SEGURANÇA EM CLOUD COMPUTING - Exercícios - Pós Graduação

Prévia do material em texto

SEGURANÇA EM CLOUD COMPUTING 
 
1) Norma que trata da implementação operacionalização, monitoração, revisão, manutenção e 
melhoria de um SGSI: 
a) ISO 27001 c) ISO 27003 e) ISO 27005 
b) ISO 27002 d) ISO 27004 
Resposta: A implementação de um sistema de gestão da segurança da informação é 
realizada através da norma ISO 27001. 
 
2) Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de 
segurança da informação: 
a) PDCA c) CMMI e) 3W5H 
b) HIPAA d) SISP 
Resposta: A auditoria não faz parte do ciclo de vida da informação. 
 
3) Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em 
qualquer organização: 
a) Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI. 
b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. 
c) Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e 
melhoria do SGSI. 
d) Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão 
de Segurança da Informação. 
e) Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria 
internas e análise de risco. 
Resposta: Sistema de Gestão de Segurança da Informação, responsabilidade da direção, 
análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes 
para a implementação de um sistema de gestão em empresas de qualquer tamanho. 
 
4) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de 
segurança da informação? 
a) Suporte Técnico. d) Conscientização dos usuários. 
b) Auditoria. e) Procedimentos elaborados. 
c) Segregação de funções. 
Resposta: Sem a conscientização dos usuários, as ações de segurança da informação podem 
não alcançar os objetivos pretendidos, pois será necessária a compreensão de todos nas 
ações de segurança na organização. 
 
5) João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo 
após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma 
porção de risco que não é eliminada. Neste caso, como denominamos este tipo de risco? 
a) Risco verdadeiro. c) Risco real. e) Risco residual. 
b) Risco percebido. d) Risco tratado. 
Resposta: É a porção do risco que não conseguimos eliminar. 
 
6) Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. 
Analise as questões a seguir e identifique a opção que NÃO representa um benefício: 
a) Melhorar a efetividade das decisões para controlar os riscos. 
b) Eliminar os riscos completamente e não precisar mais tratá-los. 
c) Melhorar a eficácia no controle de riscos. 
d) Manter a reputação e imagem da organização. 
e) Entender os riscos associados ao negócio e a gestão da informação. 
Resposta: Vimos em nossas aulas que existe uma porção do risco, denominada risco residual, 
que ainda existirá mesmo depois de tratarmos um risco. 
 
7) Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para 
trabalhar na equipe. Ao chegar ele perguntou o conceito de risco. Você prontamente 
respondeu que Risco é: 
a) Probabilidade de uma ameaça explorar uma vulnerabilidade. 
b) Probabilidade de um incidente ocorrer mais vezes. 
c) Probabilidade de uma ameaça explorar um incidente. 
d) Probabilidade de um ativo explorar uma ameaça. 
e) Probabilidade de um ativo explorar uma vulnerabilidade. 
Resposta: Risco é a probabilidade de uma ameaça explorar uma vulnerabilidade. 
 
8) João trabalha na área de gestão de risco da empresa Zanfas e verificou que o custo de 
proteção contra um determinado risco está muito além das possibilidades da organização e, 
portanto, não vale a pena tratá-lo. Nesse caso, João: 
a) Aceita o risco. c) Ignora o risco. e) Trata o risco a qualquer custo. 
b) Rejeita o risco. d) Comunica o risco. 
Resposta: Aceitar um risco também é uma forma de tratá-lo. 
 
9) Norma que tem como principal objetivo estabelecer orientações para Gestão de Riscos: 
a) ISO 27001 c) ISO 27002 e) ISO 27005 
b) ISO 27033 d) ISO 27799 
Resposta: A gestão de risco é parte estruturante da implementação da segurança da 
informação nas organizações. 
 
10) Norma que tem como principal objetivo estabelecer, implementar e operar um Sistema de 
gestão de Segurança da Informação (SGSI): 
a) ISO 27001 c) ISO 27002 e) ISO 27005 
b) ISO 27006 d) ISO 27004 
Resposta: O SGSI auxilia as organizações a terem uma forma sistêmica para o 
estabelecimento, implementação e operação das ações em segurança da informação. 
 
11) Norma que tem como objetivo fornecer diretrizes para práticas de gestão de segurança da 
informação e normas de segurança da informação para as organizações, incluindo a seleção, a 
implementação e o gerenciamento de controles: 
a) ISO 27001 c) ISO 27002 e) ISO 27005 
b) ISO 27006 d) ISO 27004 
Resposta:  A norma ISO 27002 é o código de melhores práticas para a gestão de segurança 
da informação. 
 
12) Norma que fornece orientação sobre conceitos e princípios para a governança de 
segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e 
comunicar as atividades relacionadas com a segurança da informação dentro da organização. 
a) ISO 27009 c) ISO 27011 e) ISO 27033 
b) ISO 27014 d) ISO 27799 
Resposta: Os objetivos da Governança da Segurança da Informação (GSI) são: alinhar os 
objetivos e a estratégia da Segurança da Informação com os objetivos e estratégia do 
negócio da organização, agregar valor para a alta direção e para as partes interessadas 
(entrega de valor) e garantir que os riscos da informação estão sendo adequadamente 
endereçados para as pessoas responsáveis. 
 
