados em pontos críticos das 
redes – fronteiras ou bordas, e, dependendo da configuração, podem 
transformarem-se em gargalos para a comunicação. 
Assinale a única alternativa que confere com o conteúdo que foi apresentado: 
 A Somente as afirmações I, II e III são corretas. 
Conteúdo apresentado no tema A Organização da Segurança da 
Informação, Aula 2, páginas de 4 a 8 da Rota de Aprendizagem (versão 
impressa). 
 
 
Questão 3/5 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que 
provê o controle de acesso à rede. Neste processo é necessário que o 
requisitante de acesso (AR) seja submetido à um serviço de aplicação de 
políticas de segurança, que determina o tipo de acesso a ser concedido. Uma 
vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço 
irá prover o acesso e o controle aos recursos requisitados e devidamente 
concedidos. 
Assinale a única afirmação abaixo que representa a correta relação entre os 
serviços utilizados com esse intuito. 
 A O ​Radius (o correto aqui é Kerberos) ​- Remote Authentication Dial In 
User Service (RADIUS)​ é um protocolo de rede criado pelo MIT para a 
comunicação individual segura e devidamente identificada que utiliza 
criptografia simétrica. 
 B O ​Kerberos ​é um protocolo de rede destinado a centralizar os serviços 
de autenticação, autorização e contabilização de acessos para controlar 
os computadores que se conectarão e usarão um determinado serviço 
de rede. 
 C O ​HTTPS​ é uma combinação do HTTP com o SSL, utilizado para a 
navegação segura na internet que inclui a autenticação e identificação 
do requisitante e a criptografia do tráfego. 
 D O ​SSH ​é um conjunto de serviços de comunicação criptográfica que 
opera sobre redes TCP, de forma especial para a comunicação na web, 
em conjunto com navegadores e servidores web. 
 E O ​SSL​ é um protocolo de segurança simples e ágil que permite a 
conexão e logon remoto seguro. O ​HTTPS​, por exemplo, é uma 
combinação do HTTP com o SSL. 
 
 
Questão 4/5 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de 
base para a definição e a aplicação das práticas de segurança da informação e 
de sistemas. Isso também implica em um aspecto de grande importância: a 
legalidade dessas medidas. Essa questão é de tamanha importância que alguns 
autores chegam mesmo a considerar a legalidade como um dos pilares da 
segurança da informação e dos sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se 
considerar que: 
I – A SOX (​Sarbanes Oxley​), promulgada em 2002 pelo Senado dos Estados 
Unidos, é uma lei voltada para a gestão financeira, transparência e publicidade 
dos dados contábeis.É consequência de prejuízos causados a investidores por 
meio de fraudes contábeis, resultando em impacto na segurança da informação 
e dos sistemas por todo o mundo. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de 
Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras 
para a proteção das informações de usuários de planos de saúde nos Estados 
Unidos, tem reflexo direto no tratamento da segurança das informações dos 
usuários desse segmento. 
III ​– O IFRS (International Financial Reporting Standards ou Padrão Internacional 
para Relatórios Financeiros) é um conjunto de recomendações do IASB 
(International Accounting Standards Board ou Comitê Internacional de Padrões 
Contábeis) que estabelece padrões para o tratamento e publicação de 
informações financeiras e contábeis, adotado principalmente por bancos, 
financeiras, seguradoras e agentes do mercado financeiro. 
IV​ - Os acordos de Basiléia são parte do complexo mecanismo de 
auto-regulamentação dos bancos centrais de diversos países, e estabelecem 
princípios de governança, transparência e auditoria, com impacto direto na 
segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi 
apresentado na aula: 
 E Todas as afirmações são corretas. 
Conteúdo apresentado no tema A Organização da Segurança da 
Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão 
impressa). 
Questão 5/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário 
conhecer e adequar a organização às estratégias de segurança da informação e 
de defesa. Essas estratégias, ou grande parte delas, são oriundas de estratégias 
militares, e foram validadas por sua aplicação por anos a fio no decorrer da 
história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e 
defesa: 
( F ) Uma white list é uma relação de proibições ou restrições, isto é, do que não 
pode. Já o oposto, a black list, é a lista sem restrições ou com as permissões, 
isto é, do que pode¸ normalmente aplicada quando o universo de possibilidades 
é difícil de se dimensionar 
( V ) O cancelamento ou estorno de uma operação que requer a aprovação de 
um superior é um caso de aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são 
convergentes, embora possam ser aplicados em diferentes níveis ou estágios 
da proteção. 
( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias 
entre si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso 
de mecanismos de proteção complexos. 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e 
V para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado 
no material e em aula: 
 D F-V-V-V 
Conteúdo apresentado no tema Organização da Segurança da 
Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão 
impressa). 
 
