Questionario 2 Segurança Física e Lógica

Prévia do material em texto

 Pergunta 1 
0,1 em 0,1 pontos 
 
Dentro do processo de autenticação segura na ótica das três esferas ou instâncias 
de autenticação, a autorização de acesso tem como função determinar os 
diversos serviços que o usuário pode acessar na rede. Dessa forma, é correto 
afirmar que: 
I- Quando utilizamos o método de autorização por serviços de diretórios 
estamos utilizando repositórios de informações sobre diversos ativos, 
geralmente de TI, armazenados de maneira centralizada com o propósito de 
permitir o seu compartilhamento. 
II- Quanto utilizamos a autorização por SSO (single sign-on), simplificamos o 
processo de logon dos usuários, permitindo que, após uma única autenticação, o 
usuário possa acessar todos os recursos que tem direito sem a necessidade de 
repetir o processo. 
III- O processo de autorização por AMS (Acccount Management Systems) 
utiliza a criação de alocação por função, e não por diretórios, através dos 
sistemas de gerência de identidades. 
IV- Devo escolher entre os formatos a melhor forma de autorização de acesso a 
sistemas e informações, lembrando que eles nunca devem ser implantados em 
conjunto, pois deixariam a rede lenta. 
 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 
b. 
Apenas as afirmativas I, II e III estão corretas. 
 
c. 
Apenas as afirmativas II e IV estão corretas. 
 
d. 
Apenas as afirmativas I, II e IV estão corretas. 
 
e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: B 
Comentário: Não existe nenhuma restrição na implantação em 
conjunto das três formas de autorização de acesso, a união delas, 
inclusive, deixaria a gestão de acesso mais robusta e adequada às 
necessidades corporativas de acesso à rede, causando pouco 
aumento de lentidão na rede. 
 
 
 Pergunta 2 
0,1 em 0,1 pontos 
 
O processo de auditoria é um componente fundamental para os sistemas de 
autenticação em redes. Para que esse processo seja efetivo, é correto afirmar que 
ele deve: 
I- Revisar e avaliar todo o processo de construção de sistemas de informação. 
Tem como característica a prevenção. 
II- A auditoria para eventos específicos abrange a análise da causa, da 
consequência e da ação corretiva cabível de eventos específicos e localizados, 
detectado por outros órgãos e levados para seu conhecimento, tem característica 
corretiva. 
III- O ciclo de auditoria inicia com o processo de auditoria de posição, no qual 
são diagnosticados “como a organização está atuando em relação aos controles 
definidos”. Após a avaliação dos pontos de controle, são selecionados e testados 
onde são verificadas suas fraquezas, caso possuam fraquezas, os pontos de 
controle se tornam pontos de auditoria que devem ser avaliados. 
IV- O inventário de pontos de controle identifica os diversos pontos que 
poderão vir a ser avaliados pelo auditor e que podem agrupar-se através de 
processos informatizados, processos manuais e resultados de processamento. 
 
Resposta Selecionada: e. 
As afirmativas I, II, III e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 
b. 
Apenas as afirmativas I, II e III estão corretas. 
 
c. 
Apenas as afirmativas II e IV estão corretas. 
 
d. 
Apenas as afirmativas I, II e IV estão corretas. 
 
e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: E 
Comentário: O processo de auditoria deve ser tratado como um 
projeto em que são definidos começo meio e fim, dessa forma, 
todas as afirmativas dispostas na questão estão corretas, pois 
fazem parte do processo de definição de escopo e de finalização e 
entrega dos relatórios de auditoria. 
 
 
 Pergunta 3 
0,1 em 0,1 pontos 
 
O que é biometria? Qual a sua importância para o processo de autenticação em 
sistemas, informações e redes? 
 
Resposta 
Selecionada: 
b. 
A biometria é a ciência que estuda a mensuração dos seres 
humanos, medindo as diferenças únicas e biológicas entre eles. 
A biometria transforma alguma característica, seja ela física ou 
comportamental, em métricas que podem tornar o ser humano 
único e, dessa forma, utiliza essa unicidade em mecanismos de 
segurança no acesso. 
Respostas: a. 
Biometria é a ciência que estuda a mensuração das espécies no 
planeta terra, sua importância reside na unicidade de 
diferenciação das espécies no processo de autenticação em 
sistemas, informações e redes. 
 
b. 
A biometria é a ciência que estuda a mensuração dos seres 
humanos, medindo as diferenças únicas e biológicas entre eles. 
A biometria transforma alguma característica, seja ela física ou 
comportamental, em métricas que podem tornar o ser humano 
único e, dessa forma, utiliza essa unicidade em mecanismos de 
segurança no acesso. 
 
c. 
A biometria é a ciência que estuda métodos de controle de 
acesso e autenticação pelas digitais, sua importância se reflete 
na maneira como podemos desenvolver os métodos de 
reconhecimento das digitais no processo de controle de 
acessos. 
 
d. 
A biometria é a ciência que desenvolve mecanismos de acesso 
seguro a redes, sua importância está relacionada às permissões 
de acesso às redes. 
 
e. 
A biometria é a ciência que elabora um processo matemático 
de permissão de acesso às redes, sistemas e informações. 
Feedback da 
resposta: 
Resposta: B 
Comentário: O estudo da mensuração dos seres humanos, 
estudando suas características biológicas únicas, é um grande 
aliado no processo de gestão e de autenticação nas redes, 
sistemas e informações. 
 
