QUESTIONÁRIO UNIDADE I

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
Por meio dessa afirmação: “Os profissionais de redes devem estar 
atentos aos agentes das ameaças que podem explorar as 
vulnerabilidades”, devemos ter em mente os seguintes conceitos: 
 
I- As vulnerabilidades representam brechas que podem representar 
portas de entrada para a concretização de um incidente ou ataque à 
segurança da informação e que possivelmente deverá causar 
impactos ao negócio da organização. 
II- As ameaças são representadas por alguma ocasião ou evento que 
pode ter potencial para causar prejuízos aos ativos informação. 
III- O impacto geralmente é representado pelo dano causado pela 
concretização do risco, quando é representado por prejuízos 
financeiros. 
 
Resposta Selecionada: e. 
As afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas II e III estão corretas. 
 c. 
Apenas as afirmativas I e III estão corretas. 
 d. 
Nenhuma das afirmativas está correta. 
 e. 
As afirmativas I, II e III estão corretas. 
Feedback 
da 
resposta: 
Resposta: E 
Comentário: Os profissionais de redes devem estar 
sempre preocupados em identificar as suas 
vulnerabilidades a fim de evitar que as ameaças venham 
a explorá-las, dessa forma, os profissionais devem 
conhecer as ameaças, mas se preocupar em fechar as 
vulnerabilidades para não ocorrer impactos que são 
representados por danos financeiros. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
A análise de risco quantitativa é dividida em cinco etapas, sobre a 
etapa de identificar as ações é correto afirmar que: 
 
Resposta 
Selecionada: 
d. 
Implementa novas políticas organizacionais e 
procedimentos, assim como maiores controles técnicos 
e físicos. 
Respostas: a. 
Ocorre sobre as ameaças que possam afetar operações 
críticas e os ativos, como hackers, criminosos, 
terroristas, ameaças naturais etc. 
 
b. 
Estima a probabilidade de um evento ocorrer com base 
no histórico das informações e julgamentos individuais. 
 
c. 
Classifica o valor, o nível de sensibilidade e a criticidade 
das operações, as potenciais perdas ou danos que 
podem ocorrer se a ameaça se realizar, incluindo ainda 
os custos de recuperação. 
 
d. 
Implementa novas políticas organizacionais e 
procedimentos, assim como maiores controles técnicos 
e físicos. 
 
e. 
Expõe os resultados que devem ser documentados e 
posteriormente cria um plano de ação. 
Feedback da 
resposta: 
Resposta: D 
Comentário: A etapa quatro refere-se a identificar as 
ações com base na análise de custo x benefício na 
condução da redução do risco. 
 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
Referente à gestão dos riscos quando a decisão é tomada, baseada 
em análise, é a simples aceitação do risco. Essa decisão pode 
ocorrer devido a: 
 
Resposta 
Selecionada: 
a. 
Quando o custo de proteger um ativo em relação a 
um determinado risco simplesmente não vale o 
benefício. 
Respostas: a. 
Quando o custo de proteger um ativo em relação a 
um determinado risco simplesmente não vale o 
benefício. 
 
 
b. 
Quando se procuram alternativas para balancear 
custo e benefício para proteção de um determinado 
ativo de informação. 
 c. 
Quando simplesmente ignora a existência do risco. 
 
d. 
Quando são tomadas medidas paliativas de mitigação 
do risco. 
 
e. 
Quando não é implantada efetivamente uma análise 
de risco efetiva. 
Feedback 
da resposta: 
Resposta: A 
Comentário: A aceitação de um risco não quer dizer que 
sua presença foi ignorada, pelo contrário, sua presença é 
reconhecida e a decisão de aceitar o risco também é 
considerada uma forma de tratamento do risco. 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
As ameaças podem ser representadas por alguma ocasião ou 
evento que pode ter potencial para causar prejuízos aos ativos 
informação. Dessa maneira, é correto afirmar sobre os tipos de 
ameaças: 
 
I- A origem das ameaças pode ser de três tipos. 
II- As ameaças acidentais são causadas por invasões, terrorismo, 
chantagem, extorsão e até espionagem. 
III- O principal agente de uma ameaça acidental são os crackers ou 
funcionários insatisfeitos. 
IV- As ameaças naturais, como enchentes e furações, são causadas 
por fenômenos da natureza. 
 
