Exercicios - Fundamentos de Segurança da Informação

Prévia do material em texto

Fundamentos de Segurança da Informação [GADS1054|EAD|
01]
1. 
A ameaça por meio de vírus é uma das formas mais comuns de ataque à segurança da 
informação. Os vírus são programas de computador maliciosos que se propagam e infectam 
outros arquivos ou sistemas, causando danos aos dados e prejudicando a operação normal dos 
dispositivos. Essa ameaça pode ser classificada como software malicioso ou malware. 
Os malwares incluem uma variedade de ameaças, como vírus, worms, trojans, ransomware, 
entre outras, cada uma com características específicas e métodos de propagação.
Sobre a ameaça por meio de vírus, podemos classificá-la como:
Resposta correta: involuntária.
A ameaça por vírus é classificada como involuntária porque não é causada intencionalmente 
pelas pessoas, mas por incidentes como a abertura de um anexo de e-mail contaminado. Os 
vírus são programas maliciosos projetados para se infiltrarem em sistemas de computadores 
sem o consentimento do usuário, geralmente se propagando rapidamente e causando danos 
aos dados e ao funcionamento do sistema. Voluntária refere-se a ameaças que são causadas 
intencionalmente por indivíduos ou grupos, com o objetivo de prejudicar sistemas de 
computadores ou obter acesso não autorizado a informações sensíveis. Natural refere-se a 
ameaças que ocorrem devido a fenômenos naturais, como desastres naturais (enchentes, 
terremotos, incêndios), que podem danificar infraestruturas de tecnologia da informação e 
resultar em perda de dados. Hardware refere-se a ameaças que têm origem em 
componentes físicos de sistemas de computadores, como falhas de hardware, dispositivos 
comprometidos ou equipamentos danificados que podem causar interrupções ou perda de 
dados. Software refere-se a ameaças que são causadas por programas maliciosos (malware) 
projetados para infectar sistemas de computadores, como 
vírus, worms, trojans, ransomware, entre outros.
2. 
Os ativos de informação são elementos fundamentais da área de segurança da informação, 
pois representam tudo aquilo que tem valor para a empresa e precisa ser protegido contra 
ameaças e ataques. Esses ativos podem ser classificados em diversas categorias, incluindo 
informações, software, hardware, infraestrutura física e lógica, propriedade intelectual e 
recursos humanos especializados. Cada uma dessas categorias desempenha um papel crucial 
no funcionamento e na continuidade dos negócios da empresa, e sua proteção é essencial para 
garantir a integridade, confidencialidade e disponibilidade das informações.
Além das informações, o software também é um ativo essencial que precisa ser protegido. Isso 
inclui todos os programas de computador utilizados nos processos de acesso, leitura, 
transmissão e armazenamento das informações da empresa.
Sobre os ativos, assinale a alternativa correta.
Resposta correta: Ativo é tudo aquilo que a empresa tem e que representa parte de sua informação, 
podendo ser físico ou digitalizado.
Os ativos não se limitam apenas à representação física das informações da empresa. Eles 
podem incluir tanto ativos físicos quanto digitais que armazenam informações importantes 
para a organização. Embora os ativos de informação possam incluir sistemas e dados 
digitais, também podem abranger recursos físicos, como documentos em papel, arquivos 
físicos, entre outros. A receita de um bolo não é considerada um ativo de uma empresa de 
bolos, pois não está relacionada diretamente a um cliente e geralmente não é armazenada 
em um banco de dados. Isso ilustra que nem toda informação da empresa é um ativo de 
informação, sendo necessário que a informação tenha valor e relevância para a organização 
para ser considerada um ativo. Um carro não é geralmente considerado um ativo de 
informação. Embora possa ter valor financeiro para a empresa, não está diretamente 
relacionado ao armazenamento ou processamento de informações relevantes para a 
organização. Os ativos são tudo aquilo que a empresa tem e que representa parte de sua 
informação, podendo assumir formas físicas ou digitais.
3. 
A segurança da informação é um campo vital em um mundo cada vez mais dependente da 
tecnologia e da digitalização. Proteger os dados e sistemas de uma organização não apenas 
garante a integridade, confidencialidade e disponibilidade das informações, mas também 
protege a reputação da empresa e evita consequências legais e financeiras negativas.
Sobre a segurança da informação e alguns dos motivos para se preocupar e investir nisso, 
assinale a alternativa correta.
Resposta correta: A principal forma de evitar problemas com sequestro de dados é 
utilizar softwares originais, mantendo-os sempre atualizados.