 
 Pergunta 4 
0,1 em 0,1 pontos 
 
Os processos de autorização de acesso às informações dispostas nas redes 
corporativas devem ser bem administrados e gerenciados para evitar acessos 
não desejados, dessa forma, é correto afirmar sobre as técnicas de restrição de 
acesso às informações: 
I- É viável alocar o mínimo possível de permissões para que o usuário execute 
suas atividades. 
II- Sempre devem ser checados se os privilégios condizem com as atividades 
atuais do usuário. 
III- Evitar registrar tentativas de acessos indevidos. 
IV- Não é necessário organizar e armazenar os Logs quando está implantado um 
bom sistema de autorização de acesso. 
 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 
b. 
Apenas as afirmativas I, II e III estão corretas. 
 
c. 
Apenas as afirmativas II e IV estão corretas. 
 
d. 
Apenas as afirmativas I, II e IV estão corretas. 
 
e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: B 
Comentário: O armazenamento e guarda dos Logs vai muito 
além da autorização de acesso à rede, também faz parte do 
processo de conformidade e auditoria. 
 
 
 Pergunta 5 
0,1 em 0,1 pontos 
 
Quando colocamos em prática as soluções AAA, percebemos o quanto elas são 
fundamentais para a segurança dos sistemas de autenticação em redes, dessa 
maneira, soluções são desenvolvidas para dar maior eficácia ao processo. 
Podemos exemplificar essas soluções através dos protocolos RADIUS e 
Kerberos. É correto afirmar, sobre a aplicação prática desses protocolos de 
autenticação, que: 
 
I- O protocolo RADIUS foi criado na metade dos anos 90 e foi padronizado em 
96 através da RFC 2139. Tem como principal característica o conceito de 
cliente/servidor. 
II- O protocolo Kerberos utiliza um processo de requisição de tíquete 
criptografado para autenticação que serve como uma requisição em particular de 
um servidor. Nesse processo, o tíquete é enviado pela rede, e nãoa senha do 
usuário. 
III- O RADIUS pode servir de proxy para autenticação em outros RADIUS. 
Toda a comunicação ocorre com uma chave secreta, ou seja, os dados são 
criptografados para evitar acesso indevido. 
IV- Entre os dois, somente o Kerberos utiliza criptografia para proteger os 
dados de acesso. 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 
b. 
Apenas as afirmativas I, II e III estão corretas. 
 
c. 
Apenas as afirmativas II e IV estão corretas. 
 
d. 
Apenas as afirmativas I, II e IV estão corretas. 
 
e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: B 
Comentário: Os protocolos RADIUS e Kerberos utilizam 
formatos diferentes para viabilizarem o Triple A na autenticação 
de acessos às redes, o que os dois possuem em comum é o uso de 
criptografia para proteger os dados de acesso dos usuários a rede. 
 
 
 Pergunta 6 
0,1 em 0,1 pontos 
 
Quando digo que minha rede utiliza duplo fator de autenticação através de um 
token e pela leitura da digital, estou me referindo, respectivamente, aos fatores 
de autenticação: 
 
Resposta Selecionada: c. 
Pelo que “você tem” e pelo que “você é”. 
 
Respostas: a. 
Pelo que “você sabe” e pelo que “você tem”. 
 b. 
Pelo que “você é” e pelo que “você sabe”. 
 c. 
Pelo que “você tem” e pelo que “você é”. 
 d. 
Pelo que “você sabe” e pelo que “você é”. 
 e. 
Pelo que “você tem” e pelo que “você sabe”. 
Feedback da 
resposta: 
Resposta: C 
Comentário: O duplo fator representado no exemplo da questão 
remete ao que você possui como você e pela sua diferenciação 
biológica, a biometria. 
 
 Pergunta 7 
0,1 em 0,1 pontos 
 
São exemplos corretos de políticas e boas práticas na elaboração das senhas de 
acesso a sistemas e informações: 
I- As senhas nunca devem ser trocadas, pois isso facilita o esquecimento por 
parte do usuário. 
II- As contas devem ser bloqueadas após três tentativas sem êxito. 
III- Nunca uma senha deve conter caracteres alfanuméricos e numéricos juntos, 
pois isso dificulta muito sua geração. 
IV- Deve-se utilizar sistemas que criptografem as senhas antes do envio pelas 
redes. 
 
