GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO-QUESTIONÁRIO

Prévia do material em texto

GERENCIAMENTO DA SEGURANÇA DA INFORMAÇÃO 
QUESTIONÁRIO I 
 Pergunta 1 0,15 em 0,15 pontos 
 
Dentre as análises necessárias para se prover um projeto de segurança da informação 
está a identificação de variáveis como riscos, ameaças e vulnerabilidades. Indique, nas 
alternativas abaixo, o que podemos considerar como ameaça: 
 
Respostas: a. Parte fraca da estrutura, que pode ser violada 
 
b. Redução do faturamento por ocorrência de vazamento de dados. 
 c. Terremoto, incêndio ou enchente 
 
d. Informação não acessível para execução da operação 
 e. Criptografia de dados 
Feedback da 
resposta: 
Resposta: alternativa C 
Comentário: Dentre as ameaças possíveis estão as ameaças ambientais, aquelas 
que exploram vulnerabilidades da infraestrutura. Terremotos, incêndios ou 
enchentes são consideradas ameaças ambientais. 
 
 
 Pergunta 2 0,15 em 0,15 pontos 
 
Um ponto fraco que permita que possam ocorrer incidentes de segurança, se forem 
explorados. De que estamos falando? 
 
Respostas: a. Riscos 
 
b. Ameaças 
 c. Incidentes 
 
d. Vulnerabilidades 
 e. Impacto 
Feedback da 
resposta: 
Resposta: alternativa D 
Comentário: Uma vulnerabilidade é reconhecida como um ponto fraco que 
permita que a ameaça possa ser concretizada, isto é, possa ter efeito sobre um 
ativo. 
 
 
 Pergunta 3 0,15 em 0,15 pontos 
 
Em segurança da informação, devemos satisfazer três princípios fundamentais. Quais 
são eles? 
 
Respostas: a. Proteção, prevenção e guarda 
 
b. Disponibilidade, integridade e confidencialidade 
 
c. Criptografar dados, fazer backup e restauração de dados 
 
d. Criptografar, prevenir e guardar 
 e. Manter a integridade, criptografar para transportar e criptografar para 
guardar 
Feedback da 
resposta: 
Resposta: alternativa B 
Comentário: Os três princípios fundamentais da segurança da informação são 
disponibilidade, integridade e confidencialidade, também conhecidos como CID. 
 
 
 Pergunta 4 0,15 em 0,15 pontos 
 
Ao nos preocuparmos que as informações não sejam alteradas por pessoas não 
autorizadas, estamos mantendo qual princípio fundamental de segurança da 
informação? 
 
Respostas: a. Disponibilidade 
 
b. Prevenção 
 c. Confidencialidade 
 
d. Clareza 
 e. Integridade 
Feedback da 
resposta: 
Resposta: alternativa E 
Comentário: Este é o conceito da integridade, ou seja, somente pessoas ou 
usuários autorizados podem alterar informações. 
 
 
 Pergunta 5 0,15 em 0,15 pontos 
 
Ao preservarmos a disponibilidade das informações, várias são as ações possíveis. 
Dentre essas, existem as medidas de tempo de disponibilidade, como, por exemplo, ao 
identificarmos a razão da quantidade de tempo que um aplicativo, sistema ou os dados 
ficam disponíveis (uptime do inglês). 
Estamos falando de: 
 
Respostas: a. Tempo de paralisação 
 
b. Disponibilidade 
 c. Tempo de utilização 
 
d. Tempo médio para falhas 
 e. Tempo médio para reparos 
Feedback da 
resposta: 
Resposta: alternativa C 
Comentário: O tempo de utilização é a razão da quantidade de tempo que um 
aplicativo, sistema ou dados ficam disponíveis. O tempo de utilização (ou uptime, 
do inglês) é medido na unidade de tempo segundos, minutos ou horas – isso dentro 
de um determinado mês. 
 
 
 Pergunta 6 0,15 em 0,15 pontos 
 
Dentro dos domínios de uma infraestrutura típica de TI, o domínio, que é a forma com 
que a maioria dos usuários se conecta à infraestrutura de TI da organização, pode ser 
um desktop, um laptop ou mesmo dispositivos móveis de menor tamanho, mas que 
possuem grande capacidade de atuação dentro da estrutura de TI. Qual é este 
domínio? 
 
Respostas: a. Domínio da estação de trabalho 
 b. Domínio do usuário 
 
c. Domínio da LAN 
 d. Domínio da LAN para WAN 
 
e. Domínio da WAN 
Feedback 
da resposta: 
Resposta: alternativa A 
Comentário: Este é o domínio com que a maioria dos usuários se conecta à 
infraestrutura de TI da organização, que pode ser por meio de 
 
um desktop, laptop ou mesmo dispositivos móveis de menor tamanho, mas 
que possuem grande capacidade de atuação dentro da estrutura de TI. 
 
