Prova segurança informação

Prévia do material em texto

Avaliação Presencial - Primeira Chamada - 06/06/2020 - Vespertino
	Segurança da Informação Web
	Nome do Aluno: 
	RG: 3069822777
	Assinatura: 
	Local da Avaliação: 
	Sala: 
	Orientações Gerais
	Este documento corresponde à sua Avaliação Presencial. 
Para que você obtenha sucesso na realização desta, fique atento as seguintes orientações: 
· Confira se a avaliação possui o número de páginas total indicado no rodapé desta página.
· Utilize caneta azul ou preta, as respostas a lápis, mesmo corretas, serão desconsideradas.
· Utilize para respostas, apenas os espaços indicados após cada questão (que se encontram entre os códigos de barra). Caso haja respostas em outros lugares da avaliação, como verso ou folhas de rascunho, deverão ser sinalizadas e ficará a critério do professor considerá-las como parte da avaliação ou não.
· Não rabisque os espaços destinados ao código de barras.
· Respeite o tempo determinado para a realização da prova.
· Durante a avaliação mantenha silêncio, assim, todos terão um ambiente tranquilo.
· Se necessário, levante a mão e aguarde a aproximação do fiscal para que este possa auxiliá-lo.
· Utilize o Minha Unisul (Sistema Acadêmico) para verificar suas notas, bem como, fazer reclamações, sugestões, elogios ou críticas.
Desejamos a você uma boa avaliação! 
 
Questão 1 - (2.5 pontos): 
Assinale a alternativa correta e justifique:
Para garantir a segurança de uma VPN (Virtual Private Network), usualmente construída dentro de uma infra-estrutura de rede pública (Internet) para oferecer conectividade segura a uma rede privada, o principal recurso utilizado na sua implementação deve ser:
	ATENÇÃO: 
Não risque nesse espaço
	
	546843
	
	(X)
	a - 
	Protocolo de tunelamento e procedimentos de encriptação.
	(  )
	b - 
	Transmissão de forma síncrona.
	(  )
	c - 
	Transmissão através de meio físico óptico (cabo de fibra óptica).
	(  )
	d - 
	Realização da técnica NAT (Network Address Translation).
	(  )
	e - 
	Realização de balanceamento de carga de rede.
O único método disponível que oferece proteção tanto no armazenamento, quanto no transporte de informações por uma rede pública 
ou pela Internet, é a criptografia.
A criptografia refere-se à construção e análise de protocolos que impedem terceiros, ou o público, de lerem mensagens privadas.
A VPN implantada de forma adequada, utiliza-se de mecanismos de tunelamento implementados via uso de protocolos, 
de encriptação, que são empregados para a construção de túneis de redes virtuais privadas na internet.
Um dos principais protocolos é o IPsec, que foi projetado principalmente para proteger o tráfego da rede observando os seguintes aspectos da informação por ele transportada: 
controle de acesso, integridade da conexão, autenticação da origem dos dados, proteção contra o reenvio de pacotes e a privacidade no tráfego das informações.
IPsec usa criptografia, encapsulando um pacote de IP dentro de um pacote de IPsec. 
O processo reverso acontece no final do túnel, onde o pacote de IP original é descriptografado e encaminhado para a destinação desejada.
Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. 
	ATENÇÃO: 
Não risque nesse espaço
	
	546843
Questão 2 - (2.5 pontos): 
Leia o texto a seguir:
Cenário
Uma empresa de seguros de saúde, atende a toda a região sudeste. Ela possui no Rio de Janeiro a sua sede, disposta em um prédio de 5 andares, e mais um escritório em outro prédio, posicionado a 1.500 mts da sede. Além da sede no RJ, a empresa possui mais duas filiais, posicionadas em São Paulo e Belo Horizonte, e 4 escritórios de representação nas cidades de Vitória, Nova Iguaçu, Campinas e Sete Lagoas. Hoje a empresa não possui nenhuma política de segurança na sede, suas filiais e escritórios.
A sua empresa de consultoria foi contratada para prover uma melhor segurança ao sistema computacional da Empresa de seguros de saúde. Com a finalidade de melhor prover segurança à Empresa, responda os questionamentos abaixo:
Sabendo-se que a segurança da informação se baseia no tripé de confidencialidade, integridade e disponibilidade, conceitue cada um destes aspectos e como você os classificaria em ordem crescente de prioridade, com o objetivo de propor uma melhor segurança às informações da empresa Já Morreu (OBS: leve em consideração o negócio da Empresa - seguros de saúde). Justifique a resposta.
	ATENÇÃO: 
Não risque nesse espaço
	
