APOL 1 a 2 segurança em sistemas informação

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação 
A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente de 
grande valor. Na era da informação na qual vivemos, o volume de informação que 
produzimos, manipulamos e armazenamos é muito elevado, dada a facilidade de fazê-lo 
através dos meios eletrônicos. Embora a informação possa manifestar-se em diversos 
meios – impressa ou eletrônica, analógica ou digital, etc., é no modelo digital e 
eletrônico que tem seu expoente em termos de volume, flexibilidade e facilidade de uso 
e acesso. Nesse contexto essa mesma informação está continuamente exposta a riscos de 
segurança, os quais atentam contra as suas características básicas: a confidencialidade, a 
integridade e a disponibilidade da informação. Estes riscos, quando concretizados, 
resultam no que se denomina incidente de segurança. 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada 
uma como (F)alsa ou (V)erdadeira: 
( ) Os serviços providos aos usuários de sistemas computacionais ou software através 
de suas interfaces estão sujeitos a falhas, erros e faltas. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e 
spywares, geralmente referenciados genericamente como malwares. 
( ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que 
interferem no hardware, tais como interferência eletromagnética, ruídos e problemas da 
alimentação elétrica ou de temperatura de operação, e portanto não podem ser 
consideradas como vulnerabilidades. 
( ) Algumas características de dispositivos e ambientes computacionais eliminam as 
vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de 
personalização, a conectividade, a convergência de tecnologias e capacidades reduzidas 
de armazenamento e processamento de informações. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de 
acordo com o conteúdo apresentado no material e em aula: 
E V-V-F-F 
Questão 2/5 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que 
suporta a informação em si, quer sejam os computadores e os componentes das redes de 
computadores, e determinadas funções destes dispositivos acabam mesclando-se. 
Entretanto alguns dispositivos desta infraestrutura têm funções claramente definidas, 
como os proxies, os firewalls e os detectores de intrusão. 
Avalie as afirmativas a seguir, referentes a estes dispositivos. 
I – Softwares antivírus podem incluir um conjunto de funcionalidades como personal 
firewall, combate ao spam, ao keylogging e ao pishing, entre outras. 
II - A tradução de endereços, principal função de um Proxy, é uma medida de segurança 
que impede a identificação de endereços da rede interna aos elementos da rede externa. 
III - Os tipos de firewalls mais empregados podem ser classificados em filtros de 
pacotes, stateful inspection e application proxy gateway. 
IV – Proxies, Firewalls e IDSs são geralmente instalados em pontos críticos das redes – 
fronteiras ou bordas, e, dependendo da configuração, podem transformarem-se 
em gargalos para a comunicação. 
Assinale a única alternativa que confere com o conteúdo que foi apresentado: 
A Somente as afirmações I, II e III são corretas. 
Questão 3/5 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a 
que adota os mecanismos de segurança desde o início do processo de desenvolvimento 
do software. O quão mais cedo neste processo se pensar em riscos, ameaças e formas de 
proteger a informação, mais efetivas e abrangentes tornam-se as medidas, além de 
aumentarem as opções quanto à estratégias e mecanismos de segurança a serem 
adotados, métodos, técnicas e ferramentas auxiliares e disponíveis para o processo de 
desenvolvimento e a redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as seguintes 
afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de teste 
de software, os quais são geralmente enfatizados pelas organizações devido à sua 
importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das questões 
de segurança do software é uma prática comum, o que tem elevado continuamente o 
padrão de segurança da informação e dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de 
faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se 
muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, contemplando 
a segurança do software, a segurança do ambiente de desenvolvimento e a garantia de 
segurança do software desenvolvido é estabelecido pela norma ISO/IEC 15.408. 
Assinale a única alternativa que confere com conteúdo que foi apresentado: 
D Somente as afirmações III e IV são corretas. 
Questão 4/5 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que 
suporta a informação em si, quer sejam os computadores e os componentes das redes de 
computadores, e determinadas funções destes dispositivos acabam mesclando-se. 
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada 
uma delas como (F)alsa ou (V)erdadeira. 
( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções 
claramente definidas, como os proxies, os firewalls e os detectores de intrusão. 
( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações 
indesejadas ou danosas à informação e aos sistemas, combatendo as ameaças e 
reduzindo a vulnerabilidade destes ambientes. 
( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra 
externa – normalmente a internet, executando operações de autenticação e identificação, 
filtragem de informações, log de acessos e tradução de endereços internos para externos 
(NAT). 
( ) Os firewalls atuam entre a rede de computadores interna da organização - 
geralmente considerada como um ambiente conhecido e seguro – e a rede externa, 
geralmente considerada como um ambiente desconhecido e inseguro. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de 
acordo com o conteúdo apresentado no material 
A V-F-F-V 
Questão 5/5 - Segurança em Sistemas de Informação 
O processo de identidade e autorização é parte importante da proteção, especialmente 
no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à 
rede, aos recursos computacionais e à informação estando fora do perímetro de 
segurança da organização. 
O processo de identificação precisa ser completado com a verificação, com base em: 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática do 
solicitante. 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, 
alguma coisa que o solicitante possui no momento da autorização. 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de 
voz, caligrafia e taxa de digitação. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na 
aula: 
D Somente as afirmações I e IV são corretas. 
 