Resposta Selecionada: c. 
Apenas as afirmativas I e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I, II e III estão corretas. 
 b. 
Apenas as afirmativas II, III e IV estão corretas. 
 c. 
Apenas as afirmativas I e IV estão corretas. 
 
 d. 
As afirmativas I, II, III e IV estão corretas. 
 e. 
Apenas as afirmativas I e II estão corretas. 
Feedback 
da 
resposta: 
Resposta: C 
Comentário: As ameaças podem explorar 
vulnerabilidades e assim se concretizarem e a origem das 
ameaças pode ser: naturais, acidentais ou intencionais. 
Ameaças naturais, como fenômenos da natureza 
(enchentes, furações), têm como agentes a própria 
natureza, já as ameaças acidentais, como erros de 
usuários, falhas sistêmicas e falta de energia têm como 
agente falha ou falta de conhecimento, por fim, as 
ameaças intencionais têm como exemplo 
invasões/terrorismo, chantagem/extorsão, espionagem, 
os crackers ou funcionários insatisfeitos como agentes. 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
As proteções são definidas a partir do valor e importância que o 
ativo de informação possui para a organização e podem ser 
desenvolvidas para processos como políticas e normas, para 
pessoas, portas, alarmes e treinamento ou para tecnologia, por 
exemplo: permissão de acesso, firewalls. Sobre os aspectos de 
implantação dos mecanismos de proteção, podemos destacar: 
 
I- São sempre implantados sobre dois aspectos: o físico e o lógico. 
II- No aspecto físico, podemos destacar as Políticas, Normas e 
Procedimentos de Segurança da Informação. 
III- No aspecto lógico, podemos destacar os mecanismos como 
permissões em sistemas de arquivos, firewalls e perfis de usuários 
em aplicações, que influenciam diretamente a tecnologia. 
IV- No aspecto físico, o elemento mais influenciado são as pessoas. 
 
Resposta Selecionada: c. 
Apenas as afirmativas III e IV estão corretas. 
Respostas: a. 
Apenas as afirmativas I, II e IV estão corretas. 
 b. 
Apenas as afirmativas II, III e IV estão corretas. 
 c. 
Apenas as afirmativas III e IV estão corretas. 
 
 d. 
As afirmativas I, II, III e IV estão corretas. 
 e. 
Apenas as afirmativas I e II estão corretas. 
Feedback 
da 
resposta: 
Resposta: C 
Comentário: As proteções sempre são implantadas sobre 
três aspectos: lógico, físico e administrativo. No aspecto 
físico, como portas, fechaduras e vigilantes, visa 
influenciar o elemento pessoas, já no aspecto lógico, 
como permissões em sistemas de arquivos, firewalls e 
perfis de usuários em aplicações, influenciam 
diretamente a tecnologia, no aspecto administrativo, 
como em Políticas, Normas e Procedimentos de 
Segurança da Informação, influenciam o elemento 
processos. 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
Segundo Moraes (2010), a autenticação é o processo de determinar 
se alguma pessoa ou algo é realmente quem diz ser. Dessa forma, 
podemos afirmar sobre os sistemas de autenticação: 
 
I- Para melhor eficiência do processo de autenticação, deve ser 
executada, para confirmar o acesso do usuário, em três esferas ou 
instâncias, a chamada triple A. 
II- Os sistemas de autenticação podem ser eficazes quando 
verificam, de forma clara e objetiva, se o acesso é Autêntico, 
Autorizado e Auditado. 
III- Soluções do tipo triple A não podem ser implantadas em 
conjunto, deve-se escolher qual dos As é o mais indicado à sua 
necessidade de autenticação e em quais sistemas se encaixa 
melhor. 
 
Resposta Selecionada: a. 
Apenas as afirmativas I e II estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b.Apenas as afirmativas II e III estão corretas. 
 c. 
Apenas as afirmativas I e III estão corretas. 
 d. 
 
Nenhuma das afirmativas está correta. 
 e. 
As afirmativas I, II e III estão corretas. 
Feedback da 
resposta: 
Resposta: A 
Comentário: As instâncias triple A de autenticação não 
apenas podem como devem trabalhar em conjunto para 
assim atingir melhor eficácia no processo de 
autenticação. 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
Sobre as metodologias de autenticação, é correto afirmar que: 
 
I- A senha é um exemplo de metodologia de acesso pelo que “você 
tenha”. 
II- Os tokens são exemplos de metodologias de acesso baseadas no 
que “você é”. 
III- Um exemplo de metodologia pelo que “você sabe” é a biometria. 
 
