Escolar Documentos
Profissional Documentos
Cultura Documentos
2. Pode-se afirmar que a Segurança da informação, não é uma tecnologia que se pode
comprar e tornar o computador seguro, mas sim que é um Processo, importante para
entre outras coisas, não afetar a credibilidade da organização e nem comprometer
informações sigilosas confiadas por parceiros (cliente, funcionários, fornecedores, etc.).
Diante disso avalie as afirmações abaixo:
I. Pode-se afirmar que uma informação está Computacionalmente Segura, é quando
o custo para quebrar sua proteção é maior que o seu próprio valor!
II. Uma Informação Incondicionalmente Segura é quando o texto cifrado não contém
informações suficientes para se determinar o seu correspondente texto original,
não importando quanto de texto original tenhamos disponível.
III. Podemos afirmar que não repúdio ou Irretratabilidade é o conseito da Segurança a
informação que visa garantir que o autor não negue ter criado e/ou assinado o documento.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I, II e III;
Resposta Comentada: Todas as afirmações estão corretas.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
3. O IETF (Internet Engineering Task Force), que é um grupo internacional aberto, composto
de técnicos, agências, fabricantes, fornecedores e pesquisadores, que se ocupa do
desenvolvimento e promoção de standards para Internet, em estreita cooperação com
o 3WC (World Wide Web Consortium) e ISO/IEC em sua RFC 2828 (Request For Comments)
que trata do Internet Security Glossary, definiu os termos Ameaça, Ataque, Ataque Passivo
e Ataque Ativo. Diante disso, avalie as afirmações:
I. Ameaça: Potencial para violação da segurança quando há uma circunstância,
capacidade, ação ou evento que pode quebrar a segurança e causar danos. Ou seja,
uma ameaça é um possível perigo que pode explorar uma vulnerabilidade.
II. Ataque: Um ataque à segurança do sistema, derivado de uma ameaça inteligente, ou seja, um
ato inteligente que é uma tentativa deliberada (especialmente no sentido de um método ou
técnica) de burlar os serviços de segurança e violar a política de segurança de um sistema.
III. Ataque Ativo: Tenta descobrir ou utilizar informações do sistema, mas não afeta seus
recursos.
IV. Ataque Passivo: Tenta alterar os recursos do sistema ou afetar sua operação.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. III, apenas;
D. I e II, apenas;
E. I, II, III e IV;
4. Dentre os diversos tipos de ataques, alguns bens conhecidos para obter o controle de
sistemas computacionais são o Ataque por Dicionário, Ataque de Força Bruta, Porta dos
Fundos (ou Backdoor) e Alçapões (ou Trap door). A partir disso, avalie as afirmações
abaixo:
I. Ataque por Dicionário é um método de ataque onde, de posse do arquivo de
senhas, o cracker utiliza um arquivo que contém diversas palavras, coletadas
previamente e que tem algum significado ou relação com a vítima, que serão
combinadas e tentadas como senha. Este trabalho é feito automaticamente por
ferramentas dedicadas a este tipo de tarefa e pode levar dias dependendo da lista
de senhas do cracker e quantidades de usuários existentes no arquivo de senha.
II. O ataque de Força Bruta é um método de ataque onde, de posse do arquivo de
senhas, o cracker utiliza uma ferramenta que tenta diversas combinações de letras
sequencialmente na tentativa de descobrir uma senha. Este ataque geralmente é
usado como último recurso após um ataque por dicionário, e leva muito tempo
para descobrir uma senha. Dependendo se uma senha conter caracteres aleatórios,
combinação de letras maiúsculas ou minúsculas, números, a senha será
praticamente impossível de ser descoberta.
III. Porta dos Fundos (ou Backdoor): Perpetrado por programador da organização que
insere um código no sistema desviando o processamento de uma rotina de
verificação caso determinada senha de acesso seja inserida, validando-a
independente da senha que constar no banco de dados.
IV. Alçapões (ou trap door): trata de um trecho de código mal-intencionado por onde o
invasor cria uma ou mais falhas de segurança, e assim poder dar acesso a pessoas não
autorizadas a este sistema.