	546844
	Em poucas palavras, 
você precisa guardar um segredo (informação confidencial) que só pode ser conhecido por determinadas pessoas (confidencialidade), 
sem aumentar, diminuir ou distorcer o fato (integridade) e 
pode ser consultado quando for necessário (disponibilidade).
1. Disponibilidade
A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa, ou seja, 
se eles podem ser consultados a qualquer momento pelos colaboradores.
Esse aspecto garante que as informações e os recursos estejam disponíveis para aqueles que precisam deles.
Esse conceito é utilizado, principalmente, para garantir que os serviços organizacionais estejam disponíveis;
2. Confidencialidade
A confidencialidade tem a ver com a privacidade dos dados da organização. 
Esse conceito se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas 
organizacionais por meio de ciberataques, espionagem, entre outras práticas.
Esse aspecto garante que as informações sejam acessadas apenas por pessoas autorizadas. É implementada usando mecanismos unitários 
ou multifatoriais de segurança, como nomes de usuário, senhas, listas de controle de acesso (ACLs) tokens e criptografia.
Além disso, a confidencialidade está relacionada ao princípio do "menor privilégio" ou hierarquização, que estabelece acesso apenas a poucas pessoas, 
conforme a necessidade de conhecimento e o nível de responsabilidade por ele instituído.
3. Integridade
Integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida.
É importante que os dados circulam ou sejam armazenados do mesmo modo como foram criados, sem que haja interferência externa para corrompê-los, comprometê-los ou danificá-los.
Esse princípio garante que as informações, tanto em sistemas subjacentes quanto em bancos de dados, estejam em um formato verdadeiro e correto para seus propósitos originais. 
Logo, o receptor da informação detém as mesmas informações que o seu criador.
Dessa forma, a informação pode ser editada apenas por pessoas autorizadas e permanece em seu estado original quando não for acessada. 
Assim como a confidencialidade de dados, a integridade é implementada usando mecanismos de segurança, como criptografia e hashing.
	ATENÇÃO: 
Não risque nesse espaço
	
	546844
Questão 3 - (2.5 pontos): 
Grande parte dos problemas de segurança ocorre por puro descuido e desconhecimento de procedimentos básicos, o que normalmente resultam em riscos de fraudes, sabotagens, paralisações e roubo de informação, dentre outros. Tendo como base os mecanismos de segurança conhecidos, explique em que situações podem ser aplicadas algoritmos de criptografia simétrica e assimétrica, certificados digitais e assinaturas digitais.
	ATENÇÃO: 
Não risque nesse espaço
	
