APOL Objetiva 1 (Regular) - SEGURANÇA EM SISTEMAS DE INFORMAÇÃO - NOTA 100

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação 
Embora a informação possa manifestar-se em diversos meios – impressa ou eletrônica, analógica ou digital, 
etc., é no modelo digital e eletrônico que tem seu expoente em termos de volume, flexibilidade e facilidade de 
uso e acesso. Nesse contexto essa mesma informação está continuamente exposta a riscos de segurança, 
os quais atentam contra as suas características básicas: a confidencialidade, a integridade e a disponibilidade 
da informação. Estes riscos, quando concretizados, resultam no que se denomina incidente de segurança. 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando cada uma como (F)alsa 
ou (V)erdadeira: 
( ) Os serviços providos aos usuários de sistemas computacionais ou software através de suas interfaces 
estão sujeitos a falhas, erros e faltas. A manifestação destes em eventos resulta em um incidente de 
segurança. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, exploits e spywares, 
geralmente referenciados genericamente como malwares. Essas ameaças não são naturais, pois geralmente 
há um agente malicioso relacionado ao incidente causado por essas ameaças 
( ) As falhas relacionadas a aspectos ambientais que interferem no hardware, tais como interferência 
eletromagnética, ruídos e problemas da alimentação elétrica ou de temperatura de operação são 
denominadas falhas físicas. 
( ) Dispositivos e ambientes computacionais com características de mobilidade, flexibilidade, capacidade de 
personalização, conectividade, convergência de tecnologias e capacidades reduzidas de armazenamento e 
processamento de informações, como os smartphones, são mais vulneráveis. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 
A V-F-F-V 
 
B F-V-V-F 
 
C F-F-V-V 
 
D F-V-V-V 
 
E V-V-V-V 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 9 a 15 da Rota de Aprendizagem (versão impressa). 
 
Questão 2/10 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso 
à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de 
aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido 
o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos recursos 
requisitados e devidamente concedidos. 
Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com esse 
intuito. 
 
Nota: 10.0 
 
A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede 
criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza 
criptografia simétrica. 
 
B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, 
autorização e contabilização de acessos para controlar os computadores que se conectarão e 
usarão um determinado serviço de rede. 
 
C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na 
internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego. 
 
Você acertou! 
Conteúdo apresentado no tema Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 16 e 17 da Rota de Aprendizagem (versão impressa). 
 
D O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de 
forma especial para a comunicação na web, em conjunto com navegadores e servidores web. 
 
E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto 
seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL. 
 
Questão 3/10 - Segurança em Sistemas de Informação 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem 
alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas 
da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na 
organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la 
em prática e torná-la efetiva. 
Considere as afirmações a seguir quanto à Política de Segurança da Informação: 
( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização 
estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as 
punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável. 
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança 
da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco 
aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da 
informação. 
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida 
à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos 
aos quais a organização está sujeita. 
( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela 
segurança da informação da organização, levando em conta que a segurança da informação não é 
responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e tampouco 
restrita aos aspectos tecnológicos 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as 
afirmativas, de acordo com o conteúdo apresentado em aula: 
 
Nota: 0.0 
 
A V-F-F-V 
 
B F-V-V-F 
 
C F-V-V-V 
 
D V-V-V-F 
 
E F-F-V-V 
 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 8 e 9 da Rota 
de Aprendizagem (versão impressa). 
 
Questão 4/10 - Segurança em Sistemas de Informação 
A segurança da informação, entendida em um aspecto amplo, no qual impõe-se como condição a proteção de 
todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, passa 
necessariamente pela segurança do sistema operacional, um dos principais componentes de praticamente 
todo sistema computacional. 
Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que: 
 
Nota: 0.0 
 
A A iniciativa Microsoft TWC – TrustWorthy Computing, iniciada em 2002 colocou o Windows 
na posição de sistema operacional mais seguro entre todos. 
 
B O uso compartilhado de recursos, funcionalidade original do sistema operacional UNIX, tornou-
o mais vulnerável que os demais sistemas operacionais. 
 
C Sistemas operacionais proprietários e voltados para hardware específico geralmente contemplam 
características que reforçam a segurança da informação. 
 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da Aula 4, 
página 6 da Rota de Aprendizagem (versão impressa). 
 
D Computadores de grande porte – os mainframes – geralmente voltados para operações 
recorrentes e de grande capacidade de processamento, apresentam mais problemas de segurança, 
devido ao alto volume e à complexidade das operações executadas. 
 
E Os sistemas operacionais dos dispositivos móveis são mais confiáveis e seguros, uma vez que 
estes dispositivos necessitam de maior robustez e proteção, já que são atualmente os mais 
ameaçados. 
 