 Pergunta 7 0,15 em 0,15 pontos 
 
Em sua maioria, as empresas de telecomunicações oferecem acordos de nível de 
serviço (SLA – Service Level Agreements) aos seus clientes. O SLA é um contrato que 
garante disponibilidade mínima mensal de determinado serviço em rede remota (WAN) 
ou em links de acesso à internet. Essa disponibilidade indica um compromisso de nível 
de serviço de tempo de utilização mensal. Provedores desse tipo de serviço 
normalmente oferecem SLA que variam de 99,5% a 99,9% de disponibilidade. Se, em 
um cálculo de SLA, em um mês de 30 dias, tivermos 30 minutos de paralização, qual 
será o SLA oferecido? 
 
Respostas: a. 99,83% 
 
b. 99,93% 
 c. 99,53% 
 
d. 99,63% 
 e. 99,73% 
Feedback da resposta: Resposta: alternativa B 
Comentário: A alternativa B está correta de acordo com o cálculo. 
 
 
 Pergunta 8 0,15 em 0,15 pontos 
 
Ao considerarmos os riscos, vulnerabilidades e ameaças normalmente encontrados no 
domínio da WAN (internet), qual a estratégia mais usual para redução dos riscos se 
tivermos a condição de envio da maior parte do tráfego da internet em texto claro? 
 
Respostas: a. É necessária a utilização de filtros em firewall de borda e interfaces de 
WAN; isso se faz necessário para impedir mensagens STN TCP (ping); em 
paralelo, deve-se alarmar o provedor de internet, conhecido como ISP, para 
que este passe a ativar seus filtros nas interfaces WAN de forma apropriada 
 
b. Deve-se proibir a utilização da internet em comunicações privadas que 
não utilizem criptografia e túneis de VPN; caso exista um padrão de 
classificação de informações, deve-se seguir exatamente as políticas e 
diretrizes estipuladas nesta política. 
 
c. As transmissões de dados IP devem ser encriptadas e transferidas em 
VPN; deve-se fazer uma cópia de segurança de dados em ambientes 
externos e lembrar de realizar os procedimentos de recuperação de dados 
(testes) 
 
d. Deve-se verificar o padrão de classificação de dados para que se realize o 
tratamento apropriado desses dados; também com relação ao uso de 
aplicativos TCP/IP, não se deve utilizar aplicativos TCP/IP para dados 
confidenciais que não sejam encriptados, de forma apropriada; é desejável a 
criação de uma VLAN para o gerenciamento de rede e isolamento do tráfego 
TFTP e SNMP usado em gerenciamentos de redes de ativação 
 
e. Realizar varredura de todos os anexos de e-mail com sistemas de 
verificação adequados em busca de vírus ou software maliciosos no domínio 
da LAN para WAN e instituir a quarentena para anexos de arquivos 
desconhecidos até que nova análise de segurança seja realizada 
 
Feedback 
da resposta: 
Resposta: alternativa B 
Comentário: A resposta correta é a alternativa B; a alternativa A corresponde a 
ataques de DDoS; a alternativa c corresponde à vulnerabilidade em adulteração de 
informações ou dados; a alternativa D corresponde a aplicativos TCP/IP inseguros 
(HTTP, FTP, TFTP, ETC) e a alternativa E corresponde a hackers ou invasores que 
enviam livremente cavalos de troia, vermes (worms) e softwares maliciosos por e-
mail. 
 
 Pergunta 9 0,15 em 0,15 pontos 
 
No domínio da LAN para WAN, quando temos o envio de um pacote, que pode ser TCP 
ou UDP, sabemos qual é o número da porta, já que esta vem claramente identificada 
no cabeçalho do pacote; isso, por si só, identifica o tipo de pacote. No caso de termos o 
protocolo de transferência de arquivos (FTP – File Transfer Protocol): transferir 
arquivos FTP usa TCP, como transmissão de dados, e orienta a conexão, mas ainda 
em texto claro, livre para ser visto por qualquer um, qual é a porta com essa 
característica? 
 
Respostas: a. Porta 20 
 
b. Porta 80 
 c. Porta 69 
 
d. Porta 23 
 e. Porta 22 
Feedback 
da resposta: 
Resposta: alternativa AComentário: A alternativa correta é a A. As demais alternativas apresentam: B – 
protocolo de transferência de hipertexto, protocolo de comunicações entre 
navegadores web; C – protocolo de transferência de arquivos (TFTP – Trivial File 
Transfer Protocol); D – rede de terminal (Telnet – Terminal Network) e a alternativa 
E – ambiente seguro (SSH – Secure Shell). 
 