Resposta Selecionada: c. 
Apenas as afirmativas II e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 
b. 
Apenas as afirmativas II e III estão corretas. 
 
c. 
Apenas as afirmativas II e IV estão corretas. 
 
d. 
Apenas as afirmativas I, II e IV estão corretas. 
 e. 
 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: C 
Comentário: Às vezes é necessário tornar o processo mais 
trabalhoso devido aos ataques que se aperfeiçoam a cada dia, 
dessa forma, a segurança no acesso pela metodologia do que 
“você sabe” tem que dificultar um pouco a elaboração das senhas 
para evitar senhas muito fracas. 
 
 Pergunta 8 
0,1 em 0,1 pontos 
 
Segundo MORAES (2010), a autenticação é o processo de determinar se 
alguma pessoa ou algo é realmente quem diz ser. Dessa forma, podemos afirmar 
sobre os sistemas de autenticação: 
I- Para melhor eficiência do processo de autenticação, deve ser executada para 
confirmar o acesso do usuário, em três esferas ou instâncias, a chamada triple A. 
II- Os sistemas de autenticação podem ser eficazes quando verifica-se, de forma 
clara e objetiva, se o acesso é Autêntico, Autorizado e Auditado. 
III- Soluções do tipo triple A não podem ser implantadas em conjunto, deve-se 
escolher qual dos As é mais indicado à sua necessidade de autenticação e em 
quais sistemas se encaixam melhor. 
Estão corretas: 
 
Resposta Selecionada: a. 
Apenas as afirmativas I e II. 
Respostas: a. 
Apenas as afirmativas I e II. 
 
b. 
Apenas as afirmativas II e III. 
 
c. 
Apenas as afirmativas I e III. 
 
d. 
Nenhuma das afirmativas está correta. 
 
e. 
As afirmativas I, II e III. 
Feedback da 
resposta: 
Resposta: A 
Comentário: As instâncias triple A de autenticação não apenas 
 
podem como devem trabalhar em conjunto para assim atingir 
melhor eficácia no processo de autenticação. 
 
 Pergunta 9 
0,1 em 0,1 pontos 
 
Sobre as metodologias de autenticação, é correto afirmar que: 
I- A senha é um exemplo de metodologia de acesso pelo que “você tenha”. 
II- Os Tokens são exemplos de metodologia de acesso baseada no que “você é”. 
III- Um exemplo de metodologia pelo que “você sabe” é a biometria. 
 
Resposta Selecionada: d. 
Nenhuma das afirmativas está correta. 
Respostas: a. 
Apenas a afirmativa I está correta. 
 
b. 
Apenas a afirmativa II está correta. 
 
c. 
Apenas a afirmativa III está correta. 
 
d. 
Nenhuma das afirmativas está correta. 
 
e. 
As afirmativas I, II e III estão corretas. 
Feedback 
da 
resposta: 
Resposta: D 
Comentário: O melhor exemplo da metodologia de acesso por 
algo que “você sabe” são as senhas de acesso ou os desafios e 
respostas. Já a metodologia de acesso por algo que “você tenha” 
está representada por algo que esteja sobre sua posse pessoal, a 
exemplo dos tokens e certificados digitais e, por fim, quando a 
metodologia de autenticação solicita algo que “você é”, trata-se 
das características biológicas únicas de cada ser humano, a 
biometria. 
 
 
 Pergunta 10 
0,1 em 0,1 pontos 
 
Sobre o processo de auditoria para gestão de acessos à rede, é correto afirmar 
que: 
 
I- Os pontos de controle de um processo de auditoria demonstram uma situação 
levantada que merece ser validada pela auditoria segundo determinados 
parâmetros de controle interno. 
II- Os Logs são importantes para a segurança da informação, pois 
disponibilizam informações a respeito do comportamento do usuário na rede, 
registrando acessos indevidos do próprio usuário ou até mesmo ações de 
crackers tentando acesso às informações. 
III- Nos trabalhos de auditoria das redes são verificadas se as permissões de 
acesso estão condizentes com o informado nas atribuições do usuário, se 
ocorreram tentativas de acesso a diretórios dos quais ele não tem acesso ou 
qualquer tipo de comportamento anormal na rede. 
IV- O follow-up consiste em revisar, dentro de um novo projeto de auditoria, os 
pontos de controle que apresentaram deficiências em trabalhos anteriores. 
Resposta Selecionada: e. 
As afirmativas I, II, III e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 
b. 
Apenas as afirmativas I, II e III estão corretas. 
 
c. 
Apenas as afirmativas II e IV estão corretas. 
 
d. 
Apenas as afirmativas I, II e IV estão corretas. 
 
e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: As auditorias para os sistemas de autenticação em 
redes não são diferentes dos outros processos de auditoria de 
qualquer atividade. Cabe ressaltar a importância dos registros de 
Log e as verificações dos acessos concedidos de forma periódica 
para que não passem usuários com privilégios ilegítimos ou 
tentativas de acesso indevidas.