Resposta Comentada: As definições dos Ataques Porta dos Fundos e Alçapões estão invertidas.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
5. (BSIQ33) Tendo em vista que a informação está entre os bens mais importantes para uma
organização, um dos fatores decisivos na definição de uma rede de computadores é a
segurança da informação. Para garantir tal segurança e evitar qualquer desvio ou ação que
possa modificar essas informações sem autorização ou, ainda, para protegê-las de ataques
cibernéticos, são necessários planejamentos e estruturação da rede e de seus acessos.
FONTES, E. Praticando a segurança da informação. Iª ed. São Paulo: BRASPORT, 2008 [adaptado]
Considerando o texto, avalie as informações a seguir:
I. A proteção da informação em uma organização é competência restrita à área de
tecnologia, que assume total responsabilidade sobre sua segurança.
II. A proteção da informação exige postura e comprometimento dos envolvidos na sua
execução, portanto, deve ser tratada de forma profissional.
III. A presença de funcionários éticos na empresa elimina a necesidade de
investimentos na área de segurança da informação.
IV. Os ataques cibernéticos são cada dia mais frequentes, por isso, a segurança da
informação deve ser considerada essencial.
É correto o que se afirma em:
A. II, apenas;
B. I e III, apenas;
C. II e IV, apenas;
D. I, III e IV, apenas;
E. I, II, III e IV;
Resposta Comentada: A afirmação III está incorreta pois limita os clientes apenas aos
altamente sofisticados
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
II. Os fatores comuns nas políticas discutidos em sala de aula são os seguintes:
• Especificação da Política
• Declaração da Alta Administração
• Autores / Patrocinadores da Política
• Referências a outras políticas, normas e procedimentos;
• Procedimentos para requisição de exceções à Política
• Procedimentos para mudanças da Política
Resposta Comentada:
As afirmações I e II se referem a construção e elaboração da Política de Segurança e não sobre o que
deve compreendido e percebido pelo colaborador da organização, o que ficar retido em sua consciência.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
Resposta Comentada:
A afirmação I está incorreta, pois a Lei Sarbanes Oxley (SOX) é uma Legislação dos EUA;
A afirmação IV está incorreta, pois a Segurança não pode proporcionar redução de custos de produção;
A afirmação V está incorreta, pois o Setor de Medicina e Saúde busca evitar que informações vazem,
estejam indisponíveis ou não integras, além disso, as políticas de segurança não podem evitar que erros
médicos aconteçam.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
11. Em nossos estudos sobre criptografia aprendemos sobre os algoritmos utilizados que
podem ser classificados como os de chave simétrica e os de chaves assimétricas, em
especiais sobre suas principais diferenças. A partir disso analise as afirmações abaixo.
I. A chave simétrica, também chamada de criptografia de chave secreta ou única,
utiliza uma mesma chave tanto para codificar como para decodificar informações,
sendo usada principalmente para garantir a confidencialidade dos dados, havendo
necessidade de compartilhamento da chave secreta.
II. A chave assimétrica, também conhecida como criptografia de chave pública, utiliza
duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma
privada, que deve ser mantida em segredo por seu dono. Quando uma informação
é codificada com uma chave, somente a outra chave do par pode decodificá-la.
III. O algoritmo de chave simétrica precisa de um canal seguro para transportar a chave
secreta para compartilhá-la com o destinatário da mensagem, enquanto que o
algoritmo de chave assimétrica, isso não é necessário, pois a sua chave pública pode
ser conhecida por qualquer um.
Está correto o que se afirma em:
A. I apenas;
B. II apenas;
C. III apenas;
D. I e II, apenas;
E. I, II e III.
12. Dentro do contexto de Certificado Digital aprendemos os conceitos que envolvem a Lista
de Certificados Rejeitados (LCR), Certificados Autoassinados e Certificados EV SSL, a partir
disso avaliem as afirmações abaixo:
I. O papel da LCR é o de publicar informações sobre certificados que não são mais confiáveis.
Sempre que a AC (autoridade certificadora) descobre ou é informada que um certificado
não é mais confiável, ela o inclui em uma "lista negra", chamada de "Lista de Certificados
Revogados" (LCR) para que os usuários possam tomar conhecimento. A LCR é um arquivo
eletrônico publicado periodicamente pela AC, contendo o número de série dos certificados
que não são mais válidos e a data de revogação.
II. O Certificado autoassinado: é aquele considerado inidôneo, ou seja, falso e que pode
comprometer a segurança do usuário. Estes casos muitas vezes são percebidos pelo
sistema operacional que emite um alerta de certificado invalido para o usuário.