13) Na segurança física o primeiro tipo de controle que deve ser feito é _________________ . 
Esta é a primeira barreira que deve ser estabelecida. 
a) O controle de acesso. c) O leitor biométrico. e) A trava de proteção. 
b) A leitura de cartão. d) O man trap. 
Resposta: É através do controle de acesso que a organização sabe quem deve ter acesso ou 
não deve ter acesso na empresa. 
 
14) Caracteriza-se por auxiliar na identificação, coibição e captura de invasores. Neste 
mecanismo somente uma pessoa pode ficar na área chamada de __________________. 
a) Controle de acesso. c) Man Trap. e) Área biométrica. 
b) Sistema de vigilância eletrônico. d) Portão eletrônico. 
Resposta: A ideia é identificar a pessoa que está requerendo acesso físico às dependências 
internas de forma controlada. 
 
15) Na implantação da Gestão de Continuidade de Negócios, é importante que a GCN esteja no 
nível mais alto da organização para garantir que: 
a) As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
b) As metas e objetivos dos usuários não sejam comprometidos por interrupções 
inesperadas. 
c) As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas. 
d) As metas e objetivos definidos sejam comprometidos por interrupções inesperadas. 
e) As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas. 
Resposta: Na implantação da Gestão de Continuidade de Negócios, é importante que a GCN 
esteja no nível mais alto da organização para garantir que as metas e objetivos definidos 
não sejam comprometidos por interrupções inesperadas e garantir, dessa forma, o sucesso 
da implantação. 
 
16) A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. Na adoção dessas medidas quais fatores deverão ser 
levado em consideração? 
a) O período máximo de interrupção tolerável da atividade crítica, os custos de 
implementação de cada estratégia e as consequências de não se tomar uma ação. 
b) O período máximo de interrupçãotolerável da atividade crítica, a realização de auditoria e 
implementação de redundância. 
c) Custos de implementação de cada estratégia, as consequências de não se tomar uma ação e 
a realização de auditoria. 
d) As consequências de não se tomar uma ação, a realização de auditoria e implementação de 
redundância. 
e) Custos de implementação de cada estratégia, as consequências de não se tomar uma ação e 
a implementação de redundância. 
Resposta: Essas informações são necessárias para que a organização possa compreender e 
identificar os requisitos para a elaboração do plano de continuidade de negócio. 
 
17) Qual dos métodos de criptografia a seguir utiliza chave privada e pública? 
a) Simétrica c) Composta e) Quântica 
b) Assimétrica d) Criptoanálise 
Resposta: A criptografia assimétrica utiliza o conceito de duas chaves diferentes para 
criptografar e decriptografar os dados. 
 
18) Qual a técnica de criptografia que utiliza um processo matemático sobre uma mensagem, 
originando um valor numérico que é utilizado para medir a integridade dos dados? 
a) RSA c) UDP e) 3DES 
b) Hash d) PGP 
Resposta: As funções Hash são vastamente utilizadas no meio computacional, seja no 
armazenamento de senhas como também no processo de verificação de autenticidade. 
 
19) __________________________ valida a autenticidade da pessoa que assina um 
documento, bem como a integridade dos dados contidos no documento. 
a) A assinatura digital c) O bit de paridade e) A criptografia quântica 
b) A esteganografia d) A criptoanálise 
Resposta: Quando falamos de criptografia, é a assinatura digital o método de autenticação 
de informação que é tratado como substituto à assinatura física, quando não existe a 
necessidade de ter uma versão em papel dos documentos. 
 
20) Qual dos tipos de codificação a seguir é baseado na inclusão de mensagens ocultas em 
figuras? 
a) Transposição c) Embaralhamento e) Inclusão 
b) Substituição d) Esteganografia 
Resposta: A técnica de transposição utiliza os bits menos significativos de uma imagem para 
incluir bits correspondentes a uma parte de mensagem. 
 
21) Qual o ataque que tenta forjar um IP de um host de uma rede da qual não faz parte? 
a) TCP SYN c) Ip Spoofing e) SQL Injection 
b) Man in the Middle d) Null Session 
Resposta: No ataque de IP Spoofing, o atacante troca o Ip de origem do cabeçalho IP para 
parecer que o pacote está vindo de uma origem diferente. 
 
22) O ataque _______________________ caracteriza-se por atuar diretamente através da 
captura de dados entre dois pontos de transmissão. 
a) TCP SYN c) Ip Spoofing e) SQL Injection 
b) Man in the Middle d) Null Session 
Resposta: No ataque Man in the Middle, o atacante se coloca no meio da transmissão. 
 
23) O ataque ____________ têm como finalidade principal parar o serviço de um host de 
destino. 
a) TCP SYN c) Ip Spoofing e) SQL Injection 
b) DDoS d) Null Session 
Resposta: O ataque DDoS tem como objetivo de tornar os serviços da máquina-alvo 
indisponível. 
 
