APOL Objetiva 1 (Regular) - SEGURANÇA EM SISTEMAS DE INFORMAÇÃO - NOTA 100

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a constituição de 1988. O 
Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. 
Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos 
tempos a aplicação de regulamentos legais ao uso da Internet. Nesse aspecto, a maior repercussão e 
abrangência foi estabelecida com a recente promulgação da: 
 
Nota: 10.0 
 
A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves 
Públicas), iniciando o uso da certificação digital e assinatura eletrônica de documentos. 
 
B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico. 
 
C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade 
intelectual de programa de computador, sua comercialização no país, etc. 
 
D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos 
íntimas da atriz de mesmo nome na internet. 
 
E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e 
deveres para o uso da Internet no Brasil. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5, 6 e 7 da 
Rota de Aprendizagem (versão impressa). 
 
Questão 2/10 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso 
à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de 
aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido 
o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos recursos 
requisitados e devidamente concedidos. 
Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com esse 
intuito. 
 
Nota: 10.0 
 
A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede 
criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza 
criptografia simétrica. 
 
B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, 
autorização e contabilização de acessos para controlar os computadores que se conectarão e 
usarão um determinado serviço de rede. 
 
C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na 
internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego. 
 
Você acertou! 
Conteúdo apresentado no tema Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 16 e 17 da Rota de Aprendizagem (versão impressa). 
 
D O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de 
forma especial para a comunicação na web, em conjunto com navegadores e servidores web. 
 
E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto 
seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL. 
 
Questão 3/10 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a que adota os 
mecanismos de segurança desde o início do processo de desenvolvimento do software. O quão mais cedo 
neste processo se pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quanto à estratégias e mecanismos de 
segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis para o processo de 
desenvolvimento e a redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de teste de software, os 
quais são geralmente enfatizados pelas organizações devido à sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das questões de segurança do 
software é uma prática comum, o que tem elevado continuamente o padrão de segurança da informação e 
dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de faltas, erros e 
vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, contemplando a segurança do 
software, a segurança do ambiente de desenvolvimento e a garantia de segurança do software desenvolvido 
é estabelecido pela norma ISO/IEC 15.408. 
Assinale a única alternativa que confere com o conteúdo que foi apresentado e com a sua análise: 
Nota: 10.0 
 
A Somente as afirmações I, II e III são corretas. 
 
B Somente as afirmações I, II e IV são corretas. 
 
C Somente as afirmações II, III e IV são corretas. 
 
D Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 3, páginas de 17 a 20 
da Rota de Aprendizagem (versão impressa). 
 
E Todas as afirmações são corretas. 
 
Questão 4/10 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a 
informação em si, quer sejam os computadores e os componentes das redes de computadores, e 
determinadas funções destes dispositivos acabam mesclando-se. 
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como 
(F)alsa ou (V)erdadeira. 
( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, como 
os proxies, os firewalls e os detectores de intrusão. 
( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou danosas 
à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes ambientes. 
( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – normalmente 
a internet, executando operações de autenticação e identificação, filtragem de informações, log de acessos e 
tradução de endereços internos para externos (NAT). 
( ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada como 
um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente 
desconhecido e inseguro. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 0.0 
 
A V-F-F-V 
 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 4 e 5 da Rota de Aprendizagem (versão impressa). 
 
B F-V-V-F 
 
C F-F-V-V 
 
D F-V-V-V 
 
E V-V-V-F 
 
Questão 5/10 - Segurança em Sistemas de Informação 
Embora a informação possa manifestar-se em diversos meios – impressa ou eletrônica, analógica ou digital, 
etc., é no modelo digital e eletrônico que tem seu expoente em termos de volume, flexibilidade e facilidade de 
uso e acesso. Nesse contexto essa mesma informação está continuamente exposta a riscos de segurança, 
os quais atentam contra as suas características básicas: a confidencialidade, a integridade e a disponibilidade 
da informação. Estes riscos, quando concretizados, resultam no que se denomina incidente de segurança. 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada uma como (F)alsa 
ou (V)erdadeira: 
( ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas interfaces 
estão sujeitos a falhas, erros e faltas. A manifestação destes em eventos resulta em um incidentede 
segurança. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, 
geralmente referenciados genericamente como malwares. Essas ameaças não são naturais, pois geralmente 
há um agente malicioso relacionado ao incidente causado por essas ameaças 
( ) As falhas relacionadas a aspectos ambientais que interferem no hardware, tais como interferência 
eletromagnética, ruídos e problemas da alimentação elétrica ou de temperatura de operação são 
denominadas falhas físicas. 
( ) Dispositivos e ambientes computacionais com características de mobilidade, flexibilidade, capacidade de 
personalização, conectividade, convergência de tecnologias e capacidades reduzidas de armazenamento e 
processamento de informações, como os smartphones, são mais vulneráveis. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 
A V-F-F-V 
 
B F-V-V-F 
 
C F-F-V-V 
 
D F-V-V-V 
 
E V-V-V-V 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 9 a 15 da Rota de Aprendizagem (versão impressa). 
 
