SegN2_OK

Prévia do material em texto

19/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 1/4
Pergunta 1
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Com relação à criptografia, avalie os itens a seguir. Depois, assinale a alternativa com as afirmativas
corretas.
I. Em sistemas de chaves simétricas, as chaves do emissor e do receptor da informação criptografada
são idênticas e secretas. Em sistemas de chaves públicas, é utilizado um par de chaves, uma delas de
posse tanto do emissor quanto do receptor e a outra de posse de apenas um deles.
II. A tecnologia de chave pública é fundamentada no padrão X.509, sendo composta de programas,
formatos de dados, procedimentos, protocolos de comunicação, políticas de segurança e mecanismos
criptográficos de chave pública, de forma a viabilizar autenticação, a confidencialidade, o não-repúdio
e a integridade às informações compartilhadas. 
III. Os seguintes itens são fundamentais para que a criptografia e a descriptografia sejam viáveis:
software, protocolos, algoritmos e chaves. Durante o processo de autenticação, os dois componentes
selecionam a chave que será usada para prover a privacidade durante a comunicação posterior. Pode-
se utilizar também um servidor de autenticação como terceiro ente confiável. 
IV. Assinatura digital é uma ferramenta para provar que os dados foram gerados pelo detentor de uma
chave específica. Trata-se de um caso especial de código de integridade de mensagens, em que o
código pode ter sido composto por apenas um dos participantes.
e. I, II, III, IV. 
e. I, II, III, IV. 
Resposta correta. Criptografia de chave privada ou única faz uso de uma única chave
tanto para codificar como para decodificar informações, sendo utilizada majoritariamente
para assegurar a confidencialidade das informações. A assinatura digital se baseia no
fato de que apenas o dono conhece a chave privada e que, se ela foi usada para
codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da
assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave
privada, somente a chave pública correspondente pode decodificá-lo. 
Pergunta 2
Resposta Selecionada:
 
Resposta Correta:
 
Feedback
da
resposta:
O objetivo do Secure Socket Layer (SSL) é prover autenticidade, privacidade e integridade às
conexões entre cliente e servidor, sendo usado, na maioria das vezes, em conjunto com o protocolo
HTTP. Para fornecer as propriedades de autenticidade e privacidade, o SSL emprega:
d. criptografia de chave pública e criptografia de chave simétrica.
 
d. criptografia de chave pública e criptografia de chave simétrica.
 
Resposta correta. O SSL (Secure Sockets Layer) utiliza um sistema de criptografia com
duas chaves para criptografar os dados: uma chave pública conhecida por todos e uma
chave privada conhecida apenas pelo destinatário.
Pergunta 3
Resposta Selecionada:
O gerenciamento de riscos corresponde a processos coordenados para nortear e controlar uma
instituição no que se refere a riscos. Considere e assinale a alternativa correta depois de avaliar os
seguintes itens.
I. As análises/verificações de riscos devem ser realizadas regularmente para abranger as modificações
nos requisitos de Segurança da Informação e nas situações de risco, ou seja, em ativos, ameaças,
vulnerabilidades, impactos, análises do risco e quando uma mudança relevante acontecer. 
II. O escopo de uma análise/avaliação de riscos pode ser toda a instituição, partes da instituição, um
sistema de informação determinado, módulos de um sistema determinado ou processos específicos
em que isto seja praticável, viável e útil. 
III. Antes de julgar o tratamento de um risco, a instituição deve definir os critérios para decidir se eles
podem ser ou não aceitos. O risco pode ser aceito se, por exemplo, for avaliado que é pequeno ou que
o desembolso para o tratamento não é financeiramente viável para a instituição. 
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
19/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 2/4
 
