Conceitos de Segurança da Informação

Prévia do material em texto

AULA 1
	
	 1.
		O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a afirmar que ________________________é o elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.
					Dado
		2.
		Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a:
 					Dado
		3.
		Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação é uma mercadoria capaz de produzir conhecimento, e a informação incluída em um sinal é o que podemos aprender dela... O conhecimento é identificado com a crença produzida (ou sustentada) pela informação.
II-A informação atualmente é um recurso estratégico para empresas, possibilitando a sustentabilidade do negócio, gerando conhecimento sobre os processos e apoiando as tomadas de decisões.
III-A informação deve ser cuidada por meio de políticas e regras, da mesma maneira que os recursos financeiro e material são tratados dentro da empresa.
					Todas corretas 
		.
		Em relação a segurança da informação análise as seguintes afirmações:
I. "A segurança da informação tem a função de minimizar os riscos da organização em relação à dependência do uso dos recursos de informação para o funcionamento da mesma"
II. "Sem a informação ou com uma incorreta, as empresas podem ter perdas que comprometam o seu funcionamento e o retorno de investimento dos acionistas."
III. "Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e a sua missão seja alcançada".
 
Assinale a opção que contenha as afirmações corretas
				Todas corretas 
		5.
		No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser:
1)      Físicas
2)      Lógicas
3)      Administrativas
 Analise as questões abaixo e relacione o tipo corretamente:
(        ) Procedimento
(        ) Fechadura
(        ) Firewall
(        ) Cadeado
(        ) Normas
	
	
	
	3, 1, 2, 1, 3
		6.
		No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de?
				Risco
		7.
		"É um conjunto organizado de dados, que constitui uma mensagem sobre um determinado fenômeno ou evento."
"Permite resolver problemas e tomar decisões, tendo em conta que o seu uso racional é base do conhecimento."
"É um fenômeno que confere significado ou sentido às coisas, já que através de códigos e de conjuntos de dados, forma os modelos do pensamento humano."
As citações supracitadas dizem respeito ao conceito de: (assinale a alternativa correta)
				Informação
		8.
		Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A informação de uma empresa na maioria das vezes pode ser pública, para que prejudique o funcionamento, integridade, estratégias e tomadas de decisões da empresa.
II-A informação torna-se um dos ativos mais importantes e valiosos dentro de uma organização, pois são cruciais para a eficácia das estratégias de uma empresa.
III-A informação é primordial para realizar com eficácia todos os processos de uma empresa, sendo assim um elemento que pode conduzir a empresa ao sucesso ou ao fracasso caso essas informações não estejam corretas
	
	
	
	Somente II e III
				Aula 2
	
		1.
		Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações?
				ATIVOS
		2.
		Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:
			Confidencialidade, Disponibilidade e Integridade
		3.
		Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são
				Medidas Preventivas
		4.
		Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança da informação sobre confiabilidade você está verificando?
				INTEGRIDADE
		5.
		Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que as informações enviadas por ele ao banco e as enviadas do banco para ele são originais, ou seja, não foram alteradas durante a transmissão? Neste caso estamos falando de:
				INTEGRIDADE
		6.
		Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)?
				Informação confidencial
		7.
		Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?
				Confidencial.
		8.
		Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação:
				Baseia-se na utilização final que se fará com a informação.
						
AULA 3
		1.
		Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco
		2.
		Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
		3.
		Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria naintenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo:
				HUMANA
		4.
		As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?
						Vulnerabilidade de Software
		5.
		É possível categorizar a criptografia em dois sistemas básicos:
· Sistema de chave secreta
· Sistema de chave pública
 
I-O sistema que utiliza de chave secreta possui como base o conhecimento de uma chave secreta entre as partes que estão se comunicando. A chave deve ser mantida em segredo para garantir a segurança desse sistema.
II-O sistema de chave pública é formulado através de uma chave conhecida pelas duas partes que estão se comunicando e uma chave privada que é guardada em segredo e tem como finalidade encriptar as informações.
III-Chave é um número a ser utilizado em conjunto com um algoritmo de criptografia na criação da mensagem cifrada
					I, II e III
		6.
		Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação.
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento.
Representam vulnerabilidades dos ativos de informação o que consta em
				