Questão Extra - Segurança em Sistemas de Informação 
Os controles de acesso geralmente operam em conjunto com os controles de verificação 
para estabelecer a devida autorização e garantir a autenticidade das operações. A maioria 
dos sistemas baseia -se no conjunto identificação (ID) e senha (PASSWORD), porém para 
muitas operações críticas e o uso de informações sensíveis estes controles não são 
suficientes. 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta: 
C A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias 
e funcionalidades são requisitos dos controles de acesso e identidade. 
 
APOL 3 
Questão 1/5 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da 
informação é a que adota os mecanismos de segurança desde o início do 
processo de desenvolvimentodo software. O quão mais cedo neste processo se 
pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quanto à 
estratégias e mecanismos de segurança a serem adotados, métodos, técnicas e 
ferramentas auxiliares e disponíveis para o processo de desenvolvimento e a 
redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as 
seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos 
de teste de software, os quais são geralmente enfatizados pelas organizações 
devido à sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das 
questões de segurança do software é uma prática comum, o que tem elevado 
continuamente o padrão de segurança da informação e dos sistemas. 
III – Um dos efeitos da negligência quanto ao teste de software é a identificação 
de faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação 
tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, 
contemplando a segurança do software, a segurança do ambiente de 
desenvolvimento e a garantia de segurança do software desenvolvido é 
estabelecido pela norma​ ISO/IEC 15.408​. 
Assinale a única alternativa que confere com o conteúdo que foi apresentado e 
com a sua análise: 
 D Somente as afirmações III e IV são corretas. 
 
Questão 2/5 - Segurança em Sistemas de Informação 
Cada sistema computacional possui suas particularidades, quer seja em função 
de suas capacidades – processamento, memória, interfaces, autonomia – quer 
seja em função de sua constituição física ou mobilidade, e também da 
programação à qual é capaz de corresponder. E estas particularidades 
determinam e requerem proteção adequada. É possível classificar e separar os 
tipos de proteção necessária aos componentes do sistema computacional em 
grupos com características distintas. 
Analise as afirmativas a seguir com base nesta abordagem: 
I – A proteção contra intempéries e fenômenos naturais evita que haja falta de 
energia devido à interrupção do fornecimento por parte da rede elétrica. 
II – Os controles de qualidade atuam sobre a disponibilidade da energia evitando 
a interrupção do fornecimento. 
III – Os controles de acesso, criptografia e capacidade de tráfego são aplicados 
sobre as comunicações dos sistemas computacionais. 
IV – Hardware e software requerem mecanismos de proteção distintos, embora 
estes possam trabalhar de forma conjunta ou interdependente. 
Assinale a única alternativa que está de acordo com o conteúdo que foi 
apresentado nas aulas e com a sua análise 
 E Somente as afirmações III e IV são corretas. 
 