III. Um Certificado EV SSL (Extended Validation Secure Socket Layer), é um certificado emitido
sob um processo mais rigoroso de validação do solicitante. Inclui a verificação de que a
empresa foi legalmente registrada, encontra-se ativa e que detém o registro do domínio
para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;
Resposta Comentada: O Certificado Autoaasinado é aquele emitido por uma AC para seu uso.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
Resposta Comentada: Uma AC emissora responsável por publicar informações sobre certificados que
não são mais confiáveis.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
16. As moedas digitais não são uma ideia nova, desde a década de 1990 discute-se como
implementá-las, porem barrando sempre na necessidade de uma autoridade central,
confiável, para emissão das moedas e impedir o gasto duplo. Porem em 31/10/2008, um
artigo publicado e assinado por Satoshi Nakamoto, apresenta uma moeda digital conhecida
como Bitcoin, que vence essas barreiras utilizando como seu “engine” a tecnologia
Blockchain que pode atender outras aplicações muito além das moedas digitais. A partir
disso, avalie as afirmações abaixo:
I. A tecnologia blockchain se refere a um livro distribuído de registro de transações
agrupadas em blocos organizados em uma cadeia. Os blocos inseridos na cadeia são
imutáveis, pois cada bloco contém um hash de seu conteúdo, que permite verificar
a integridade das suas transações. Além disso, o hash de um bloco depende do
hash do bloco anterior, garantindo sua imutabilidade, já que mudar o hash de
qualquer bloco n - i também mudaria o hash do bloco n.
II. Uma blockchain dispensa uma autoridade central para garantir a validade dos novos
blocos. Para isso, a blockchain completa é distribuída para todos os nós que
participam da rede e através de um algoritmo de consenso a validade dos novos
blocos de transações é verificada pelos nós ativos da rede.
III. Os mineradores são os nós responsáveis por formar blocos e inseri-los na
blockchain. É por eles que a estratégia de consenso acontece, em geral por um
protocolo de incentivo. Em bitcoin, p. ex., são incentivados pela cobrança de taxas
de transação e por uma recompensa pela inclusão do bloco na blockchain. Em geral,
deve existir um incentivo para que construam blocos válidos, o que leva a rede ao
consenso.
É correto o que se afirma em:
A. I, apenas;
B. II, apenas;
C. I e III, apenas;
D. II e III, apenas;
E. I, II e III;
Resposta Comentada: Ainda não existem plataformas de Blockchain que permitem algoritmos
de consenso personalizados, tipo plug and play, para aplicações em que os participantes são
conhecidos, existindo entre eles um determinado nível de confiança.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
19. As auditorias sistemas podem ser classificadas em alguns tipos associados as necessidades da
organização naquele momento. Elas podem ser necessárias durante o desenvolvimento de
sistemas, em Sistemas em Produção, no Ambiente Tecnológico e em eventos específicos.
Diante disso avalie as afirmações abaixo:
I. O grau de risco do ponto está relacionado aos volumes de prejuízos que podem gerar
no sistema a curto, médio e longo prazo.
II. Em relação a disponibilidade de recursos, devem ser auditado todos os pontos
identificados, uma vez que é interesse da organização auditá-los e assim garantir a sua
segurança.
III. Quanto à existência de ameaças, deve-se priorizar as de maior ameaça.
Resposta Comentada: A afirmação II está incorreta pois devem ser priorizados os pontos que
podem ser auditados com os recursos disponíveis, já que os recursos não são infinitos.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
I. As fraquezas devem ser classificadas como pontos de auditoria e devem ser apontadas
recomendações para sua solução ou mitigação.
II. Cada ponto de auditoria deve sofrer revisão e avaliação periódica pelos analistas e
usuários responsáveis.
III. Não existe a necessidade de um follow-up posterior pela equipe de auditoria pois a
revisão e avaliação periódica pelos analistas e usuários responsáveis garantirá que as
recomendações sejam executas e assim as fraquezas sejam eliminadas ou mitigadas em
um nível aceitável pela organização.