Resposta Correta: 
Feedback
da
resposta:
a. I, II e III.
a. I, II e III.
Resposta correta. Todas as assertivas estão corretas pois a gestão de risco abrange
desde avaliações periódicas de risco como à especificação da definição de critérios
específicos a fim de decidir quais os riscos que podem ser aceitos. 
Pergunta 4
Resposta
Selecionada:
Resposta
Correta:
Feedback
da
resposta:
Por política de Segurança da Informação entende-se:
b. Política planejada, instalada em processo cíclico de atualização, abrangente a toda
instituição, com as normas mais claras e simples possíveis e estrutura gerencial e
material de suporte a essa política, explicitamente apoiada e sustentada pela alta
direção.
b. Política planejada, instalada em processo cíclico de atualização, abrangente a toda
instituição, com as normas mais claras e simples possíveis e estrutura gerencial e
material de suporte a essa política, explicitamente apoiada e sustentada pela alta
direção.
Resposta correta. Podemos descrever a política de Segurança da Informação como
sendo um conjunto de regras gerais que indiquem ações, técnicas, normas,
procedimentos e boas práticas com o objetivo de conduzir e garantir a segurança dos
dados e informações. Como requisito básico, deve ser adotada por todos os
componentes da organização, a fim de orientá-los sobre o seu funcionamento. Ela deve
ser clara e objetiva, evitando redundâncias nos processos.
Pergunta 5
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Na criptografia de chave assimétrica, as mensagens são codificadas com uma chave:
b. pública e decodificadas com a chave privada correspondente.
b. pública e decodificadas com a chave privada correspondente.
Resposta correta. O emissor criptografa a mensagem com a chave pública do receptor,
que, ao receber a mensagem, irá decifrá-la com a sua chave privada. 
Pergunta 6
Resposta
Selecionada:
Resposta Correta:
Feedback
da
resposta:
A fase de análise de riscos, no processo de gestão de riscos, pode ser realizada de forma a quantificar
e classificar as ameaças ao funcionamento dos processos da instituição. Após levantamento e
classificação dos riscos, deve-se optar pelas ações que serão executadas e definir quais recursos
serão utilizados. Uma das opções disponíveis para tratamento do risco é:
e. transferir o risco, por meio de seguros, cooperação ou outra ação
adequada. 
e. transferir o risco, por meio de seguros, cooperação ou outra ação
adequada. 
Resposta correta. Muitas vezes não é possível – ou é inviável financeiramente – a
eliminação de todos os riscos. Existem várias abordagens para tratar um risco: 
● Eliminar o risco: ataque à origem do risco, impedindo em definitivo que o incidente
relacionado a ele possa ocorrer. Nem sempre é possível.
● Reduzir o risco: utilização de técnicas de prevenção da sua ocorrência.
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
19/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 3/4
● Imobilizar o risco: em situações nas quais as organizações decidem que a melhor
estratégia para determinado risco é exclusivamente acompanhá-lo.
● Transferir o risco: como exemplo prático, podemos citar a aquisição de um seguro
que transfere o risco em caso de incidente para a seguradora.
Pergunta 7
Resposta
Selecionada:
Resposta
Correta:
Feedback
da
resposta:
As assinaturas digitais são fundamentadas por dois princípios básicos. O primeiro determina que:
a. a chave privada seja restrita e que apenas o detentor da chave tenha acesso a ela.
A segunda deve garantir que não seja possível o processamento inverso para compor
uma assinatura digital sem a utilização da chave privada.
a. a chave privada seja restrita e que apenas o detentor da chave tenha acesso a ela.
A segunda deve garantir que não seja possívelo processamento inverso para compor
uma assinatura digital sem a utilização da chave privada.
Resposta correta. A assinatura digital é executada em duas tarefas. No primeiro
momento, o autor, utilizando algoritmo presente em um software específico, realiza
operação baseada em método criptográfico que, quando aplicada sobre os dados, gera
um resultado único denominado hash. Após a operação, ele usa a chave privada de seu
certificado digital para encriptar este resumo, criando a assinatura digital.
Pergunta 8
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Um dos processos de maior relevância da política de Segurança da Informação é o de levantamento
de riscos. Suas etapas, quando ordenadas, cadenciadas e gerenciadas com propriedade, direcionam
a obtenção de segurança das informações dentro de uma instituição. São etapas integrantes do
processo de levantamento de riscos:
I. Identificação e Classificação dos Processos de Negócio;
II. Identificação e Classificação dos Ativos;
III. Análise de Ameaças e Danos;
IV. Análise de Vulnerabilidades;
V. Análise de Risco.
É correto o que consta em:
e. I, II, III, IV e V. 
e. I, II, III, IV e V. 
Resposta correta. A gerência da continuidade do negócio deve começar pelo
levantamento dos eventos que podem acarretar impactos negativos (levantamento das
ameaças que podem ocorrer no decorrer do tempo), seguida de uma avaliação de riscos
– não apenas relacionados diretamente à segurança, mas de todos os processos. Tem
como meta principal especificar as consequências das interrupções ao negócio, tanto em
relação à escala de dano ocorrido quanto ao tempo de restituição dos processos da
instituição. 
Pergunta 9
Resposta Selecionada: 
Um termo de compromisso ou um aditivo ao contrato de trabalho deve ser estabelecido pela política
de segurança da organização para definir:
d. a responsabilização dos usuários pelo uso dos recursos de TI.
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
19/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 4/4
Resposta Correta: 
Feedback
da
resposta:
d. a responsabilização dos usuários pelo uso dos recursos de TI.
Resposta correta. É algo previsto na seção 7 da norma ISO / IEC 27002, que visa
assegurar que funcionários e partes externas entendam suas responsabilidades e
estejam em conformidade com os papéis para os quais foram selecionados.
Pergunta 10
Resposta
Selecionada:
Resposta
Correta:
Feedback
da
resposta:
Hélder é o administrador de Segurança da Informação do Tribunal Regional do Trabalho da 5ª Região
e deve gerenciar a segurança das informações fundamentado das especiações presentes na NBR ISO
/ IEC 27002. De acordo com a norma, na atribuição de incumbências para a Segurança da
Informação:
a. um processo comum é apontar um responsável para cada ativo a fim de atribuir a
segurança dele a esse colaborador.
a. um processo comum é apontar um responsável para cada ativo a fim de atribuir a
segurança dele a esse colaborador.
Resposta correta. Conforme citado na norma IEC/ ISO 27002, convém que as atribuições
pela segurança de cada ativo e pela execução de processos de Segurança da
Informação específicos sejam distintamente definidas.
1 em 1 pontos