TESTE II DE GESTÃO DE SEGURANÇA DE TI

Prévia do material em texto

TESTE II DE GESTÃO DE SEGURANÇA DE TI
1. Analise as afirmativas e marque a INCORRETA.
 Para manter a segurança quando mudanças ocorrem, deve-se geri-las de forma sistemática. Para isso, antes de realizar qualquer alteração, deve-se planejar bem os passos, testá-los em um ambiente separado e registrar as alterações realizadas.
 Caso um sistema seja atacado e o ataque consiga impactá-lo de tal forma que se torne inoperante, ele nunca deve falhar, pois a falha permitiria o acesso do atacante. Assim, mesmo que a integridade tenha sido afetada, a disponibilidade permanecerá intacta.
 Quando todos os funcionários da empresa assumem sua responsabilidade na segurança e o administrador consegue delegar parte destas responsabilidades para pessoas-chave na empresa, consegue-se atingir a participação universal.
 A criptografia de chaves assimétricas, apesar de ter processamento mais lento que a de chave simétrica, não requer que se mantenha uma chave secreta com cada um que desejar se comunicar e dispensa a necessidade de um canal de comunicação seguro para o compartilhamento de chaves públicas.
2. Considere as afirmativas sobre PSI.
I. Para a criação de uma PSI, deve haver na estrutura da organização uma área responsável que deverá indicar um gestor qualificado para analisar e manter a política. Essa área deve iniciar o processo de elaboração da PSI, coordenando sua implantação, aprovação e revisões, bem como fazendo a designação de funções de segurança.
II. Pessoas de áreas críticas e os diversos gestores e proprietários dos sistemas informatizados devem participar do comitê de segurança. Os membros da alta administração não devem opinar na elaboração da PSI para não imporem regras desnecessárias, mas a PSI deve ser aprovada pelo mais alto dirigente da empresa.
III. A criação de um comitê de política de segurança é crucial. O comitê terá a função legisladora do processo e deve ser composto de pessoas interessadas na criação da política que representem os principais setores da organização, como TI, jurídico, engenharia, infraestrutura, recursos humanos etc.
IV. A norma ISO/IEC 27002, que trata da PSI foi atualizada para a ABNT NBR ISO/IEC 17799 em julho de 2007 e já recebeu outras atualizações como ABNT NBR ISO/IEC 17799: 2013.
Você, como um profissional de segurança, pode afirmar que estão corretas as afirmativas:
 I e III, apenas.
 I, II e IV, apenas.
 III e IV, apenas.
 I, II, III e IV.
3. “Uma onda de ataques cibernéticos maciços contra o provedor de internet Dyn interrompeu os serviços de páginas na web de grandes empresas e meios de comunicação internacionais, como Twitter, Spotify, Amazon, Netflix e o The New York Times. O ataque, programado em várias fases, durou quase 11 horas. Esse novo sistema consiste em infectar roteadores, impressoras, televisões inteligentes e todo tipo de objetos conectados com um malware que os transforma em uma espécie de ‘exército robô’ que pode lançar um ataque que satura com dados inválidos os servidores – neste caso, os da Dyn – de forma que impede os usuários reais de acessarem as páginas devido à sobrecarga provocada pela ação dos hackers. O servidor não pode atender à enorme quantidade de solicitações.”
O texto se refere a um tipo de ataque conhecido como:
 Eavesdropping.
 DDoS.
 Universal Participation.
 Cross-site scripting – XSS.
4. Analise as afirmativas e marque a correta:
 A técnica de defense in depth consiste em prevenir a exposição de informações sensíveis colocando-as em um compartimento lógico inacessível ou invisível para um invasor.
 Choke point consiste em obrigar todos os sistemas ou todo o fluxo de rede a passar por um único ponto no qual são implementados diversos controles. Este ponto pode ser um asset ou um cloud loading.
 Quando uma confirmação adicional, como uma segunda senha, um código recebido por SMS no celular cadastrado ou o número exibido por um token é solicitado, caracteriza-se a aplicação da técnica data hiding.
 Vulnerability and Penetration tests são testes realizados por testers, simulando o provável comportamento de um hacker, para verificar se os mecanismos de defesa estão funcionando e se há falhas.
5. Considere as afirmativas sobre PSI.
I. O comitê de segurança é um órgão corporativo responsável por divulgar e estabelecer os procedimentos de segurança, devendo convocar reuniões periódicas. A recente norma ISO/IEC 27017: 2017 recomenda que haja um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da PSI.