Questão 6/10 - Segurança em Sistemas de Informação 
Um Sistema Gerenciador de Banco de Dados tem por objetivo possibilitar o armazenamento, a recuperação e 
a modificação da maneira mais rápida possível, além de preservar estes dados de maneira confiável e 
segura. A segurança das informações em um banco de dados é obtida por intermédio de mecanismos, 
componentes e operações, entre as quais: 
I - Controle de acesso e permissões, registro de atividades e histórico de modificações. 
II - Preservação por meio de cópias de segurança – os backups e redundância. 
III – O armazenamento dos dados em nuvem - o cloud computing – devido à sua capacidade quase 
inesgotável de processamento e armazenagem. 
IV – O uso de outros serviços vinculados aos bancos de dados, como o Data Warehouse- DW, o Business 
Inteligence – BI e o Big Data. 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado: 
 
Nota: 10.0 
 
A Somente as afirmações I e II são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da Aula 4, 
páginas 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
B Somente as afirmações II e III são corretas. 
 
C Somente as afirmações II e IV são corretas. 
 
D Somente as afirmações III e IV são corretas. 
 
E Somente a afirmação IV é correta. 
 
Questão 7/10 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a 
aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de 
grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns 
autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos 
sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para a 
gestão financeira, transparência e publicidade dos dados contábeis.É consequência de prejuízos causados a 
investidores por meio de fraudes contábeis, resultando em impacto na segurança da informação e dos 
sistemas por todo o mundo. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade 
de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de 
saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das informações dos usuários 
desse segmento. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) 
é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê 
Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações 
financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado 
financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais 
de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na 
segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: 
 
Nota: 0.0 
 
A Somente as afirmações I, II e III são corretas. 
 
B Somente as afirmações I, II e IV são corretas. 
 
C Somente as afirmações I, III e IV são corretas. 
 
D Somente as afirmações II, III e IV são corretas. 
 
E Todas as afirmações são corretas. 
 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5 e 6 da 
Rota de Aprendizagem (versão impressa). 
 
Questão 8/10 - Segurança em Sistemas de Informação 
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à 
autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à 
informação estando fora do perímetro de segurança da organização. 
O processo de identificação precisa ser completado com a verificação, com base em: 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
II – Um token, cartão, chave física ou criptográfica, alguma coisa que o solicitante possui no momento da 
autorização. 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, que se refere à biometria 
estática do solicitante. 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de 
digitação. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: 
 
Nota: 0.0 
 
A Somente as afirmações I e III são corretas. 
 
B Somente as afirmações II e IV são corretas. 
 
C Somente as afirmações III e IV são corretas. 
 
D Somente as afirmações I e IV são corretas. 
 
E Todas as afirmações são corretas. 
 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, página 4 da Rota de Aprendizagem (versão impressa). 
 
Questão 9/10 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que possa 
ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a falhas de 
segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou apresentarem 
comportamento incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou 
apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo seu uso 
intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não foi 
comprovada, seja por haver interesses escusos devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre 
ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em 
recursos financeiros para a proteção dos ativos e redução das ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e 
executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são 
elaboradas à partir de uma matriz PxI – Probabilidade x Impacto. 
Assinale a única alternativaque está de acordo com o material e com o que foi apresentado na aula: 
 
Nota: 10.0 
 
A Somente as afirmações I e III são corretas. 
 
B Somente as afirmações II e IV são corretas. 
 
C Somente as afirmações III e IV são corretas. 
 
D Somente as afirmações IV e V são incorretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 9 a 13 da 
Rota de Aprendizagem (versão impressa). 
 
E Todas as afirmações são corretas. 
 
Questão 10/10 - Segurança em Sistemas de Informação 
A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se 
considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas de 
maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir). 
Com relação ao processo de gestão de riscos é correto afirmar que: 
 
Nota: 10.0 
 
A Impacto é a medida do resultado que um incidente pode produzir nos negócios da organização. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 12 a 14 da 
Rota de Aprendizagem (versão impressa). 
 
B A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos, e 
auxilia no cálculo do ROI – return of investiment. 
 
C Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela 
eliminação de vulnerabilidades ou tratamento contra as ameaças. 
 
D Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do risco. 
 
E Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo 
aplicando um tratamento aos riscos é improvável que se consiga eliminá-los totalmente.