I, III e IV, somente.
		7.
		Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo?
				Engenharia social
		8.
		Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e....
			do ativo e das ameaças.
				AULA 4
		1.
		Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II .
Coluna I
1. Spyware
2. Adware
3. Engenharia Social
4. Backdoor
5. Phishing
Coluna II
( 5 ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso.
( 2 ) Software que insere propagandas em outros programas.
( 4 ) Brecha inserida pelo próprio programador de um sistema para uma invasão.
( 3 ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança.
( 1 ) Programa espião.
		5, 2, 4, 3, 1.
		2.
		O que são exploits?
	
	São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade.
		3.
		As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
Naturais, Involuntárias e Voluntarias.
		4.
		Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		ATIVO 
		5.
		Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um:
				Keylogger
		6.
		Você pode perceber que é importante detectar, analisar e depois ¿atacar¿ as ameaças em que as organizações estão susceptíveis.Em relação as redes de computadores, as ameaças podem surgir através de agente maliciosos, como os Crakers. Assinale apenas a alternativa que contenha apenas as afirmações corretas:
I-Cracker é uma pessoa que invade um sistema de segurança com o objetivo de roubar ou destruir informações dos sistemas.
II-Os Cracker não possuem como objetivo invadir um sistema com a intenção de causar algum dano especifico.
III-Os crackers já possuem características opostas, eles possuem prática na quebra da segurança dos sistemas e softwares e utilizam o conhecimento adquirido de forma a causar algum dano e de forma ilegal.
		Apenas I e III
		7.
		Atualmente, as organizações consideram a informação atrelada a tecnologia como um ativo valioso internamente. Essas organizações utilizam a tecnologia integrada a informação para gerir melhor seus negócios e agregar valor aos seus produtos e serviços.As ameaças à segurança de informação de uma empresa estão diretamente relacionadas com a perda de algumas características. Entre as afirmativas abaixo marque apenas as que contenha apenas informações corretas:
 
I-Integridade: Quando uma informação fica exposta a um usuário não autorizado e o mesmo efetua modificações nas informações sem a devida autorização.
II-Confidencialidade: Ocorre quando é possível acessar uma informação que deveria ter sigilo, como as senhas de uma usuário ou de administrador do sistema.
III-Disponibilidade: Quando uma informação não fica mais acessível para a pessoa que necessita dele.  Isso ocorre, por exemplo, quando um sistema de comunicação de uma empresa entra em falha.
I , II e III
		8.
		Pedro construiu um software malicioso capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Neste caso o programa poderá afetar o desempenho da rede e a utilização do computador. Neste caso podemos afirmar que Pedro construiu um:
			Worm
					AULA 5
		1.
		Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque:
				
Phishing Scam
		2.
		Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ?
		Backdoor
		3.
		Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque:
				Quebra de sigilo bancário
		4.
		Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentasvoltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita:
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
		5.
		Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-corrente.
				Phishing
		6.
		Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis ?
				Spam
		7.
		Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
				DDos
		8.
		Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?
			PASSIVO
1/5
2/3
3/2
4/1
5/1
6/3
7/2
8/5
9/3
10/3
		
		Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível:  (Ref.: 202003289539)
	
	
	
	
	Marca de um Produto.
	
	
	Qualidade do Serviço.
	
	
	Imagem da Empresa no Mercado.
	
	
	Confiabilidade de um Banco.
	
	
	Sistema de Informação.
	
	 
	 
		1 ponto
	
		2.
		Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-Um Worm é um programa auto-replicante, ou seja, diferentemente de uma vírus ele cria cópias de si mesmo e infecta diversos computadores.
II-O Nmap é uma ferramenta muito utilizada e difundida em ambiente operacional Linux. Inicialmente, essa ferramenta foi desenvolvida para ser utilizada na localização dos dispositivos de uma rede. Atualmente, essa ferramenta pode ser utilizada na segurança e no gerenciamento das redes de computadores.
III-O Nessuas tem a capacidade de encontrar falhas na máquina local ou na rede de computadores. Ele é dividido em "Nessusd¿"(servidor) e "nessus" (cliente), ambos com versões para ambiente Linux e Windows
 (Ref.: 202006464522)
	
	
	
	
	Somente I
	
	
	Somente II
	
	
	I, II e III
	
	
	Somente I e III
	
	
	Somente II e III
	
	 
	 
		1 ponto
	
		3.
		
