SEGURANÇA FÍSICA E LÓGICA QUESTIONÁRIO UNIDADE III

Prévia do material em texto

Pergunta 1
0,1 em 0,1 pontos
	
	
	
	É correto afirmar sobre a segurança na comunicação:
I- A estratégia de privilégio mínimo se baseia na restrição das permissões de acesso que os componentes de um sistema, normalmente usuários, possuem.
II- A estratégia de privilégio mínimo, assim como a de obscuridade, não garante sozinha a segurança na comunicação.
III- A estratégia de confiança não pode ser irresponsável, sendo assim, quando um funcionário é contratado, o RH tem como obrigação fazer todos os testes possíveis de forma a avaliar a idoneidade da pessoa. Quando ela começa a trabalhar, ela assina uma série de termos que permitirão à empresa processá-la caso violações – como um vazamento de informações – sejam cometidas.
	
	
	
	
		Resposta Selecionada:
	c. 
As afirmativas I, II e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas II e III estão corretas.
	
	c. 
As afirmativas I, II e III estão corretas.
	
	d. 
Todas as afirmativas estão incorretas.
	
	e. 
As afirmativas I e III estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: A ideia é que esses componentes devem, sempre que possível, ter apenas os privilégios necessários para desempenhar suas tarefas e nunca possuir privilégios adicionais desnecessários, pois eles aumentam os riscos sem nenhum benefício em troca.
	
	
	
Pergunta 2
0,1 em 0,1 pontos
	
	
	
	A correta definição para a estratégia de segurança para comunicação de ponto de estrangulamento é:
	
	
	
	
		Resposta Selecionada:
	c. 
Quanto menos entradas uma determinada rede possui, mais fácil é o processo de monitorá-las e torná-las seguras.
	Respostas:
	a. 
Quanto mais entradas, mais fácil fica monitorar e vigiar a rede.
	
	b. 
Limita-se apenas a aspectos físicos da proteção das informações.
	
	c. 
Quanto menos entradas uma determinada rede possui, mais fácil é o processo de monitorá-las e torná-las seguras.
	
	d. 
Trata-se da combinação dos aspectos de proteção física aliados aos aspectos normativos.
	
	e. 
Não inclui aspectos físicos de proteção.
	Feedback da resposta:
	Resposta: C
Comentário: Na estratégia de ponto de estrangulamento, quanto menos entradas um prédio tem, mais fácil e mais barato fica protegê-las e vigiá-las. Este mesmo conceito se aplica de forma perfeita para segurança em redes: quanto menos entradas uma determinada rede possui, mais fácil é o processo de monitorá-las e torná-las seguras.
	
	
	
Pergunta 3
0,1 em 0,1 pontos
	
	
	
	A criptografia é uma ciência fundamental para a segurança, servindo de base para diversas tecnologias e protocolos. Criada em 1900 a.C., ganhou notoriedade na proteção das informações devido ao seu uso militar, inclusive como vantagem estratégica na confidencialidade das informações. Atualmente, utilizada pela segurança em redes, garante muito mais que apenas a confidencialidade, garante também:
I- A integridade das informações que trafegam na rede.
II- A autenticação do acesso do acesso à rede.
III- A transmissão segura de dados através da rede (confidencialidade e integridade).
IV- Armazenamento seguro das informações (confidencialidade e integridade).
	
	
	
	
		Resposta Selecionada:
	e. 
As afirmativas I, II, III e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I, II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: A criptografia muito utilizada nas redes garante: Confidencialidade, protegendo o sigilo das informações contra acesso de terceiros não autorizados; a Autenticação, quando verifica a identidade de um indivíduo ou um sistema; a Autenticidade, servindo para assegurar que a mensagem foi gerada por quem realmente alega ser; e a Integridade quando garante que as informações não foram alteradas desde a sua geração.
	
	
	
Pergunta 4
0,1 em 0,1 pontos
	
	
	
	A segurança física para redes é quesito básico para segurança da informação. E, com certeza, apesar de não ser a mais importante a ser protegida, deve ser a primeira e ter a atenção dos Administradores de Redes, por se tratar da base de uma eficaz proteção. Dessa forma, é correto afirmar sobre a segurança física de redes:
I- A segurança física tem abrangência extensa que vai desde as instalações físicas, internas e externas em todas as localidades da organização.
II- A segurança física não precisa se preocupar com a proteção dos ativos quando estão sendo transportados como valores ou fitas de backup.
III- A proteção física das redes na sua maioria trabalha de forma reativa aos incidentes de segurança da informação.
IV- A segurança física tem um escopo limitado de atuação, devendo se preocupar apenas com itens essenciais de acesso, como portas, salas de equipamentos e servidores e proteção do cabeamento da rede.
	