II. A PSI reúne um conjunto de princípios que norteiam a gestão de segurança de informações que deve ser observado pelo corpo técnico, gerencial e pelos usuários internos e externos. As diretrizes estabelecidas determinam as linhas mestras que devem ser seguidas para que sejam assegurados seus recursos computacionais e suas informações.
III. Uma organização não pode nem deve contratar uma consultoria especializada para ajudar na implementação e manutenção da PSI, pois, como se trata de um tema crucial para o sucesso dos negócios, os dados internos da organização ficariam perigosamente expostos.
IV. Para evitar que as regras da PSI não sejam cumpridas, a divulgação deve ser segmentada. Cada pessoa deve ter acesso às regras que a atingem relativamente à sua função, ou seja, a política deve chegar à pessoa certa com as regras que ela precisa saber.
Você, como profissional de segurança, pode afirmar que estão corretas as afirmativas:
 I, II e IV, apenas.
 III e IV, apenas.
 I, II, III e IV.
 II e IV, apenas.
6. Os sistemas operacionais de rede:
 possuem banco de contas de usuários que armazena informações como CID de cada usuário, CID dos grupos aos quais a conta pertence, lista de privilégios de acesso que a conta possui, dentre outras informações de acesso.
 armazenam as informações sobre as contas de usuários nas ACEs (Access Control Entries) da DACL (Discretionary Access Control List), que podem ser acessadas por pessoas autorizadas.
 utilizam protocolos para o gerenciamento como o CMISE/CMIP (Commom Management Information System Element / Commom Management Interchange Protocol).
 utilizam protocolos para o gerenciamento como o RMON (Remote Monitoring), TMN (Telecommunications Management Network) e SMTP (Simple Management Transport Protocol).
7.   A classificação em relação ao requisito ___I___ busca garantir que uma informação não foi corrompida ou alterada de maneira ilegal. O requisito ___II___ deve garantir a aplicação do princípio ___III___, em que cada usuário deve ter acesso apenas ao que realmente necessita e suas permissões relativas à informação devem ser apenas as essenciais para a execução de seu trabalho. O requisito __IV__ classifica a informação proporcionalmente ao seu valor ou impacto que sua falta ocasionará à organização.
As lacunas são correta e respectivamente preenchidas com:
 confidencialidade – integridade – minor privilege – disponibilidade.
 disponibilidade – confiabilidade – 2FA – integridade.
 integridade – disponibilidade – MFA – confiabilidade.
 integridade – confidencialidade – least privilege – disponibilidade.
8. A gestão dos ativos:
I. Envolve o balanceamento de custos, oportunidades e riscos em relação ao desempenho desejado dos ativos para atingir os objetivos organizacionais.
II. É um processo sistemático e de custos efetivos para implantação, operação, manutenção, atualização e descarte de ativos.
III. Permite a aplicação de abordagens analíticas nos diferentes estágios do ciclo de vida dos ativos, que se inicia com a concepção da necessidade de um ativo e segue até seu descarte.
Completa corretamente o sentido da questão o que consta em:
 I e III, apenas.
 I e II, apenas.
 II e III, apenas.
 I, II e III.
9. Considere as afirmativas e assinale a INCORRETA:
 A informação não mantém o valor ao longo do tempo. Alguns ativos de informação podem perder seu valor depois de determinado tempo ou evento.
 Informações sobre pesquisa, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos derecuperação e trilhas de auditoria são exemplos de ativos de informações intangíveis.
 Uma informação pode passar da classificação confidencial para pública em questão de horas. Nesse caso, o ativo de informação tornado público pode deixar de ser interessante e sua proteção torna-se desnecessária.
 A informação deve ser mantida íntegra, correta e disponível somente para os usuários autorizados a acessá-la. Mesmo esse acesso legítimo sendo assegurado, ainda é necessário garantir que os usuários utilizem corretamente as informações.
10. A criptografia de chaves assimétricas utiliza duas chaves: uma pública e uma privada. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la. A grande vantagem desse sistema é permitir que qualquer remetente consiga enviar uma mensagem secreta, apenas utilizando a chave pública do destinatário. A _________ da mensagem é garantida, enquanto a chave privada estiver segura. Caso outra pessoa, que não o destinatário, tenha acesso à chave privada, esta terá acesso à mensagem.
A lacuna do texto é corretamente preenchida com:
 Autenticidade.
 Assinatura digital.
 
Confidencialidade.
 Cifração.