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
 (Ref.: 202003475346)
	
	
	
	
	Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
	
	
	Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
	
	
	Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
	
	
	Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
	
	
	Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
	
	 
	 
		1 ponto
	
		4.
		Analise as seguintes afirmativas sobre ameaças à Segurança da Informação:
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário.
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro.
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos.
Estão CORRETAS as afirmativas:  (Ref.: 202003853490)
	
	
	
	
	I, II e III.
	
	
	I e III, apenas.
	
	
	II e III, apenas.
	
	
	II apenas
	
	
	I e II, apenas.
	
	 
	 
		1 ponto
	
		5.
		Em relação aos ataques a segurança da informação, analise as afirmações abaixo e assinale apenas a opção que contenha altenativas verdadeiras:
I-Phreaking é um expressão utilizada pra denominar um grupo de pessoas que pesquisam e exploram equipamentos dos sistemas de telefonia e sistemas conectados à rede pública de telefone.
II-O Pharming corrompe um servidor de sistemas de nomes de domínios (DNS-Domain Name System).
III-O Pharming é um tipo de ataque que busca obter informações financeiras das pessoas através da falsificação de um domínio.
 (Ref.: 202006473979)
	
	
	
	
	I , II e III
	
	
	Apenas III
	
	
	Apenas I e II
	
	
	Apenas I
	
	
	Apenas II
	
	 
	 
		1 ponto
	
		6.
		Em relação gerenciamento de risco, analise as afirmativas abaixo:
I-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações devem utilizar essa gestão em processos contínuos.     
II-Você não deve realizar a o gerenciamento de risco apenas uma vez, ele deve ser um processo continuo dentro da organização que você atua
III-O gerenciamento de risco vai garantir que você planeje quais são os risco mais prováveis de ocorrerem e quais os efeitos desses riscos no seu sistema.
 
Assinale apenas a opção com afirmações corretas:
 (Ref.: 202006473987)
	
	
	
	
	Apenas I e III
	
	
	Apenas I e II
	
	
	I , II e III
	
	
	Apenas I
	
	
	Apenas II
	
	 
	 
		1 ponto
	
		7.
		Em relação as regulamentações, analise as afirmações abaixo:
I-Os regulamentos técnicos são documentos que estabelecem requisitos técnicos e visam assegurar aspectos relativos a segurança, proteção ao meio ambiente, proteção ao consumidor e da concorrência justa.
II-Um regulamento técnico deve ser obrigatoriamente cumprido e pode ocorrer algum tipo de multa ou penalidade no caso de não cumprimento.
III-A regulamentação pode ser definida como um conjunto de regras que qualquer instituição deve seguir.
 
Assinale apenas a opção com afirmações corretas:
 (Ref.: 202006473994)
	
	
	
	
	Apenas I e II
	
	
	I, II e III
	
	
	Apenas III
	
	
	Apenas I
	
	
	Apenas II e III
	
	 
	 
		1 ponto
	
		8.
		Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando: (Ref.: 202004049084)
	
	
	
	
	Não-repúdio
	
	
	Auditoria
	
	
	Confiança
	
	
	Legalidade
	
	
	Integridade
	
	 
	 
		1 ponto
	
		9.
		Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? (Ref.: 202003369820)
	
	
	
	
	Planejamento, maturação e desenvolvimento
	
	
	Planejamento, estudo e implementação do programa
	
	
	Planejamento, desenvolvimento e implementação do programa
	
	
	Manutenção, implementação do programa e maturação
	
	
	Manutenção, desenvolvimento e implementação do programa
	
	 
	 
		1 ponto
	
		
		Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ? (Ref.: 202003369833)
	
	
	
	
	Firewall Indireto
	
	
	Firewall de Borda
	
	
	Firewall Proxy
	
	
	Firewall com Estado
	
	
	Filtro com Pacotes