	
	
	
		Resposta Selecionada:
	a. 
Apenas a afirmativa I está correta.
	Respostas:
	a. 
Apenas a afirmativa I está correta.
	
	b. 
Apenas a afirmativa II está correta.
	
	c. 
Apenas a afirmativa III está correta.
	
	d. 
Apenas as afirmativas I e IV estão corretas.
	
	e. 
Apenas as afirmativas I, II e III estão corretas.
	Feedback da resposta:
	Resposta: A
Comentário: A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência extensa vai desde as instalações físicas, internas a externas, em todas as localidades da organização. A segurança física também cuida da proteção dos ativos quando estão sendo transportados, como valores ou fitas de backup.
	
	
	
Pergunta 5
0,1 em 0,1 pontos
	
	
	
	As barreiras de proteção são fundamentais e fazem parte de um conjunto de proteção chamado de perímetro de segurança. Sobre os Perímetro de Segurança é correto afirmar que:
	
	
	
	
		Resposta Selecionada:
	a. 
Trata-se da combinação de mecanismos físicos e lógicos de proteção destinados à segurança da informação.
	Respostas:
	a. 
Trata-se da combinação de mecanismos físicos e lógicos de proteção destinados à segurança da informação.
	
	b. 
Limita-se apenas aos aspectos físicos da proteção das informações.
	
	c. 
Destina-se apenas aos aspectos lógicos da proteção das informações.
	
	d. 
Trata-se da combinação dos aspectos de proteção física aliados aos aspectos normativos.
	
	e. 
Os perímetros de segurança não incluem aspectos físicos de proteção.
	Feedback da resposta:
	Resposta: A
Comentário: A melhor forma de definição para perímetro de segurança seria como uma linha delimitadora, que define uma área separada protegida por um conjunto de barreiras físicas e lógicas.
	
	
	
Pergunta 6
0,1 em 0,1 pontos
	
	
	
	As chamadas barreiras de proteção revelam a necessidade preventiva da segurança física do ambiente, que vai muito além de proteger os equipamentos conectados à rede e se estende ao controle efetivo do acesso às instalações de uma maneira geral. Seguindo essa linha de pensamento, é correto afirmar sobre as barreiras de proteção:
I- Uma barreira de segurança pode ser refletida em obstáculos que são colocados para prevenir um ataque. Exemplo: cerca elétrica e muros altos.
II- Apenas a proteção física do ambiente não garante a segurança das informações, faz-se então necessária a junção da segurança física e lógica.
III- Portas de incêndio não fazem parte do planejamento e da atuação da segurança física.
IV- Alarmes e sensores de fumaça não fazem parte do planejamento e da atuação da segurança física.
	
	
	
	
		Resposta Selecionada:
	c. 
Apenas as afirmativas I e II estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I, II e III estão corretas.
	
	b. 
Apenas a afirmativaI está correta.
	
	c. 
Apenas as afirmativas I e II estão corretas.
	
	d. 
Nenhuma das afirmativas estão corretas.
	
	e. 
As afirmativas III e IV estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: Quando nos referimos à segurança física, a palavra prevenção vem em primeiro lugar, medidas preventivas devem ser tomadas e podem ser chamadas de barreiras de segurança, que passam por todos os aspectos físicos que possam deixar a informação exposta a riscos.
	
	
	
Pergunta 7
0,1 em 0,1 pontos
	
	
	
	Elaborar uma boa estratégia de segurança para redes não é uma tarefa fácil, uma vez que dentro do processo do ciclo de vida da informação é onde ela corre mais risco, dessa maneira a adoção de segurança via obscuridade tem como características:
I- Em linhas gerais, o conceito pode ter o seu significado expandido para qualquer abordagem onde a segurança dependa total ou parcialmente de conhecimento sobre o funcionamento dos controles ou dos ativos a serem protegidos.
II- A segurança via obscuridade parte do princípio que um ativo de informação só pode ser atacado se alguém souber da sua existência.
III- A segurança por obscuridade por si mesma garante totalmente a segurança das informações.
IV- A segurança por obscuridade por si mesma não garante a segurança da informação, ela compõe um conjunto de medidas de proteção.
	