24) Qual o estado de uma porta TCP durante o ataque TCP SYN? 
a) SYN_WAIT c) LISTENING e) SYN_END 
b) SYN_RECV d) WAITING 
Resposta: O “ataque SYN” (chamado igualmente “TCP/SYN Flooding”) é um ataque de rede 
por saturação (recusa de serviço) que explora o mecanismo de Three ways Handshake do 
protocolo TCP. O estado SYN_RECV significa que uma requisição de conexão foi recebida da 
rede. 
 
25) Modelo de controle de acesso em que um usuário não pode ter um acesso de leitura a 
uma informação que tenha o nível de classificação mais alto do que o nível de permissão deste 
usuário e também não pode escrever em uma informação que tenha o nível de classificação 
inferior ao nível de permissão do usuário: 
a) BIBA c) Bell La Padula e) Fluxo de informação 
b) TADACS d) Clark-Wilson 
Resposta: Modelo de controle de acesso em que é determinado o controle de acesso a 
informações, sejam elas classificadas ou não. Neste modelo, um usuário não pode ter um 
acesso de leitura a uma informação que tenha o nível de classificação mais alto do que o seu 
nível de permissão e não pode escrever em uma informação que tenha nível de classificação 
inferior ao seu nível de permissão. 
 
26) Neste modelo de controle de acesso o usuário pode ter um acesso de escrita a uma 
informação que tenha o nível de classificação mais alto do que o nível de permissão do usuário 
e também não poder ler em uma informação que tenha o nível de classificação inferior ao 
nível de permissão do usuário. 
a) BIBA c) Bell La Padula e) Fluxo de informação 
b) TADACS d) Clark-Wilson 
Resposta: Modelo de controle de acesso onde é determinado o controle de acesso a 
informações sejam elas classificadas ou não. Neste modelo, o usuário não pode ter um 
acesso de escrita a uma informação que tenha o nível de classificação mais alto do que o 
nível de permissão do usuário e também não poder ler em uma informação que tenha o nível 
de classificação inferior ao nível de permissão do usuário. 
 
27) Modelo de controle de acesso baseado na premissa de integridade da informação. Neste 
modelo o usuário não pode ter acesso direto à informação, neste caso ele precisa acessar a 
informação através de uma aplicação que valide o usuário e avalie o nível de segurança 
requerido pela informação: 
a) BIBA c) Bell La Padula e) Fluxo de informação 
b) TADACS d) Clark-Wilson 
Resposta: Modelo de controle de acesso em que é determinado o controle de acesso a 
informações, sejam elas classificadas ou não. Neste modelo, o usuário não pode ter acesso 
direto à informação, ele precisa acessar a informação através de uma aplicação que valide o 
usuário e avalie o nível de segurança requerido pela informação. 
 
28) Modelo em que o administrador do sistema é responsável por atribuir as devidas 
permissões para os usuários. 
a) Controle de acesso Mandatório. d) Controle de acesso baseado em Regras. 
b) Controle de acesso Discricionário. e) Controle Lógico. 
c) Controle de acesso baseado em Cargo. 
Resposta: O controle de acesso é a forma com que uma empresa controlará o uso de recursos 
de uma forma geral. Os modelos de controle estão divididos em: Controle de acesso 
Mandatório, Controle de acesso Discricionário, controle de acesso baseado em Cargo, 
Controle de acesso baseado em Regras. 
 
 
29) O GRC é a integração no âmbito organizacional de três grandes ações: 
a) Gestão, risco e conformidade. 
b) Gerência, risco e conformidade. 
c) Governança, gestão de risco e compliance. 
d) Gestão de TI, Risco de TI e conformidade de TI. 
e) Governança corporativa, risco de TI e conformidade. 
Resposta: Falhas nas áreas de Governança, Gestão de Riscos e Conformidade podem 
comprometer o valor de mercado e o lucro das empresas. 
 
30) Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve 
seguir: 
a) Governança c) Compliance e) Análise de risco 
b) Gestão d) Conformidade 
Resposta: A governança (corporativa e de TI), visa criar um melhor entendimento das 
necessidades das empresas, facilitando a identificação de quais devem ser os objetivos de 
Tecnologia da Informação e Segurança da Informação para que essas áreas estejam 
alinhadas aos objetivos da alta gestão. 
 
31) Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as 
políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou 
empresa: 
a) Governança c) Compliance e) Análise de risco 
b) Gestão d) Conformidade 
Resposta: A conformidade ou compliance tem como principal objetivo auxiliar a organização 
no cumprimento das normas legais e regulamentares, das políticas e das diretrizes 
estabelecidas para o negócio e para as atividades da instituição ou empresa. 
 
32) Ação fundamental para o GRC e considerada o ponto de partida para a implementação do 
Compliancenas organizações: 
a) Conscientização da organização em SI. d) Auditoria periódica. 
b) Análise de risco. e) Continuidade de negócio. 
c) Classificação da informação. 
Resposta: O diagnóstico de risco é o ponto de partida para as organizações, pois será a partir 
dessa análise que ocorrerá a implantação de controles internos para o monitoramento e 
gerenciamento desses riscos.