Questão 1/5 - Segurança em Sistemas de Informação 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os 
objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e 
que oriente e norteie todas as iniciativas da organização relativas à segurança da 
informação.E, atenção: é de primordial importância que todos, na organização, tenham 
conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la 
em prática e torná-la efetiva. 
Considere as afirmações a seguir quanto à Política de Segurança da Informação: 
( ) A política de segurança da informação é uma forma de legislação própria, na qual a 
Organização estabelece de forma soberana, autônoma e totalmente independente, as 
regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito 
de qualquer outra legislação vigente e aplicável. 
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na 
política de segurança da informação, e que estabeleça claramente os objetivos a serem 
alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e 
norteie todas as iniciativas da organização relativas à segurança da informação. 
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da 
informação estar submetida à legislação, alinhada com as práticas de governança 
corporativa e adequada às normas e regulamentos aos quais a organização está 
sujeita. 
( ) A política de segurança da informação também estabelece a hierarquia e as 
responsabilidades pela segurança da informação da organização, levando em conta que 
a segurança da informação não é responsabilidade exclusiva da área de tecnologia da 
informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos 
tecnológicos 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para 
as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula: 
 
E F-F-V-V 
Questão 2/5 - Segurança em Sistemas de Informação 
A gestão de riscos é um processo de suma importância para a segurança da informação. 
Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma 
sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, 
Check, Act ou seja, planejar, fazer, avaliar, corrigir). 
Com relação ao processo de gestão de riscos é correto afirmar que: 
A Impacto é a medida do resultado que um incidente pode produzir nos 
negócios da organização 
Questão 3/5 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da 
informação – para que possa ser empregada adequadamente pelos processos da 
organização. Tais ativos estão expostos a falhas de segurança da informação, possuindo 
pontos fracos que podem vir a ser explorados ou apresentarem comportamento 
incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem 
ser explorados ou apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da 
informação, seja pelo seu uso intenso, por se tratar de uma nova tecnologia cuja 
efetividade na segurança da informação ainda não foi comprovada, seja por haver 
interesses escusos devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma 
combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da 
informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode 
ser dispendido em recursos financeiros para a proteção dos ativos e redução das 
ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma 
sequencial e executadas de maneira cíclica, com base no modelo PDCA para auxiliar na 
tomada de decisão, e são elaboradas à partir de uma matriz PxI – Probabilidade x 
Impacto. 
Assinale a única alternativa que está de acordo com o material e com o que foi 
apresentado na aula: 
D Somente as afirmações IV e V são incorretas. 
Questão 4/5 - Segurança em Sistemas de Informação 
A segurança da informação é a área de conhecimento humano que tem por finalidade 
planejar e operar processos, técnicas, ferramentas e mecanismos que possam prover a 
devida proteção à informação, mas não somente isso: devem preservar seu valor. 
No que se refere à definição de segurança da informação, é correto afirmar que: 
D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes que tenham impacto nas pessoas 
ou representem risco à vida referem-se às questões de segurança (em inglês, safety) 
 abrangidos pela segurança da informação 
Questão 5/5 - Segurança em Sistemas de Informação 
A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – 
isto é, bem, patrimônio – da organização, de grande importância e valor, e que por isso 
necessita de proteção adequada. Para isso, deve-se considerar a informação em suas 
diversas formas e nos diversos meios utilizados para obter, armazenar, transportar e 
modificar a informação. 
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da 
informação: 
( ) O valor da informação é restrito ao que se pode representar com palavras escritas, 
números e imagens. 
( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da 
informação. 
( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm 
valor para o negócio da organização, necessitando, portanto, de proteção. 
( ) A necessidade de classificar a informação decorre da existência de uma grande 
diversidade de informações no ambiente pessoal e no ambiente corporativo, o que torna 
inviável a proteção total de todas essas informações. 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para 
as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina: 
C F-V-F-V