	546845
	A criptografia de chave simétrica, quando comparada com a de chaves assimétricas, é a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento é mais rápido. Porém, quando usada para o compartilhamento de informações, se torna complexa pois necessidade de um canal de comunicação seguro para promover o compartilhamento da chave secreta entre as partes e dificuldade de gerenciamento de grandes quantidades de chaves.
Pode ser usado em plataformas de e-commerce para garantir segurança nos pagamentos e proteger senha de acesso dos usuários.
A criptografia de chaves assimétricas,apesar de possuir um processamento mais lento que a de chave simétrica, resolve estes problemas visto que facilita o gerenciamento (pois não requer que se mantenha uma chave secreta com cada um que desejar se comunicar) e dispensa a necessidade de um canal de comunicação seguro para o compartilhamento de chaves.
O algoritmo de criptografia assimétrica é utilizado em operações rotineiras, como envio de e-mails, compras online, assinatura digital, entre outras atividades, como por exemplo as chaves que são utilizadas por um servidor SSH.
Para aproveitar as vantagens de cada um destes métodos, o ideal é o uso combinado de ambos, onde a criptografia de chave simétrica é usada para a codificação da informação e a criptografia de chaves assimétricas é utilizada para o compartilhamento da chave secreta (neste caso, também chamada de chave de sessão). 
Este uso combinado é o que é utilizado pelos navegadores Web e programas leitores de e-mails. Exemplos de uso deste método combinado são: SSL, PGP e S/MIME.
Certificados Digitais 
Uma das principais funções do certificado digital é otimizar processos de assinatura de documentos, reduzindo custos com burocracia, impressão e cartórios. 
O certificado digital é uma identidade eletrônica para pessoas ou empresas. 
Na prática, funciona como um CPF ou um CNPJ eletrônico.
Ele é muito útil para agilizar assinatura de documentos, pois é a partir dele que é possível obter a assinatura digital. 
Ela imprime autenticidade em transações online e outras funcionalidades. 
Com essa tecnologia, é possível identificar cada usuário, além de cada documento autenticado, mesmo à distância. 
Isso confere legitimidade aos documentos digitais, que passam a possuir validade jurídica. 
A assinatura digital é principalmente usada quando mandamos mensagem a alguém, e mesmo não sendo tão importante essa mensagem tem que ser mantida em segredo. 
A utilização da assinatura digital providencia a prova inegável de que uma mensagem recebida pelo destinatário realmente foi originada no emissor. 
As assinaturas digitais podem ser usadas em qualquer tipo de documento, mesmo criptografados, assim o destinatário da mensagem pode ter a certeza da identidade do remetente e também confiar que a mensagem chegou ao destino sem nenhuma alteração
 
	ATENÇÃO: 
Não risque nesse espaço
	
	546845
Questão 4 - (2.5 pontos): 
No cenário atual da Internet, as transações econômicas tornaram-se prática comum entre os consumidores e as empresas (B2C), entre empresas (B2B) e entre empresas e o governo (B2G). Em tais transações eletrônicas, a interação humana é reduzida, e os requisitos de segurança são aplicados diretamente pelos sistemas de software. Quais as técnicas utilizadas pelas transações para que as partes envolvidas sejam identificadas com níveis aceitáveis de segurança e correção? Explique os objetivos de cada técnica.
	ATENÇÃO: 
Não risque nesse espaço
	
	546846
	Para garantir a segurança de uma transação eletrônica é necessário que se identifique os envolvidos, as partes devem apresentar suas identidades. 
O certificado digital faz o papel de uma identidade digital, ou seja, permite comprovar de forma eletrônica a identidade do usuário. 
Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico;
Protocolos criptográficos
Embora os protocolos criptográficos façam uso de algoritmos de criptografia, este não é o seu último objetivo. 
O protocolo criptográfico tem como objetivo a aplicação das técnicas necessárias para garantir todos os requisitos de segurança necessários em um determinado cenário. 
Um protocolo pode ser desenvolvido de forma personalizada, ou seja, para atender unicamente um tipo de transação eletrônica.
Os protocolos são projetados para que nenhuma das partes envolvidas necessite ser confiável, para que ele tenha sucesso. 
Ele é confeccionado para ser imune em relação a qualquer parte que tenha um comportamento desonesto.
O Protocolo SSL é o protocolo de segurança com maior uso em escala global. Ele tem como objetivo garantir a segurança de conexões realizadas no modelo TCP/IP.
O protocolo SSL também pode exigir que o cliente que está estabelecendo a conexão possua um certificado digital. 
Através dele é possível a Identificação do Cliente. Com isto será possível que a aplicação configurada no servidor consiga identificar o usuário 
que está realizando o acesso, evitando que um atacante tente se passar por um usuário do sistema.
	ATENÇÃO: 
Não risque nesse espaço
	
	546846