Lista de Exercícios para AV2 ( incluindo questões sobre Normas 27001_27002 )

Prévia do material em texto

Lista de Exercícios para AV2 
 
 
1) No contexto da Segurança da Informação, qual a definição de Risco? 
 
Resposta: Probabilidade de um evento indesejado ocorrer, comprometendo a segurança. 
Outra Resposta: Probabilidade de uma ameaça explorar uma vulnerabilidade. 
 
 
2) No contexto da Segurança da Informação, qual a definição de Ameaça? 
 
Resposta: É a causa potencial de um incidente indesejado que pode resultar em dano para 
o sistema ou organização. 
 
 
3) No contexto da Segurança da Informação, qual a definição de Vulnerabilidade? 
 
Resposta: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou 
mais ameaças. 
 
 
4) O que é o principio da Confidencialidade? 
 
Resposta: Confidencialidade está ligada ao sigilo das informações. Significa garantir que a 
informação não será conhecida por pessoas que não estejam autorizadas para tal. 
 
 
5) O que é o principio da Integridade? 
 
Resposta: Integridade está ligada à exatidão das informações. Significa garantir que a 
informação armazenada ou transferida está correta e é apresentada corretamente para 
quem a consulta. 
 
 
6) O que é o principio da Disponibilidade? 
 
Resposta: Disponibilidade está ligada ao acesso contínuo à informações e recursos. 
Significa garantir que a informação possa ser obtida sempre que for necessário, isto é, que 
esteja sempre disponível para quem precisar dela no exercício de suas funções. 
 
 
7) O que é o principio da Autenticidade? 
 
Resposta: Entende-se por autenticidade a certeza de que um objeto (em análise) provém 
das fontes anunciadas. Outra definição de Autenticidade seria a identificação e a segurança 
da origem da informação. 
8) O que é o principio da Irretratabilidade (ou não-repúdio)? 
 
Resposta: Entende-se por irretratabilidade ou não repúdio a garantia de que o autor de uma 
informação não possa negar a autoria de tal mensagem, ou seja, se a origem (autor) da 
informação não pode se retratar (negar a autoria). 
 
 
9) O que é e como funciona um Ransonware? 
 
Resposta: Ransomware é um tipo de código malicioso que torna inacessíveis os dados 
armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento 
de resgate (ransom) para restabelecer o acesso ao usuário. O pagamento do resgate 
geralmente é feito via bitcoins. 
 
10) A criptografia simétrica (chave única) funciona resumidamente de que forma? 
 
Resposta: Usuários Alice e Bob por exemplo escolhem uma chave única. Se Alice deseja 
enviar uma mensagem cifrada para Bob ela criptografa a mensagem com a chave gerada e 
Bob decifra usando a mesma chave. Exemplos de algoritmos: Cifra de César, Enigma, DES, 
3DES e AES. 
 
 
11) A criptografia assimétrica (chave pública) funciona resumidamente de que forma? 
 
Resposta: Usuários Alice e Bob por exemplo geram suas chaves públicas e privadas. Se 
Alice deseja enviar uma mensagem cifrada para Bob ela criptografa a mensagem usando a 
chave pública de Bob. Bob por sua vez decifra a mensagem usando a chave privada dele. 
Isto é possível porque as chaves públicas e privadas dos usuários estão interrelacionadas. 
Exemplo de algoritmo: RSA. 
 
12) A assinatura digital funciona resumidamente de que forma? 
 
Resposta: Usuários Alice e Bob por exemplo geram suas chaves públicas e privadas. Se 
Alice deseja enviar uma mensagem assinada digitalmente para Bob ela assina a mensagem 
usando a chave privada dela. Bob por sua vez confere a assinatura usando a chave pública 
de Alice. Isto é possível porque as chaves públicas e privadas dos usuários estão 
interrelacionadas. 
 
 
13) Qual a definição de firewall? 
 
Resposta: Firewall é uma solução de segurança baseada em hardware ou software que, a 
partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar 
quais operações de transmissão ou recepção de dados (tráfego que sai e tráfego que entra 
na rede) podem ser executadas. 
14) Qual a relação de um firewall com a política de Segurança da Informação de uma 
organização? 
 
Resposta: Somente o tráfego autorizado pela política de segurança pode atravessar o 
firewall. 
 
 
15) O que é um CAPTCHA? 
 
Resposta: É um recurso computacional criado para confirmar que um formulário está sendo 
preenchido por um usuário humano e não por um computador. 
 
 
16) O que é uma Botnet? 
 
Resposta: É um conjunto de computadores infectados por bots, que são códigos maliciosos 
que controlam as máquinas para usá-las como origem de um ataque de DDoS. 
 
 
17) O que é um backup full (ou completo)? 
 
Resposta: É o backup completo de todos os dados de interesse. 
 
 
18) O que é um backup incremental? 
 
Resposta: Um backup incremental é uma cópia dos dados criados e modificados desde a 
última execução de backup, tanto incremental quanto completa. 
 
 
19) O que é um backup diferencial? 
 
Resposta: Um backup diferencial é uma cópia dos dados criados e modificados desde o 
último backup completo. 
 
 
20) Qual o objetivo da Norma ISO 27001? 
 
Resposta: É a principal norma para obtenção de certificação empresarial em gestão da 
segurança da informação, além disso, define requisitos necessários para a implantação de 
um SGSI (Sistema de Gestão de Segurança da Informação). Empresas podem obter 
certificação ISO 27001. 
 
 
 
 
21) Qual o objetivo da Norma ISO 27002? 
 
Resposta: O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para 
iniciar, implementar, manter e melhorar a gestão de segurança da informação, ou seja, é um 
código de boas práticas de segurança da informação. Profissionais podem obter certificação 
ISO 27002. 
 
 
22) O que é uma política de segurança de uma organização (PSI)? 
 
Resposta: É um documento que tem por objetivo possibilitar o gerenciamento da segurança 
em uma organização, estabelecendo regras e padrões para proteção da informação. Uma 
boa PSI deve conter regras e diretrizes que orientem os colaboradores, clientes e 
fornecedores com relação aos padrões de comportamento ligados à segurança da 
informação, uso de equipamentos e demais processos de negócio. A PSI é elaborada com 
base na norma ISO/IEC 27001 e pode ser complementada pela ISO/IEC 27002.