Prévia do material em texto
19/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 1/4 Pergunta 1 Resposta Selecionada: Resposta Correta: Feedback da resposta: Com relação à criptografia, avalie os itens a seguir. Depois, assinale a alternativa com as afirmativas corretas. I. Em sistemas de chaves simétricas, as chaves do emissor e do receptor da informação criptografada são idênticas e secretas. Em sistemas de chaves públicas, é utilizado um par de chaves, uma delas de posse tanto do emissor quanto do receptor e a outra de posse de apenas um deles. II. A tecnologia de chave pública é fundamentada no padrão X.509, sendo composta de programas, formatos de dados, procedimentos, protocolos de comunicação, políticas de segurança e mecanismos criptográficos de chave pública, de forma a viabilizar autenticação, a confidencialidade, o não-repúdio e a integridade às informações compartilhadas. III. Os seguintes itens são fundamentais para que a criptografia e a descriptografia sejam viáveis: software, protocolos, algoritmos e chaves. Durante o processo de autenticação, os dois componentes selecionam a chave que será usada para prover a privacidade durante a comunicação posterior. Pode- se utilizar também um servidor de autenticação como terceiro ente confiável. IV. Assinatura digital é uma ferramenta para provar que os dados foram gerados pelo detentor de uma chave específica. Trata-se de um caso especial de código de integridade de mensagens, em que o código pode ter sido composto por apenas um dos participantes. e. I, II, III, IV. e. I, II, III, IV. Resposta correta. Criptografia de chave privada ou única faz uso de uma única chave tanto para codificar como para decodificar informações, sendo utilizada majoritariamente para assegurar a confidencialidade das informações. A assinatura digital se baseia no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo. Pergunta 2 Resposta Selecionada: Resposta Correta: Feedback da resposta: O objetivo do Secure Socket Layer (SSL) é prover autenticidade, privacidade e integridade às conexões entre cliente e servidor, sendo usado, na maioria das vezes, em conjunto com o protocolo HTTP. Para fornecer as propriedades de autenticidade e privacidade, o SSL emprega: d. criptografia de chave pública e criptografia de chave simétrica. d. criptografia de chave pública e criptografia de chave simétrica. Resposta correta. O SSL (Secure Sockets Layer) utiliza um sistema de criptografia com duas chaves para criptografar os dados: uma chave pública conhecida por todos e uma chave privada conhecida apenas pelo destinatário. Pergunta 3 Resposta Selecionada: O gerenciamento de riscos corresponde a processos coordenados para nortear e controlar uma instituição no que se refere a riscos. Considere e assinale a alternativa correta depois de avaliar os seguintes itens. I. As análises/verificações de riscos devem ser realizadas regularmente para abranger as modificações nos requisitos de Segurança da Informação e nas situações de risco, ou seja, em ativos, ameaças, vulnerabilidades, impactos, análises do risco e quando uma mudança relevante acontecer. II. O escopo de uma análise/avaliação de riscos pode ser toda a instituição, partes da instituição, um sistema de informação determinado, módulos de um sistema determinado ou processos específicos em que isto seja praticável, viável e útil. III. Antes de julgar o tratamento de um risco, a instituição deve definir os critérios para decidir se eles podem ser ou não aceitos. O risco pode ser aceito se, por exemplo, for avaliado que é pequeno ou que o desembolso para o tratamento não é financeiramente viável para a instituição. 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 19/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 2/4 Resposta Correta: Feedback da resposta: a. I, II e III. a. I, II e III. Resposta correta. Todas as assertivas estão corretas pois a gestão de risco abrange desde avaliações periódicas de risco como à especificação da definição de critérios específicos a fim de decidir quais os riscos que podem ser aceitos. Pergunta 4 Resposta Selecionada: Resposta Correta: Feedback da resposta: Por política de Segurança da Informação entende-se: b. Política planejada, instalada em processo cíclico de atualização, abrangente a toda instituição, com as normas mais claras e simples possíveis e estrutura gerencial e material de suporte a essa política, explicitamente apoiada e sustentada pela alta direção. b. Política planejada, instalada em processo cíclico de atualização, abrangente a toda instituição, com as normas mais claras e simples possíveis e estrutura gerencial e material de suporte a essa política, explicitamente apoiada e sustentada pela alta direção. Resposta correta. Podemos descrever a política de Segurança da Informação como sendo um conjunto de regras gerais que indiquem ações, técnicas, normas, procedimentos e boas práticas com o objetivo de conduzir e garantir a segurança dos dados e informações. Como requisito básico, deve ser adotada por todos os componentes da organização, a fim de orientá-los sobre o seu funcionamento. Ela deve ser clara e objetiva, evitando redundâncias nos processos. Pergunta 5 Resposta Selecionada: Resposta Correta: Feedback da resposta: Na criptografia de chave assimétrica, as mensagens são codificadas com uma chave: b. pública e