Exercícios Segurança da Informação

Prévia do material em texto

1) Considere os seguintes controles da política de segurança estabelecida em uma empresa:
I. Controlar o acesso de pessoas às áreas em que se encontram os servidores computacionais da empresa
II. Bloquear acesso dos funcionários a sites inseguros da internet.
III. Instalar firewall para controlar os acessos externos para a rede local da empresa.
Os controles mencionados são, respectivamente, tipificados como de segurança:
Resposta:
Físico, logica, logica
2) Analise:
I. Segurança física esta associada a proteção de recursos por meio de controles, como guardas, iluminação e detectores de movimento.
II. Controle de acesso através de usuário e senha específicos em um determinado software aplicativo pode ser caracterizado com um controle físico.
III. A segurança física esta associada ao ambiente e a segurança logica aos programas.
IV. A segurança logica deve ocorrer após a segurança física, através de softwares e protocolos.
São corretas as afirmações:
Resposta:
I, III e IV somente
3) Um técnico Judiciário está analisando as características de diversas pregas virtuais (malwares) para proceder a instalação de antivírus adequado. Dentre as características especificas por ele analisadas, estão:
I. Programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Um exemplo é um programa que se recebe ou se obtém de sites na internet e que parece ser inofensivo. Tal programa geralmente consiste em um único arquivo e necessita ser explicitamente executado para que seja instalado no computador.
II. Programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes que exploram vulnerabilidades existentes nos programas instalados no computador. Após incluído, ele é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado.
III. Programa que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia. O atacante exige pagamento de resgate para restabelecer o acesso ao usuário.
Resposta:
Cavalo de troia(trojan), backdoor e ransomware
4) O link de acesso a internet de uma instituição encontra-se muito instável porque o seu provedor não cumpre o SLA. Do ponto de vista de segurança e analise de risco, isso dever ser considero como evidencia de
Resposta:
Vulnerabilidade
5) Crime cibernético é todo crime executado on-line e inclui, por exemplo, o roubo de informações no meio virtual. Uma recomendação correta de segurança aos usuários da internet para se proteger contra a variedade de crimes cibernéticos é:
Resposta:
Gerenciar as configurações de mídias sociais para manter a maior parte das informações pessoais e privadas bloqueadas.
6) O sistema de backup de missão crítica é também chamado de ambiente de:
Resposta:
Daily Backup.
7) O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na entrada dos aparelhos, mas ela não foi o suficiente para causar danos aos equipamentos de computação a eles conectados. Conforme os termos relacionado a segurança da informação, o que ocorreu pode ser classificado como:
Resposta:
Evento
8) Pedro trabalha na área que cuida da segurança da informação de uma empresa. Por conta do risco de indisponibilidade de uma aplicação, ele criou um servidor de backup para tentar garantir que as informações sejam automaticamente replicadas do servidor principal para o servidor backup de forma redundante.
Em sua avaliação, a estratégia utilizada por Pedro para tratar o risco é considerada
Resposta:
Mitigação do risco
9) Em relação ao ciclo básico de atividades recomendado pela NBR 15999 para a realização de um bom Plano de continuidade (PCN) e que segue o modelo PDCA, selecione a etapa na qual serão implementadas as estratégias de prevenção e de mitigação:
Resposta: 
Mapeamento de Negócios.
10) O Gerenciamento da Continuidade dos Serviços de Tecnologia informação (GCSTI) é um pro cesso essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI:
Resposta: 
Obter referências para adoção das melhores práticas apropriadas em TI.
11) O roubo ou a perda de laptops é, atualmente, um dos piores problemas para a segurança da informação corporativa. A respeito da segurança da informação em ambientes e equipamentos, considere as afirmativas a seguir.
I. Realizar o inventário de todos os laptops, de forma que possam ser identificados caso sejam recuperados.
II. Criptografar todos os dados sensíveis.
III. Proteger o BIOS com senha.
IV. Em viagens aéreas, enviar o laptop separadamente com a bagagem.
Resposta:
Se somente as afirmativas I, II e III ajudam a proteger tais equipamentos e os dados que contêm
12) É um tipo de malware feito para extorquir dinheiro de sua vítima. Esse tipo de ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para que seja enviada a solução de descriptografia dos dados da vítima. O scareware é seu tipo mais comum e usa táticas ameaçadoras ou intimidadoras para induzir as vítimas a pagar.
O texto se refere ao:
Resposta:
Ransomware
13) Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:
6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
(...)
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação.
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como ¿Não-conformidade¿?
Resposta:
Falta informação nessa checagem para classificar.
14) Selecione a opção que contenha apenas itens necessários para que um processo de logon seja considerado eficiente:
	
Permitir que o usuário possa realizar tentativas de entrada no sistema até que ele consiga fazer o logon.
	