22. As Ferramentas de Auditoria em SI´s são importantes aliados para a extração, classificação e
seleção de dados e transações a serem validadas, apoiando na evidenciação de discrepâncias e
desvios nos Si´s. Estas ferramentas podem ser categorizadas em: Ferramentas Generalistas de
auditoria de Tecnologia da Informação, Ferramentas Especializadas de auditoria e Programas
utilitários em geral. A partir disso avalie as afirmações que seguem:
24. Sobre as melhores práticas para a Auditoria de Sistemas de Informação, nota-se a ausência de
um padrão único, mas que diversas organizações, como a Associação de Controle e Auditoria
de TI (EUA) e a ISACA Associação de Auditores de Sistemas e Controle, propõem modelos
assemelhados, destacando-se as questões sobre sigilo, competência técnica, objetividade,
diligência e zelo profissional. Considerando isso, avalie as afirmações que seguem:
I. O Auditor deve servir aos interesses dos stakeholders de forma legal e honesta, atentando
para a manutenção do alto padrão de conduta e caráter profissional, e não encorajar atos de
descrédito profissional
II. O Auditor deve manter privacidade e confidencialidade das informações obtidas no
decurso de suas funções, exceto quando exigido legalmente. Tais informações não
devem ser utilizadas em vantagem própria ou entregue a pessoas desautorizadas
III. O Auditor deve informar as partes envolvidas sobre os resultados de seus trabalhos,
expondo todos os fatos significativos que tiver em seu alcance;
25. É grande a importância do registro de marcas e patentes nos negócios de tecnologia, o que é
regulado na Lei 9.279 de 15/05/1996 – Lei de Propriedade Industrial, que afirma no seu artigo
122 que: São suscetíveis de registro como marca os sinais distintivos visualmente perceptíveis,
não compreendidos nas proibições legais. Estabelecendo no seu artigo 124 quais os sinais que
não podem ser registrados, sendo o órgão responsável pelo registro de marcas e Patentes no
Brasil o INPI – Instituto Nacional de Propriedade Industrial. A partir disso, avalie as afirmações
abaixo considerando os conceitos legais sobre o registro de marcas e patentes:
I.
Por definição legal, toda marca tem que ter uma forma visual, devendo ser distinta e
diferente, obedecendo os sinais que não podem ser registrados conforme previsto na lei,
não podendo também envolver marcas sonoras ou olfativas.
II. A cobertura territorial de proteção de marca registrada no INPI, limita-se ao território
brasileiro, devendo ser registrada em outros países caso pretenda-se atuar com a marca no
exterior.
III. Programas de computador não podem ser patenteados, mas podem ser protegidos por
registro no INPI.
Assim podemos afirmar que são corretas as alternativas:
a) I apenas;
b) II apenas;
c) III, apenas;
d) I e II apenas;
e) I, II e III.
Resposta Comentada: Todas as afirmações estão corretas
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
26. No exterior existem diversas legislações que tratam a proteção de dados, podem ser citadas a
HIPPA - Health insurance portability and accountability act of 1996, HITECH - Health
Information Technology for Economic and Clinical Health Act e CCPA - California Consumer
Privacy Act of 2018 nos EUA e a General Data Protection Regulation (GDPR) na União Européia.
No Brasil também temos uma legislação específica para proteção de dados, a Lei Geral de
Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, que estabelece os 10 princípios para o
tratamento de dados, entre esses princípios podemos citar a Finalidade, Adequação e
Necessidade. A partir disso, avalie as afirmações abaixo considerando os 10 princípios para o
tratamento de dados previstos na LGPD:
I.
O Princípio da Finalidade estabelece que para o tratamento de dados pessoais por uma
organização, devem existir propósitos legítimos, específicos, explícitos e informados aos
interessados;
II. O Princípio da Necessidade estabelece que o tratamento dos dados pessoais deve ser
compatível com as finalidades informadas aos interessados;
III. O Princípio da Adequação, estabelece que a utilização, deve ser apenas e tão somente, dos
dados estritamente necessários as finalidades informadas.
Assim podemos afirmar que são corretas as alternativas:
a) I apenas;
b) II apenas;
c) III, apenas;
d) I e II apenas;
e) I, II e III.
