Marcos regulatórios de segurança da informação e sistemas

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definiçã
a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um asp
de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alg
autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação 
dos sistemas.
 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que:
 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltad
para a gestão financeira, transparência e publicidade dos dados contábeis.É consequência de prejuíz
causados a investidores por meio de fraudes contábeis, resultando em impacto na segurança da 
informação e dos sistemas por todo o mundo.
 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de
usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das 
informações dos usuários desse segmento.
 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios 
Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou
Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação 
informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e 
agentes do mercado financeiro.
 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos 
centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com 
impacto direto na segurança da informação e de sistemas.
 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
 
Nota: 20.0
A Somente as afirmações I, II e III são corretas.
 
B Somente as afirmações I, II e IV são corretas.
 
C Somente as afirmações I, III e IV são corretas.
 
D Somente as afirmações II, III e IV são corretas.
 
E Todas as afirmações são corretas.
 
Questão 2/5 - Segurança em Sistemas de Informação
A segurança na rede começa com o processo de identificação e autorização, que provê o controle de
acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um 
serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma
vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso 
controle aos recursos requisitados e devidamente concedidos.
 
Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com e
intuito.
 
Nota: 20.0
A O Radius - Remote Authentication Dial In User
Service (RADIUS) é um protocolo de rede criado
pelo MIT para a comunicação individual segura e
devidamente identificada que utiliza criptografia
simétrica.
 
B O Kerberos é um protocolo de rede destinado a
centralizar os serviços de autenticação,
autorização e contabilização de acessos para
controlar os computadores que se conectarão e
usarão um determinado serviço de rede.
 
C O HTTPS é uma combinação do HTTP com o
SSL, utilizado para a navegação segura na
internet que inclui a autenticação e
identificação do requisitante e a criptografia do
tráfego.
 
D
Você acertou!
Conteúdo apresentado no tema A Organização
da Segurança da Informação, Aula 2, páginas 5
e 6 da Rota de Aprendizagem (versão
impressa).
 
Você acertou!
Conteúdo apresentado no tema Aula 03 – Os
meios para prover a Segurança da Informação e
de Sistemas, páginas 16 e 17 da Rota de
Aprendizagem (versão impressa).
 
O SSH é um conjunto de serviços de comunicação
criptográfica que opera sobre redes TCP, de forma
especial para a comunicação na web, em conjunto
com navegadores e servidores web.
 
E O SSL é um protocolo de segurança simples e ágil
que permite a conexão e logon remoto seguro.
O HTTPS, por exemplo, é uma combinação do
HTTP com o SSL.
 
Questão 3/5 - Segurança em Sistemas de Informação
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos 
práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT 
ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas
segurança da informação e de sistemas.
 
Com relação a esses referenciais, pode-se afirmar que:
 
Nota: 0.0
A O COBIT é um padrão para o gerenciamento de
serviços e infraestrutura de TI e, portanto, não
auxilia na identificação de vulnerabilidades.
 
B O ITIL tem por objetivo ajudar a conhecer e
administrar os serviços e ativos de TI. Entretanto,
por não incorporar qualquer atividade voltada para
a análise e gestão de riscos, não serve para
identificar e classificar os riscos.
 
C O ITIL é fundamental para a gestão dos processos
de TI, isto é, do conjunto de serviços que a área de
TI fornece, porém não tem qualquer influência na
segurança da informação.
 
D Ambos, ITIL e COBIT, são geralmente utilizados
apenas para a elaboração da Política de
Segurança da Informação de grandes
organizações.
 
E
As normas ISO são importantes referenciais
para a segurança da informação e dos
sistemas, e também são guias e modelos que
possibilitam a avaliação e a certificação de
empresa, processos e profissionais quanto à
segurança da informação.
 
Questão 4/5 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a 
organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande pa
delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por anos a fio no 
decorrer da história da humanidade.
 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa:
 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a b
list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando
universo de possibilidades é difícil de se dimensionar
 
 ( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso 
aplicação do princípio do menor privilégio.
 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são convergentes, embora 
possam ser aplicados em diferentes níveis ou estágios da proteção.
 
( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que 
reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos.
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeira
as afirmativas, de acordo com o conteúdo apresentado no material e em aula:
 
Nota: 20.0
A V-F-F-F
 
B F-V-V-F
 
C
Conteúdo apresentado no tema Organização da
Segurança da Informação, Aula 2, páginas 14 a
16 da Rota de Aprendizagem (versão impressa).
 
F-F-V-V
 
D F-V-V-V
 
E V-V-V-F
 
Questão 5/5 - Segurança em Sistemas de Informação
Os controles de acesso geralmente operam em conjunto com os controles de verificação para 
estabelecer a devida autorização e garantir a autenticidade das operações. A maioria dos sistemas 
baseia-se no conjunto identificação (ID) e senha (PASSWORD), porém para muitas operações críticas
o uso de informações sensíveis estes controles não são suficientes.
 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta.
 
Nota: 20.0
A Controles biométricos,certificados digitais e
assinaturas eletrônicas são substitutos típicos do
conjunto identificação (ID) e senha (PASSWORD).
 
B Cada vez mais é necessário o uso de técnicas e
mecanismos que garantam a identidade dos
agentes, devido à velocidade das aplicações.
 
C A independência do ambiente, a flexibilidade e
a interatividade com diversas tecnologias e
funcionalidades são requisitos dos controles
de acesso e identidade.
 
Você acertou!
Conteúdo apresentado no tema Organização da
Segurança da Informação, Aula 2, páginas 9 a
12 da Rota de Aprendizagem (versão impressa).
 
Você acertou!
Conteúdo apresentado no tema da Aula 03 – Os
meios para prover a Segurança da Informação e
de Sistemas, página 3 da Rota de
Aprendizagem (versão impressa).
 
D O desempenho dos controles de acesso não é um
aspecto crítico, desde que as aplicações e os
computadores sejam velozes e estejam cada vez
mais conectados.
 
E O conjunto identificação (ID) e senha
(PASSWORD), é suficiente para muitas operações
críticas, haja visto o vasto uso destes controles na
maioria das aplicações sensíveis, como o home
banking, por exemplo.