Resposta Selecionada: d. 
Nenhuma das afirmativas está correta. 
Respostas: a. 
Apenas a afirmativa I está correta. 
 b. 
Apenas a afirmativa II está correta. 
 c. 
Apenas a afirmativa III está correta. 
 d. 
Nenhuma das afirmativas está correta. 
 e. 
As afirmativas I, II e III estão corretas. 
Feedback 
da 
resposta: 
Resposta: D 
Comentário: O melhor exemplo da metodologia de 
acesso por algo que “você sabe” são as senhas de acesso 
ou os desafios e respostas. Já a metodologia de acesso 
por algo que “você tenha” está representada por algo que 
esteja sobre sua posse pessoal, a exemplo dos tokens e 
certificados digitais, por fim, quando a metodologia de 
autenticação solicita algo que “você é”, trata-se das 
características biológicas únicas de cada ser humano, 
como a biometria. 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Dentro do processo de autenticação segura na ótica das três esferas 
ou instâncias de autenticação, a autorização de acesso tem como 
função determinar os diversos serviços que o usuário pode acessar 
na rede. Dessa forma, é correto afirmar que: 
 
I- Quando utilizamos o método de autorização por serviços de 
diretórios, estamos utilizando repositórios de informações sobre 
diversos ativos, geralmente de TI, armazenados de maneira 
centralizada com o propósito de permitir o seu compartilhamento. 
II- Quanto utilizamos a autorização por SSO ( single sign-
on) , simplificamos o processo de logon dos usuários, permitindo 
que, após uma única autenticação, o usuário possa acessar todos os 
recursos a que tem direito sem a necessidade de repetir o processo. 
III- O processo de autorização por AMS ( Account Management 
Systems) utiliza a criação de alocação por função e não por 
diretórios, através dos sistemas de gerência de identidades. 
IV- Devo escolher, entre os formatos, a melhor forma de autorização 
de acesso a sistemas e informações, lembrando que eles nunca 
devem ser implantados em conjunto, pois deixariam a rede lenta. 
 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas I, II e III estão corretas. 
 c. 
Apenas as afirmativas II e IV estão corretas. 
 d. 
Apenas as afirmativas I, II e IV estão corretas. 
 e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: B 
Comentário: Não existe nenhuma restrição na 
implantação em conjunto das três formas de autorização 
de acesso, a união delas, inclusive, deixaria a gestão de 
acesso mais robusta e adequada às necessidades 
corporativas de acesso à rede, causando pouco aumento 
de lentidão na rede. 
 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
O processo de autorização de acesso às informações dispostas nas redes corporativas deve ser 
bem administrado e gerenciado para evitar acessos não desejados, dessa forma, é correto 
afirmar sobre as técnicas de restrição de acesso às informações: 
I- É viável alocar o mínimo possível de permissões para que o usuário execute suas atividades. 
II- Sempre devem ser checados se os privilégios condizem com as atividades atuais do usuário. 
III- Evitar e registrar tentativas de acessos indevidos. 
IV- Não é necessário organizar e armazenar os logs quando está implantado um bom sistema 
de autorização de acesso. 
 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas I, II e III estão corretas. 
 c. 
Apenas as afirmativas II e IV estão corretas. 
 d. 
Apenas as afirmativas I, II e IV estão corretas. 
 e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: B 
Comentário: O armazenamento e guarda dos logs vai muito além da 
autorização de acesso à rede, também faz parte do processo de conformidade 
e auditoria. 
 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Quando colocamos em prática uma solução AAA percebemos o 
quanto ela é fundamental para a segurança dos sistemas de 
autenticação em redes, dessa maneira, soluções são desenvolvidas 
para atingir maior eficácia ao processo. Podemos exemplificar essas 
soluções através dos protocolos RADIUS e Kerberos. É correto 
afirmar, sobre a aplicação prática desses protocolos de 
autenticação: 
 
I- O protocolo RADIUS foi criado na metade dos anos 90 e foi 
padronizado em 96 através da RFC 2139. Tem como principal 
característica o conceito de cliente/servidor. 
II- O protocolo Kerberos utiliza um processo de requisição de 
tíquete criptografado para autenticação que serve como uma 
requisição em particular de um servidor. Nesse processo o tíquete é 
enviado pela rede e não a senha do usuário. 
 
III- O RADIUS pode servir de proxy para autenticação em outros 
RADIUS. Toda a comunicação ocorre com uma chave secreta, ou 
seja, os dados são criptografados para evitar acesso indevido. 
IV- Entre os dois, somente o Kerberos utiliza criptografia para 
proteger os dados de acesso. 
Resposta Selecionada: b. 
Apenas as afirmativas I, II e III estão corretas. 
Respostas: a. 
Apenas as afirmativas I e II estão corretas. 
 b. 
Apenas as afirmativas I, II e III estão corretas. 
 c. 
Apenas as afirmativas II e IV estão corretas. 
 d. 
Apenas as afirmativas I, II e IV estão corretas. 
 e. 
As afirmativas I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: B 
Comentário: Os protocolos RADIUS e Kerberos utilizam 
formatos diferentes para viabilizarem o triple A na 
autenticação de acessos às redes, o que os dois têm em 
comum é o uso de criptografia para proteger os dados de 
acesso dos usuários à rede.