decodificadas com a chave privada correspondente. b. pública e decodificadas com a chave privada correspondente. Resposta correta. O emissor criptografa a mensagem com a chave pública do receptor, que, ao receber a mensagem, irá decifrá-la com a sua chave privada. Pergunta 6 Resposta Selecionada: Resposta Correta: Feedback da resposta: A fase de análise de riscos, no processo de gestão de riscos, pode ser realizada de forma a quantificar e classificar as ameaças ao funcionamento dos processos da instituição. Após levantamento e classificação dos riscos, deve-se optar pelas ações que serão executadas e definir quais recursos serão utilizados. Uma das opções disponíveis para tratamento do risco é: e. transferir o risco, por meio de seguros, cooperação ou outra ação adequada. e. transferir o risco, por meio de seguros, cooperação ou outra ação adequada. Resposta correta. Muitas vezes não é possível – ou é inviável financeiramente – a eliminação de todos os riscos. Existem várias abordagens para tratar um risco: ● Eliminar o risco: ataque à origem do risco, impedindo em definitivo que o incidente relacionado a ele possa ocorrer. Nem sempre é possível. ● Reduzir o risco: utilização de técnicas de prevenção da sua ocorrência. 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 19/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 3/4 ● Imobilizar o risco: em situações nas quais as organizações decidem que a melhor estratégia para determinado risco é exclusivamente acompanhá-lo. ● Transferir o risco: como exemplo prático, podemos citar a aquisição de um seguro que transfere o risco em caso de incidente para a seguradora. Pergunta 7 Resposta Selecionada: Resposta Correta: Feedback da resposta: As assinaturas digitais são fundamentadas por dois princípios básicos. O primeiro determina que: a. a chave privada seja restrita e que apenas o detentor da chave tenha acesso a ela. A segunda deve garantir que não seja possível o processamento inverso para compor uma assinatura digital sem a utilização da chave privada. a. a chave privada seja restrita e que apenas o detentor da chave tenha acesso a ela. A segunda deve garantir que não seja possívelo processamento inverso para compor uma assinatura digital sem a utilização da chave privada. Resposta correta. A assinatura digital é executada em duas tarefas. No primeiro momento, o autor, utilizando algoritmo presente em um software específico, realiza operação baseada em método criptográfico que, quando aplicada sobre os dados, gera um resultado único denominado hash. Após a operação, ele usa a chave privada de seu certificado digital para encriptar este resumo, criando a assinatura digital. Pergunta 8 Resposta Selecionada: Resposta Correta: Feedback da resposta: Um dos processos de maior relevância da política de Segurança da Informação é o de levantamento de riscos. Suas etapas, quando ordenadas, cadenciadas e gerenciadas com propriedade, direcionam a obtenção de segurança das informações dentro de uma instituição. São etapas integrantes do processo de levantamento de riscos: I. Identificação e Classificação dos Processos de Negócio; II. Identificação e Classificação dos Ativos; III. Análise de Ameaças e Danos; IV. Análise de Vulnerabilidades; V. Análise de Risco. É correto o que consta em: e. I, II, III, IV e V. e. I, II, III, IV e V. Resposta correta. A gerência da continuidade do negócio deve começar pelo levantamento dos eventos que podem acarretar impactos negativos (levantamento das ameaças que podem ocorrer no decorrer do tempo), seguida de uma avaliação de riscos – não apenas relacionados diretamente à segurança, mas de todos os processos. Tem como meta principal especificar as consequências das interrupções ao negócio, tanto em relação à escala de dano ocorrido quanto ao tempo de restituição dos processos da instituição. Pergunta 9 Resposta Selecionada: Um termo de compromisso ou um aditivo ao contrato de trabalho deve ser estabelecido pela política de segurança da organização para definir: d. a responsabilização dos usuários pelo uso dos recursos de TI. 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 19/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 4/4 Resposta Correta: Feedback da resposta: d. a responsabilização dos usuários pelo uso dos recursos de TI. Resposta correta. É algo previsto na seção 7 da norma ISO / IEC 27002, que visa assegurar que funcionários e partes externas entendam suas responsabilidades e estejam em conformidade com os papéis para os quais foram selecionados. Pergunta 10 Resposta Selecionada: Resposta Correta: Feedback da resposta: Hélder é o administrador de Segurança da Informação do Tribunal Regional do Trabalho da 5ª Região e deve gerenciar a segurança das informações fundamentado das especiações presentes na NBR ISO / IEC 27002. De acordo com a norma, na atribuição de incumbências para a Segurança da Informação: a. um processo comum é apontar um responsável para cada ativo a fim de atribuir a segurança dele a esse colaborador. a. um processo comum é apontar um responsável para cada ativo a fim de atribuir a segurança dele a esse colaborador. Resposta correta. Conforme citado na norma IEC/ ISO 27002, convém que as atribuições pela segurança de cada ativo e pela execução de processos de Segurança da Informação específicos sejam distintamente definidas. 1 em 1 pontos