 
 Pergunta 10 0,15 em 0,15 pontos 
 
Na análise de riscos, ameaças e vulnerabilidades do domínio do acesso remoto, 
entende-se como estratégia de redução de riscos para múltiplas tentativas de acesso e 
ataques a controle de acesso: 
 
Respostas: a. Estabelecer uma política clara de ID de usuário 
 
b. Utilizar segurança de primeiro nível 
 c. Criptografar dados que sejam sensíveis ao negócio 
 
d. Ação de contramedidas de segurança no domínio 
 e. Implantar sistema de bloqueio automático para novas tentativas de 
acesso com falhas 
Feedback da 
resposta: 
Resposta: alternativa E 
Comentário: O bloqueio automático é necessário pois se o atacante tentar e errar 
o acesso, o sistema conseguirá bloquear automaticamente novas tentativas. 
 
 
 
 
QUESTIONÁRIO II 
 Pergunta 1 0,15 em 0,15 pontos 
 
Quando consideramos as vulnerabilidades em qualquer sistema de informações, pode-
se afirmar, por diversas características, que o elo mais fraco é: 
 
Respostas: a. A tecnologia 
 b. Os processos 
 
c. O usuário 
 d. Os fornecedores 
 
e. Os clientes da empresa 
Feedback da 
resposta: 
Resposta: alternativa C 
Comentário: O elo mais fraco é o usuário. O erro humano deve ser encarado 
como um risco de grande importância e uma grande ameaça em qualquer 
organização. 
 
 
 Pergunta 2 0,15 em 0,15 pontos 
 
Ao analisar a estrutura de uma política de segurança da informação, verificaremos a 
necessidade de alguns componentes principais. Dentre esses, qual das alternativas 
abaixo, representa procedimentos? 
 
Respostas: a. Sucinta declaração formal para que os responsáveis da organização 
definam, de forma clara, o curso das ações da direção 
 b. Identificações formais detalhadas para hardware e software que 
estabelecem o que pode ser utilizado 
 
c. Identificação do curso da ação 
 d. Formalização de como devem se guiar as políticas e padrões 
estabelecidos 
 
e. Designação de responsáveis pela segurança 
Feedback da 
resposta: 
Resposta: alternativa D 
Comentário: A alternativa correta é a D. As demais correspondem a: A – 
política, B – padrão, C – diretrizes e E – não tem relação com a pergunta. 
 
 
 Pergunta 3 0,15 em 0,15 pontos 
 
As políticas, além de definir os controles e contramedidas de segurança, são utilizadas 
para acompanhar as leis e regulamentações pertinentes aos negócios da organização. 
A política deve garantir que todo pessoal envolvido nas operações esteja consciente da 
relevância da segurança da informação. A política que define os comportamentos 
esperados é conhecida como: 
 
Respostas: a. Política de uso aceitável 
 b. Política de conscientização de segurança 
 
c. Política de classificação de ativo 
 d. Política de proteção de ativo 
 
e. Política de gerenciamento de ativo 
Feedback da 
resposta: 
Resposta: alternativa B 
 
Comentário: A resposta correta é a B.É nesta política que a organização pode 
estabelecer os comportamentos que deseja de sua equipe por intermédio da 
conscientização de todos dentro da organização. 
 
 Pergunta 4 0,15 em 0,15 pontos 
 
A classificação de dados deve identificar, de forma clara e consistente, como deverão 
ser tratados os dados da organização dentro de vários momentos do ciclo de vida da 
informação. Qual das alternativas abaixo corresponde à classificação de dados 
confidenciais? 
 
Respostas: a. Dados que identificam pessoas e precisam ser mantidos dentro da 
organização para a continuidade de suas operações; esses dados devem 
possuir controles de preservação adequados 
 
b. São informações compartilhadas internamente na organização, que podem 
ser ou não confidenciais, mas devem ser preservadas principalmente por 
influenciarem na performance das operações da empresa 
 
c. São informações que estão disponíveis de forma a qualquer um ter acesso, 
são compartilhados com o público em geral e demandam menor 
preocupação com relação à privacidade, já que podem e, muitas vezes, 
devem ser amplamente divulgadas 
 
d. Qualquer dado dentro da empresa 
 
e. Possuem prioridades dentro da organização, fazem parte de sua 
operação e são sensíveis a ela; podem ser de propriedade intelectual, banco 
de dados com informações de clientes, preços de produtos ou informações 
de fabricação de produtos, patentes de inovações tecnológicas etc 
Feedback da 
resposta: 
Resposta: alternativa E 
Comentário: A alternativa correta é a E, pois a alternativa A corresponde a dados 
provados, a alternativa B são dados de uso interno, a alternativa C são dados 
considerados de domínio público, e a alternativa D não tem classificação específica. 
 