	
	
	
		Resposta Selecionada:
	c. 
Apenas as afirmativas II e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas II, III e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: Esta abordagem nunca se mostrou eficaz de maneira isolada, porém, ocultar informações que poderiam ser possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança como um todo. 
	
	
	
Pergunta 8
0,1 em 0,1 pontos
	
	
	
	Estar atento e compreender o ambiente físico é fundamental para a identificação de possíveis vulnerabilidades físicas e suas ameaças. Dessa forma, é correto afirmar sobre as ameaças e vulnerabilidades físicas à segurança da informação:
I- Ausência ou falha no controle de acesso físico aos edifícios da organização pode representar uma ameaça à segurança física.
II- Sabotagem e vandalismo são exemplos de ameaças à segurança física.
III- Sequestro e chantagem são exemplos de ameaças à segurança física.
IV- Ausência ou falhas em planos de contingência são exemplos de vulnerabilidades à segurança física da informação.
	
	
	
	
		Resposta Selecionada:
	d. 
Apenas as afirmativas II, III e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas II, III e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: D
Comentário: Vandalismo, sabotagem, sequestro e chantagem são exemplos de ameaças à segurança física. Já ausência ou falhas em planos de contingência e ausência ou falha no controle de acesso físico aos edifícios da organização são exemplos de vulnerabilidades à segurança física.
	
	
	
Pergunta 9
0,1 em 0,1 pontos
	
	
	
	Sobre os certificados digitais é correto afirmar que:
I- Os certificados digitais com valor legal devem ser emitidos pela ICP – Brasil.
II- A função principal dos certificados digitais é garantir ou atestar a identidade de determinada entidade, ou pessoa em um determinado processo.
III- As Autoridades Registradoras ARs têm por objetivo interagir com o usuário e repassar as solicitações de, por exemplo, emissão ou renovação de certificados digitais, para o processamento das ACs, garantindo, assim, a proteção das ACs contra ações externas.
IV- O relacionamento das ARs entre as ACs está dividido em três formatos: hierárquico, certificação cruzada e híbrido.
	
	
	
	
		Resposta Selecionada:
	e. 
As afirmativas I, II, III e IV estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I, II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: Os certificados digitais podem ter ou não valor legal, mas para que isso aconteça é necessário que sua emissão seja autenticada pela ICP – Brasil, que é a autoridade de registro nacional a ICP, credenciando as ACs para emitir certificados válidos juridicamente, já as ARs estão subordinadas às ACs e também têm a prerrogativa da emissão dos certificados digitais.
	
	
	
Pergunta 10
0,1 em 0,1 pontos
	
	
	
	Sobre técnicas empregadas na criptografia atual, é correto dizer que:
I- A criptografia simétrica pode ser definida como: um algoritmo e uma chave que devem ser compartilhados entre os participantes na comunicação, em que a mesma chave é utilizada tanto para codificar como para decodificar as mensagens.
II- As funções de hash têm por objetivo macro garantir que a mensagem não seja alterada durante o caminho. Para isso, a mensagem a ser criptografada recebe uma chave simétrica que é utilizada para gerar o MAC (Message Autentication Code).
III- A criptografia assimétrica tem como característica a utilização de duas chaves matematicamente relacionadas, sendo uma pública e outra privada, cujo objetivo principal de seu desenvolvimento foi de resolver os problemas de troca segura de chaves e escalabilidade, encontrados nas cifras simétricas.
IV- Quando recebo um arquivo por e-mail e esse arquivo está protegido com uma senha, nesse caso terei que utilizar a mesma chave (senha) que criptografou o arquivo para poder acessá-lo. Isso quer dizer que foi utilizada a criptografia de chaves assimétricas para compor essa proteção no arquivo.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas as afirmativas I, II e III estão corretas.
	Respostas:
	a. 
Apenas as afirmativas I e II estão corretas.
	
	b. 
Apenas as afirmativas I, II e III estão corretas.
	
	c. 
Apenas as afirmativas II e IV estão corretas.
	
	d. 
Apenas as afirmativas I, II e IV estão corretas.
	
	e. 
As afirmativas I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: A criptografia simétrica utiliza o canal de transmissão dessas informações (chave e mensagens) e, considerando que toda a segurança deste sistema depende do sigilo da chave, ela não pode ser transmitida no mesmo canal da mensagem. Para isso, são utilizados canais seguros para a troca das chaves, devido ao alto custo e canais não tão seguros para a transmissão das mensagens.
Dessa forma na criptografia assimétrica, quando uma mensagem é codificada com uma chave pública, ela somente pode ser interpretada utilizando a chave privada, e vice-versa.