Resposta Comentada: As afirmações II e III estão incorretas pois a Definição do Princípio de
Necessidade e a Definição do Princípio de Adequação estão invertidas
27. A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, estabelece os 10
princípios para o tratamento de dados, como a Necessidade, Adequação e a Finalidade,
determina as base legais que permitem o tratamento de dados pessoais pelas organizações,
como por exemplo, ter o consentimento do titular do dados, dar cumprimento a obrigação
legal, a Proteção a Vida e Tutela de Saúde, entre outros. Por outro lado, também estabelece
Direitos dos Titulares dos Dados Pessoais na LGPD. A partir disso, avalie as afirmações abaixo
considerando os Direitos do Titulares na LGPD:
I. Não Devem ser informados com quais entidades o controlador realizou uso compartilhado
de dados;
II. O Controlador deve proporcionar a Portabilidade dos dados a outro fornecedor de serviço
ou produto;
III. Anonimização, bloqueio ou eliminação de dados desnecessário, excessivos ou tratados
ilicitamente;
a) I apenas;
b) II apenas;
c) III, apenas;
d) II e III apenas;
e) I, II e III.
Resposta Comentada: A afirmação I está incorreta, pois devem sim, ser informados com quais
entidades o controlador realizou uso compartilhado de dados
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
a) I apenas;
b) II apenas;
c) III, apenas;
d) I e II apenas;
e) I, II e III.
Resposta Comentada: A afirmação III está incorreta, pois esta definição é para a Análise
Forense Digital, não sendo um dos objetivos da análise de risco, que busca evitar os crimes e
ataques digitais e não os analisar depois de sua ocorrência;
29. Nos estudos que realizamos em aula identificamos que cada organização pode ter níveis de
riscos diferentes em relação a outras empresas, mesmo quando ambas atuam no mesmo
mercado. Sobre isso, avalie as seguintes afirmações:
I. As organizações podem ter níveis de riscos diferentes em razão de características
influenciadas pelo seu ambiente interno e pelo ambiente externo no qual está inserida.
Estas variáveis podem ser classificadas em variáveis internas e variáveis externas;
II. As variáveis internas são compostas por variáveis humanas, físicas e tecnológicas;
III. As variáveis externas são compostas por variáveis macroeconômicas, mercadológicas e
tecnológicas.
Assim podemos afirmar que são corretas as alternativas:
a) I, apenas;
b) II, apenas;
c) III, apenas;
d) I e II, apenas;
e) I, II e III.
Resposta Comentada: A afirmação III está incorreta, pois as variáveis externas são compostas por
Macroeconômicas, Mercadológicas e Naturais.
Exercícios até aula 08 Segurança e Auditoria de SI
Gabarito Prof. Paulo Rangel
30. Estudamos a questão do ciclo de vida da informação, que é caracterizado pelos momentos
vividos pela Informação que a colocam em risco e que podem alterar as suas propriedades de
Confidencialidade, Integridade e Disponibilidade. Esses momentos podem ser divididos em:
Manuseio, Armazenamento, Transporte e Descarte. Sobre isso, avalie as seguintes afirmações:
I. O Manuseio é o momento em que a informação é apenas manipulada, com atenção
especial em relação ao acesso e o processamento correto e exato da informação;
II. O Transporte é o momento quando a informação é transportada, por exemplo, por
correio eletrônico ou outra aplicação, através de uma rede para ser consultada em uma
estação, com atenção especial em garantir a sua confidencialidade através do uso de
criptografia entre a origem e o destino;
III. O Descarte é quando a informação é descartada; com atenção especial em garantir a
sua preservação para histórico através de cópias de segurança criptografadas;
Assim podemos afirmar que são corretas as alternativas:
a. I, apenas;
b. II, apenas;
c. III, apenas;
d. I e II, apenas;
e. I, II e III;
Resposta Comentada:
A opção I está incorreta pois no Manuseio a informação é criada e manipulada;
A opção III está incorreta pois no momento de Descarte não faz sentido falar em cópias de
segurança; Logo, APENAS a alternativa II está correta.
31. Estudamos que a Engenharia Social refere-se a um conjunto de práticas usadas para que o
atacante tenha acessos a informações importantes explorando a confiança das pessoas, não se
tratando de um ataque técnico, já que não requer conhecimentos de tecnologia, mas sim,
habilidades interpessoais para ganhar a confiança das pessoas valendo-se de diversas técnicas
para alcançar esse objetivo. Partindo disso, avalie as seguintes afirmações:
a. I, apenas;
b. II, apenas;
c. III, apenas;
d. I e II, apenas;
e. I, II e III;
Resposta Comentada: A opção III está incorreta pois a Engenharia Social e o seu principal agente, o
Engenheiro Social, não realizam ataques tecnológicos;