Baixe o app para aproveitar ainda mais
Prévia do material em texto
Questão 1/5 - Segurança em Sistemas de Informação Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definiçã a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um asp de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alg autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação dos sistemas. Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltad para a gestão financeira, transparência e publicidade dos dados contábeis.É consequência de prejuíz causados a investidores por meio de fraudes contábeis, resultando em impacto na segurança da informação e dos sistemas por todo o mundo. II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das informações dos usuários desse segmento. III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: Nota: 20.0 A Somente as afirmações I, II e III são corretas. B Somente as afirmações I, II e IV são corretas. C Somente as afirmações I, III e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 2/5 - Segurança em Sistemas de Informação A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso controle aos recursos requisitados e devidamente concedidos. Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com e intuito. Nota: 20.0 A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza criptografia simétrica. B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, autorização e contabilização de acessos para controlar os computadores que se conectarão e usarão um determinado serviço de rede. C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego. D Você acertou! Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa). Você acertou! Conteúdo apresentado no tema Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 16 e 17 da Rota de Aprendizagem (versão impressa). O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de forma especial para a comunicação na web, em conjunto com navegadores e servidores web. E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL. Questão 3/5 - Segurança em Sistemas de Informação Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas segurança da informação e de sistemas. Com relação a esses referenciais, pode-se afirmar que: Nota: 0.0 A O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades. B O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para identificar e classificar os riscos. C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação. D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. E As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação. Questão 4/5 - Segurança em Sistemas de Informação Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande pa delas, são oriundas de estratégias militares, e foram validadas por sua aplicação por anos a fio no decorrer da história da humanidade. Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: ( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a b list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando universo de possibilidades é difícil de se dimensionar ( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso aplicação do princípio do menor privilégio. ( ) Os princípios da diversidade da defesa e da defesa em profundidade são convergentes, embora possam ser aplicados em diferentes níveis ou estágios da proteção. ( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso de mecanismos de proteção complexos. Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeira as afirmativas, de acordo com o conteúdo apresentado no material e em aula: Nota: 20.0 A V-F-F-F B F-V-V-F C Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão impressa). F-F-V-V D F-V-V-V E V-V-V-F Questão 5/5 - Segurança em Sistemas de Informação Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer a devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha (PASSWORD), porém para muitas operações críticas o uso de informações sensíveis estes controles não são suficientes. Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta. Nota: 20.0 A Controles biométricos,certificados digitais e assinaturas eletrônicas são substitutos típicos do conjunto identificação (ID) e senha (PASSWORD). B Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos agentes, devido à velocidade das aplicações. C A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e funcionalidades são requisitos dos controles de acesso e identidade. Você acertou! Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa). Você acertou! Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, página 3 da Rota de Aprendizagem (versão impressa). D O desempenho dos controles de acesso não é um aspecto crítico, desde que as aplicações e os computadores sejam velozes e estejam cada vez mais conectados. E O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações críticas, haja visto o vasto uso destes controles na maioria das aplicações sensíveis, como o home banking, por exemplo.
Compartilhar