Não registrar tentativas de logon sem sucesso, de modo a evitar o armazenamento de dados desnecessário.
Informar que o computador só deve ser acessado por pessoas autorizadas e evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído.
	
Auxiliar o usuário sobre a correção de erros no logon, para facilitar a entrada do mesmo no sistema e, desse modo, aumentar a sua produtividade.
Data e hora de todas as tentativas de logon com sucesso.
Resposta:
Informar que o computador só deve ser acessado por pessoas autorizadas e evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído.
15) Complete a frase corretamente: ¿as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque _____? 
Resposta:
Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente.
16) Uma microempresa possui um nobreak convencional para seus computadores. Ele se situa em uma região com muita instabilidade no fornecimento de energiaelétrica. Na fase de processo de avaliação de riscos de seu sistema de GR, a probabilidade de faltar energia elétrica por mais tempo do que o nobreak é capaz de suportar em termos de fornecimento de energia, desligando seus computadores, foi categorizada como um risco sem tratamento. Tal risco é denominado:
Resposta:
Residual
17) Selecione a opção que se enquadra em um dos motivos pelos quais o Plano de Continuidade de Negócios (PCN) pode precisar ser ajustado:
Surgiu uma nova metodologia no mercado e, portanto, deve ser implementada imediatamente nas estratégias atuais.
	
A avaliação e o teste das estratégias são eficazes.
As funções e responsabilidades são bem definidas.
	
A organização precisa fazer mudanças para demonstrar aos seus usuários e clientes que está se atualizando constantemente.
	
Mudança nas funções e membros da equipe de continuidade de negócios.
Resposta:
Mudança nas funções e membros da equipe de continuidade de negócios.
18) O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI:
	
Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI.
	
Justificar a importância do desenvolvimento da GCSTI.
Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI.
	
Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios.
	
Obter referências para adoção das melhores práticas apropriadas em TI.
Reposta:
Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios.
19) Assinale a opção correta a respeito de segurança da informação, análise de riscos e medidas de segurança física e lógica:
	
As medidas de segurança se dividem em dois tipos: as preventivas e as corretivas
Analisar riscos consiste em enumerar todos os seus tipos, quais deles expõem a informação e quais as consequências dessa exposição, bem como enumerar todas as possibilidades de perda direta e indireta
Como medida de segurança corretiva, utilizam-se firewalls e criptografia
	
Em análises de riscos, é necessário levar em conta os possíveis ataques que podem ocorrer, contudo desconsideram-se os possíveis efeitos desses ataques
Como medida de segurança preventiva, utilizam-se controle de acesso lógico e sessão de autenticação
Resposta:
Analisar riscos consiste em enumerar todos os tipos de risco, quais desses riscos expõem a informação e quais as consequências dessa exposição, bem como enumerar todas as possibilidades de perda direta e indireta.
20) Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra entidade D (destinatário) utilizando a internet. Para se comunicarem, R e D utilizam criptografia de chave pública. R+ e R são as chaves pública e privada de R, respectivamente, e D+ e D- são as chaves pública e privada de D, respectivamente.
A partir dessa situação, avalie o que se afirma.
I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m.
II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m.
III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m.
IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m.
Está correto apenas o que se afirma em:
Reposta:
I e III.
21) Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade
Resposta:
Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido.
22) Seu propósito é fornecer uma base para que se possa entender, desenvolver e implementar a continuidade de negócios em uma organização, além de fortalecer a confiança nos negócios da organização junto aos clientes e outras organizações¿. Selecione a opção para qual se aplica a afirmação citada:
Resposta:
Política de Gestão de Continuidade de Negócios (PGCN)