Questão 5/10 - Segurança em Sistemas de Informação 
Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade 
incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, apartir 
da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da fotografia, 
seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de informação 
produzida, disponível e transportada ganhou tamanha proporção. 
Avalie as afirmações sobre os conceitos de informação a seguir: 
I – A informação é restrita a um conjunto de nomes, números, imagens e sons. 
II – No mundo moderno a informação somente pode existir com o uso da tecnologia. 
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na 
separação entre a informação e os dados. 
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter sua 
utilidade e seu valor. 
V – Os dados são os resultados da análise ou processamento que, mediante processos e regras definidas, 
tornam-se inteligíveis e utilizáveis pelos seres humanos. 
Assinale a única alternativa coerente com o conteúdo apresentado na disciplina: 
 
Nota: 10.0 
 
A Somente as afirmações I e II estão corretas. 
 
B Somente as afirmações II e IV estão corretas. 
 
C Somente as afirmações III e IV estão corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 3 e 4 da Rota 
de Aprendizagem (versão impressa). 
 
D Todas as afirmações são corretas. 
 
E Nenhuma das afirmações é correta. 
 
Questão 6/10 - Segurança em Sistemas de Informação 
Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer a 
devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no conjunto 
identificação (ID) e senha (PASSWORD), porém para muitas operações críticas e o uso de informações 
sensíveis estes controles não são suficientes. 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta. 
 
Nota: 10.0 
 
A Controles biométricos, certificados digitais e assinaturas eletrônicas são geralmente utilizados 
em conjunto com a identificação (ID) e senha (PASSWORD). 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, página 3 da Rota de Aprendizagem (versão impressa). 
 
B Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos 
agentes, devido à velocidade das aplicações. 
 
C A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e 
funcionalidades são atributos exclusivos dos sistemas operacionais, e isso dificulta a utilização 
de controles de acesso. 
 
D O desempenho dos controles de acesso é um aspecto bastante crítico, exigindo que as aplicações 
e os computadores sejam cada vez mais velozes e estejam cada vez menos conectados, 
restringindo, assim, o raio de ação desses controles. 
 
E O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações 
críticas, por isso são os controles mais utilizados na maioria das aplicações sensíveis, como o 
home banking, por exemplo. 
 
Questão 7/10 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização 
às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte delas, são 
oriundas de estratégias militares de defesa e foram validadas por sua aplicação por milhares de vezes no 
decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de 
aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes pois sempre atuam 
em um mesmo nível de proteção. 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a obscuridade é 
necessário utilizar mecanismos muito complexos. 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a black list, 
é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando o universo 
de possibilidades é difícil de se dimensionar 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) as 
afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 
A V-F-F-F 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota 
de Aprendizagem (versão impressa). 
 
B F-V-V-F 
 
C F-F-V-V 
 
D F-V-V-V 
 
E V-V-V-F 
 
Questão 8/10 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de 
práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 
27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da 
informação e de sistemas. 
Com relação a esses referenciais, podemos considerar que: 
 
Nota: 10.0 
 
A O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na 
identificação de vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da 
Rota de Aprendizagem (versão impressa). 
 
B O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e por isso é 
importante para classificar os riscos. 
 
C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a 
área de TI fornece, porém não tem qualquer influência na segurança da informação. 
 
D As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em 
organizações globais. 
 
E Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de 
Segurança da Informação de grandes organizações. 
 
Questão 9/10 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a Constituição de 1988. O 
Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. 
Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos 
tempos a aplicação de regulamentos legais ao uso da Internet. 
Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, foi aprovada em tempo 
recorde a seguinte legislação: 
 
Nota: 10.0 
 
A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves 
Públicas), iniciando o uso da certificação digital e assinatura eletrônica de documentos. 
 
B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico. 
 
C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade 
intelectual de programa de computador, sua comercialização no país, etc. 
 
D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos 
íntimas da atriz de mesmo nome na internet. 
 
Você acertou! 
Conteúdo apresentado em tema da aula "A Organização da Segurança da Informação", Aula 2, páginas 5, 
6 e 7 da Rota de Aprendizagem (versão impressa). 
 
E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e 
deveres para o uso da Internet no Brasil. 
 
 
 
Questão 10/10 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a que adota os 
mecanismos de segurança desde o início do processo de desenvolvimento do software. O quão mais cedo 
neste processo se pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quantoà estratégias e mecanismos de 
segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis para o processo de 
desenvolvimento e a redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de teste de software, os 
quais são geralmente enfatizados pelas organizações devido à sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das questões de segurança do 
software é uma prática comum, o que tem elevado continuamente o padrão de segurança da informação e 
dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de faltas, erros e 
vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, contemplando a segurança do 
software, a segurança do ambiente de desenvolvimento e a garantia de segurança do software desenvolvido 
é estabelecido pela norma ISO/IEC 15.408. 
Assinale a única alternativa que confere com conteúdo que foi apresentado: 
 
Nota: 10.0 
 
A Somente as afirmações I, II e III são corretas. 
 
B Somente as afirmações I, II e IV são corretas. 
 
C Somente as afirmações II, III e IV são corretas. 
 
D Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas de 17 a 20 
da Rota de Aprendizagem (versão impressa). 
 
E Todas as afirmações são corretas.