 
 Pergunta 5 0,15 em 0,15 pontos 
 
Na comunidade da computação, alguns termos podem descrever um programador ou 
especialista técnico que tem grande conhecimento, tem capacidade de percepção de 
vulnerabilidades e explora sistemas computacionais. O profissional de segurança da 
informação ou administrador de redes de comunicação que faz uso de diversas 
ferramentas de teste de penetração com o objetivo direto de descobrir vulnerabilidades 
nos sistemas avaliados e corrigir essas vulnerabilidades. Como esse indivíduo é 
conhecido? 
 
Respostas: a. Black-hat 
 
b. Gray-hat 
 c. White-hat 
 
d. Cracker 
 e. Cracker-blue 
Feedback da 
resposta: 
Resposta: alternativa C 
Comentário: A alternativa correta é a C. White-hat, também conhecido 
como hacker ético, é o especialista que trabalha ajudando as empresas na 
prevenção. 
 
 
 Pergunta 6 0,15 em 0,15 pontos 
 
Dentre as ferramentas de ataques que indivíduos mal intencionados podem usar para 
atacar uma empresa, existe uma que permanece capturando o tráfego de uma rede na 
busca de informações valiosas. Essa ferramenta é conhecida como: 
 
Respostas: a. Farejador 
 
b. Discador 
 c. Varredura de porta 
 
d. Scanner 
 e. Keylogger 
Feedback da 
resposta: 
Resposta: alternativa a 
Comentário: Farejadores são programas que permanecem capturando o 
tráfego de uma rede quando este atravessa pontos específicos e 
monitorados pelos atacantes na busca de informações valiosas. 
 
 
 Pergunta 7 0,15 em 0,15 pontos 
 
Dentre as atividades que podem causar uma brecha de segurança, temos alguns 
ataques conhecidos. Dos relacionados abaixo, qual não é um ataque? 
 
Respostas: a.Negação de serviço 
 b. Vírus. 
 
c. Negação de serviço distribuído 
 d. Espionagem telefônica 
 
e. Uso de uma porta dos fundos para acessar recursos 
Feedback da 
resposta: 
Resposta: alternativa B 
Comentário: O vírus é um código malicioso, e não exatamente um ataque; é 
conhecido um programa de infecção. Os demais são ataques. 
 
 
 Pergunta 8 0,15 em 0,15 pontos 
 
Os controles de acesso são divididos em algumas partes. Dentre essas, qual das 
relacionadas abaixo não contempla essa divisão? 
 
Respostas: a. Autorização 
 b. Entrada 
 
c. Identificação 
 d. Autenticação 
 
e. Responsabilização 
Feedback 
da resposta: 
Resposta: alternativa B 
Comentário: Entrada é uma identificação fora das 4 partes do controle de acesso, 
sendo a autorização quem está autorizado a acessar o quê; a identificação é o meio 
que será utilizado para identificar o usuário; a autenticação é a verificação da 
identidade e a responsabilização é a rastreabilidade. 
 
 
 Pergunta 9 0,15 em 0,15 pontos 
 
Várias são as ameaças ao controle de acesso; ao longo do tempo, existem evoluções 
dessas ameaças. O comprometimento do controle de acesso pode ocorrer de várias 
formas, menos: 
 
Respostas: a. Acesso extrassensorialb. Acesso físico 
 
c. Interceptação por observação 
 
d. Exploração de hardware e software 
 
e. Acesso a redes 
Feedback da 
resposta: 
Resposta: alternativa a 
Comentário: O acesso extrassensorial nada tem a ver com possibilidade de 
comprometimento do controle de acesso. 
 
 Pergunta 10 0,15 em 0,15 pontos 
 
Dentro de uma organização, inúmeros são os objetivos que podem agregar valor à 
empresa. Das alternativas abaixo, qual objetivo não agrega valor à empresa? 
 
Respostas: a. Manutenção da privacidade 
 
b. Integridade da informação 
 c. Autorização de acesso à informação 
 d. Controle de acesso a sistemas 
 
e. Indisponibilidade de sistemas 
Feedback da 
resposta: 
Resposta: alternativa E 
Comentário: Certamente a indisponibilidade de sistemas não agrega valor à 
empresa: pelo contrário, é fator de perda de rendimento na operação.