PÓS EAD CONTEÚDOS ACADÊMICOS

Gerenciamento da Segurança da Informação Unidade I

Revisar envio do teste: Questionário - Unidade I

Usuário
Curso Gerenciamento da Segurança da Informação
Teste Questionário - Unidade I
Iniciado
Enviado
Status Completada
Resultado da tentativa 1,5 em 1,5 pontos  
Tempo decorrido
Resultados exibidos Todas as respostas, Respostas corretas, Comentários, Perguntas respondidas incorretamente

Pergunta 1 0,15 em 0,15 pontos

Dentre as análises necessárias para se prover um projeto de segurança da

informação está a identificação de variáveis como riscos, ameaças e
vulnerabilidades. Indique, nas alternativas abaixo, o que podemos considerar
como ameaça:

Respostas: a. Parte fraca da estrutura, que pode ser violada

b.
Redução do faturamento por ocorrência de vazamento de dados

c. Terremoto, incêndio ou enchente

d. Informação não acessível para execução da operação

e. Criptografia de dados

Feedback Resposta: alternativa C

da
resposta: Comentário: Dentre as ameaças possíveis estão as ameaças
ambientais, aquelas que exploram vulnerabilidades da
infraestrutura. Terremotos, incêndios ou enchentes são
consideradas ameaças ambientais.

Pergunta 2 0,15 em 0,15 pontos

Um ponto fraco que permita que possam ocorrer incidentes de segurança, se

forem explorados. De que estamos falando?

Respostas:
 a. Riscos

b. Ameaças

c. Incidentes

d. Vulnerabilidades

e. Impacto

Feedback Resposta: alternativa D

da
resposta: Comentário: Uma vulnerabilidade é reconhecida como um ponto
fraco que permita que a ameaça possa ser concretizada, isto é,
possa ter efeito sobre um ativo.

Pergunta 3 0,15 em 0,15 pontos

Em segurança da informação, devemos satisfazer três princípios

fundamentais. Quais são eles?

Respostas: a. Proteção, prevenção e guarda

b. Disponibilidade, integridade e confidencialidade

c. Criptografar dados, fazer backup e restauração de dados

d. Criptografar, prevenir e guardar

e.
Manter a integridade, criptografar para transportar e criptografar
para guardar

Feedback Resposta: alternativa B

da
resposta: Comentário: Os três princípios fundamentais da segurança da
informação são disponibilidade, integridade e confidencialidade,
também conhecidos como CID.

Pergunta 4 0,15 em 0,15 pontos

Ao nos preocuparmos que as informações não sejam alteradas por pessoas

não autorizadas, estamos mantendo qual princípio fundamental de segurança
da informação?

Respostas: a. Disponibilidade

b. Prevenção
 c. Confidencialidade

d. Clareza

e. Integridade

Feedback Resposta: alternativa E

da
resposta: Comentário: Este é o conceito da integridade, ou seja, somente
pessoas ou usuários autorizados podem alterar informações.

Pergunta 5 0,15 em 0,15 pontos

Ao preservarmos a disponibilidade das informações, várias são as ações

possíveis. Dentre essas, existem as medidas de tempo de disponibilidade,
como, por exemplo, ao identificarmos a razão da quantidade de tempo que um
aplicativo, sistema ou os dados ficam disponíveis (uptime do inglês).

Estamos falando de:

Respostas: a. Tempo de paralisação

b. Disponibilidade

c. Tempo de utilização

d. Tempo médio para falhas

e. Tempo médio para reparos

Feedback Resposta: alternativa C

da
resposta: Comentário: O tempo de utilização é a razão da quantidade de
tempo que um aplicativo, sistema ou dados ficam disponíveis. O
tempo de utilização (ou uptime, do inglês) é medido na unidade de
tempo segundos, minutos ou horas – isso dentro de um
determinado mês.

Pergunta 6 0,15 em 0,15 pontos

Dentro dos domínios de uma infraestrutura típica de TI, o domínio, que é a

forma com que a maioria dos usuários se conecta à infraestrutura de TI da
organização, pode ser um desktop, um laptop ou mesmo dispositivos móveis
de menor tamanho, mas que possuem grande capacidade de atuação dentro
da estrutura de TI. Qual é este domínio?

Respostas: a. Domínio da estação de trabalho

 b. Domínio do usuário

c. Domínio da LAN

d. Domínio da LAN para WAN

e. Domínio da WAN

Feedback Resposta: alternativa A

da
resposta: Comentário: Este é o domínio com que a maioria dos usuários se
conecta à infraestrutura de TI da organização, que pode ser por
meio de um desktop, laptop ou mesmo dispositivos móveis de
menor tamanho, mas que possuem grande capacidade de atuação
dentro da estrutura de TI.