Questão 3/5 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que 
provê o controle de acesso à rede. Neste processo é necessário que o 
requisitante de acesso (AR) seja submetido à um serviço de aplicação de 
políticas de segurança, que determina o tipo de acesso a ser concedido. Uma 
vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço 
irá prover o acesso e o controle aos recursos requisitados e devidamente 
concedidos. 
Analise as afirmativas a seguir, relativas aos serviços utilizados com esse intuito. 
I - O ​Radius ​- Remote Authentication Dial In User Service (RADIUS)​ é um 
protocolo de rede destinado a centralizar os serviços de autenticação, 
autorização e contabilização de acessos para controlar os computadores que se 
conectarão e usarão um determinado serviço de rede. 
 II - O ​Kerberos ​é um protocolo de rede criado pelo MIT para a comunicação 
individual segura e devidamente identificada que utiliza criptografia simétrica. 
III - O ​HTTPS​ é uma combinação do HTTP com o SSH, utilizado para a 
navegação segura na internet que inclui a autenticação e identificação do 
requisitante e a criptografia do tráfego. 
IV - O ​SSH ​é um conjunto de serviços de comunicação criptográfica que opera 
sobre redes TCP, de forma especial para a comunicação na web, em conjunto 
com navegadores e servidores web. 
Assinale a única alternativa que contempla a avaliação correta das afirmativas 
apresentadas: 
 A Somente as afirmações I e II são corretas. 
 
Questão 4/5 - Segurança em Sistemas de Informação 
A segurança da informação e dos sistemas que fazem uso da internet está ligada 
à segurança das redes – locais e de longa distância. Os diversos serviços 
colocados à disposição, entre eles o correio eletrônico - o e-mail, as redes 
sociais, os serviços de mensagem instantânea e os serviços de comércio 
eletrônico dependem da infraestrutura de rede e de seus recursos associados. 
Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às 
redes e à Internet, classificando-as como (F)alsas ou (V)erdadeiras: 
( f ) O IPSec ou IP Security tem como objetivo oferecer segurança para pacotes 
de dados na rede, provendo confidencialidade e autenticação no protocolo TCP 
(pra mim, o certo é protocolo IP). 
( f ) O SSL / TLS são protocolos que oferecem segurança ponto-a-ponto para 
aplicações que necessitam segurança na camada de transporte de dados do 
protocolo IP (o certo pra mim é TCP). 
( v ) Uma VPN oferece comunicação segura ponto a ponto por meio da internet, 
constituindo uma rede criptografada dentro da internet. 
( v ) Uma das mais importantes funções de um firewall é aplicar as regras da 
política de segurança da organização, visando proteger e controlar o acesso a 
sistemas e informações. 
Assinale a única alternativa que corresponde à classificação correta das 
afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 C F-F-V-V 
Questão 5/5 - Segurança em Sistemas de Informação 
Embora a informação possa manifestar-se em diversos meios – impressa ou 
eletrônica, analógica ou digital, etc., é no modelo digital e eletrônico que tem seu 
expoente em termos de volume, flexibilidade e facilidade de uso e acesso. Nesse 
contexto essa mesma informação está continuamente exposta a riscos de 
segurança, os quais atentam contra as suas características básicas: a 
confidencialidade, a integridade e a disponibilidade da informação. Estes riscos, 
quando concretizados, resultam no que se denomina incidente de segurança. 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, 
assinalando cada uma como (F)alsa ou (V)erdadeira: 
( ) Os serviços providos aos usuários de sistemas computacionais ou software 
através de suas interfaces estão sujeitos a falhas, erros e faltas. A manifestação 
destes em eventos resulta em um incidente de segurança. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, 
exploits e spywares, geralmente referenciados genericamente como malwares. 
Essas ameaças não são naturais, pois geralmente há um agente malicioso 
relacionado ao incidente causado por essas ameaças 
( ) As falhas relacionadas a aspectos ambientais que interferem no hardware, 
tais como interferência eletromagnética, ruídos e problemas da alimentação 
elétrica ou de temperatura de operação são denominadas falhas físicas. 
( ) Dispositivos e ambientes computacionais com características de mobilidade, 
flexibilidade, capacidade de personalização, conectividade, convergência de 
tecnologias e capacidades reduzidas de armazenamento e processamento de 
informações, como os smartphones, são mais vulneráveis. 
Assinale a única alternativa que corresponde à classificação correta das 
afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 E V-V-V-V