Pergunta 7 0,15 em 0,15 pontos

Em sua maioria, as empresas de telecomunicações oferecem acordos de nível

de serviço (SLA – Service Level Agreements) aos seus clientes. O SLA é um
contrato que garante disponibilidade mínima mensal de determinado serviço
em rede remota (WAN) ou em links de acesso à internet. Essa disponibilidade
indica um compromisso de nível de serviço de tempo de utilização mensal.
Provedores desse tipo de serviço normalmente oferecem SLA que variam de
99,5% a 99,9% de disponibilidade. Se, em um cálculo de SLA, em um mês de
30 dias, tivermos 30 minutos de paralização, qual será o SLA oferecido?

Respostas: a. 99,83%

b. 99,93%

c. 99,53%

d. 99,63%

e. 99,73%

Feedback da Resposta: alternativa B

resposta:
Comentário: A alternativa B está correta de acordo com o
cálculo.

Pergunta 8 0,15 em 0,15 pontos

 Ao considerarmos os riscos, vulnerabilidades e ameaças normalmente
encontrados no domínio da WAN (internet), qual a estratégia mais usual para
redução dos riscos se tivermos a condição de envio da maior parte do tráfego
da internet em texto claro?

Respostas: a.
É necessária a utilização de filtros em rewall de borda e
interfaces de WAN; isso se faz necessário para impedir
mensagens STN TCP (ping); em paralelo, deve-se alarmar o
provedor de internet, conhecido como ISP, para que este passe a
ativar seus filtros nas interfaces WAN de forma apropriada

b.
Deve-se proibir a utilização da internet em comunicações privadas
que não utilizem criptografia e túneis de VPN; caso exista um
padrão de classificação de informações, deve-se seguir
exatamente as políticas e diretrizes estipuladas nesta política

c.
As transmissões de dados IP devem ser encriptadas e transferidas
em VPN; deve-se fazer uma cópia de segurança de dados em
ambientes externos e lembrar de realizar os procedimentos de
recuperação de dados (testes)

d.
Deve-se verificar o padrão de classificação de dados para que se
realize o tratamento apropriado desses dados; também com
relação ao uso de aplicativos TCP/IP, não se deve utilizar
aplicativos TCP/IP para dados confidenciais que não sejam
encriptados, de forma apropriada; é desejável a criação de uma
VLAN para o gerenciamento de rede e isolamento do tráfego TFTP
e SNMP usado em gerenciamentos de redes de ativação

e.
Realizar varredura de todos os anexos de e-mail com sistemas de
verificação adequados em busca de vírus ou software maliciosos
no domínio da LAN para WAN e instituir a quarentena para anexos
de arquivos desconhecidos até que nova análise de segurança
seja realizada

Feedback Resposta: alternativa B

da
resposta: Comentário: A resposta correta é a alternativa B; a alternativa A
corresponde a ataques de DDoS; a alternativa c corresponde à
vulnerabilidade em adulteração de informações ou dados; a
alternativa D corresponde a aplicativos TCP/IP inseguros (HTTP,
FTP, TFTP, ETC) e a alternativa E corresponde a hackers ou
invasores que enviam livremente cavalos de troia, vermes (worms)
e softwares maliciosos por e-mail.

Pergunta 9 0,15 em 0,15 pontos

No domínio da LAN para WAN, quando temos o envio de um pacote, que pode
ser TCP ou UDP, sabemos qual é o número da porta, já que esta vem
 claramente identificada no cabeçalho do pacote; isso, por si só, identifica o tipo
de pacote. No caso de termos o protocolo de transferência de arquivos (FTP –
File Transfer Protocol): transferir arquivos FTP usa TCP, como transmissão de
dados, e orienta a conexão, mas ainda em texto claro, livre para ser visto por
qualquer um, qual é a porta com essa característica?

Respostas: a. Porta 20

b. Porta 80

c. Porta 69

d. Porta 23

e. Porta 22

Feedback Resposta: alternativa A

da
resposta: Comentário: A alternativa correta é a A. As demais alternativas
apresentam: B – protocolo de transferência de hipertexto, protocolo
de comunicações entre navegadores web; C – protocolo de
transferência de arquivos (TFTP – Trivial File Transfer Protocol); D –
rede de terminal (Telnet – Terminal Network) e a alternativa E –
ambiente seguro (SSH – Secure Shell).

Pergunta 10 0,15 em 0,15 pontos

Na análise de riscos, ameaças e vulnerabilidades do domínio do acesso

remoto, entende-se como estratégia de redução de riscos para múltiplas
tentativas de acesso e ataques a controle de acesso:

Respostas: a. Estabelecer uma política clara de ID de usuário

b. Utilizar segurança de primeiro nível

c. Criptografar dados que sejam sensíveis ao negócio

d. Ação de contramedidas de segurança no domínio

e.
Implantar sistema de bloqueio automático para novas tentativas de
acesso com falhas

Feedback Resposta: alternativa E

da
resposta: Comentário: O bloqueio automático é necessário pois se o atacante
tentar e errar o acesso, o sistema conseguirá bloquear
automaticamente novas tentativas.