A colocação de senha de acesso nos computadores da empresa é uma medida fundamental 
para mitigar o risco de acesso indevido, mas ineficiente para infecção por vírus em 
acesso on-line. Ao exigir uma senha para acessar os computadores, é possível limitar quem 
pode usar as máquinas. Isso impede que usuários não autorizados tenham acesso aos 
sistemas e, consequentemente, pode até reduzir a probabilidade de ataques por meio de 
vírus ou malware, mas os malwares e vírus são comumente infectantes via rede e internet. 
Alguns tipos de malware, como ransomware, buscam bloquear o acesso aos dados da 
empresa e exigem um resgate para liberá-los. Ter uma senha de acesso dificulta o sucesso 
desses ataques, mas não impede que o malware acesse diretamente os arquivos e pastas do 
sistema.
Alguns tipos de falha em sistemas não são considerados falhas de segurança, como as falhas 
de preenchimento de formulários, que são classificadas como falhas funcionais. Algumas 
falhas de segurança podem causar danos financeiros graves para as empresas e seus 
clientes, como quando ocorre perda ou vazamento de dados. Evitar vazamento de dados é 
um compromisso da área de segurança da informação, independentemente da forma como 
são armazenados. Além da preocupação com o vazamento e a perda de dados, os 
responsáveis pela segurança da informação devem garantir sempre a utilização 
de softwares autênticos e atualizados para evitar sequestro de dados.
4. 
No contexto da segurança de computadores, confidencialidade é evitar a revelação não 
autorizada de informação, ou seja, envolve a proteção de dados, propiciando acesso apenas 
àqueles que são autorizados.
Sobre as principais ferramentas utilizadas para proteger informações sensíveis, assinale a 
alternativa correta.
Resposta correta: Controle de acesso: define regras e políticas que limitam o acesso à informação 
confidencial apenas para um usuário ou grupo específico.
As principais ferramentas utilizadas para proteger informações sensíveis abrangem 
encriptação, controle de acesso, autenticação e autorização. A encriptação desempenha um 
papel crucial na segurança, convertendo dados em um formato indecifrável durante o 
armazenamento ou transmissão. O controle de acesso estabelece regras e políticas que 
restringem o acesso somente a usuários autorizados, protegendo informações contra acesso 
não autorizado. A autenticação verifica a identidade dos usuários antes de conceder acesso, 
enquanto a autorização determina as ações ou recursos que um usuário autenticado pode 
acessar ou executar, assegurando que apenas atividades autorizadas sejam realizadas. Essas 
ferramentas formam uma estrutura essencial para a proteção eficaz de informações 
sensíveis, garantindo integridade, confidencialidade e disponibilidade dos dados em 
sistemas e redes corporativas.
5. 
Um aspecto importante de segurança da informação é zelar pela integridade dos dados. A 
integridade é a propriedade que visa a garantia de que a informação não foi alterada de 
maneira não autorizada. Existem várias ferramentas especialmente projetadas para apoiar 
nesse processo.
Assinale a alternativa que apresenta uma ferramenta de apoio à integridade com sua 
definição correta.
Resposta correta: Checksum: técnica que calcula um valor numérico único para verificar a 
integridade dos dados durante a transmissãoou armazenamento.
O checksum é uma técnica que consiste em calcular um valor numérico único a partir de 
um conjunto de dados usando um algoritmo específico. Esse valor, chamado de checksum, é 
anexado aos dados ou transmitido separadamente. Ao receber os dados, o destinatário 
recalcula o checksum e o compara ao valor do checksum original.
O antivírus é um software projetado para detectar, prevenir e remover malware, como vírus, 
que pode comprometer a integridade dos dados.
A assinatura digital é uma técnica que utiliza chaves públicas e privadas para verificar a 
autenticidade e integridade de documentos ou mensagens.
O firewall é um dispositivo ou software que atua como uma barreira entre uma rede privada 
interna e redes externas, filtrando o tráfego de rede para proteção contra ameaças externas.
Por fim, a criptografia é um método de codificação de dados para protegê-los contra acessos 
não autorizados, garantindo a integridade e confidencialidade desses dados.
1. 
Os ativos de informação representam um dos pilares fundamentais para o funcionamento e a 
prosperidade de uma empresa no mundo moderno. Esses ativos englobam não apenas os 
dados em si, mas também os meios pelos quais esses dados são armazenados, processados e 
transmitidos ao longo de sua jornada dentro da organização.
Assinale a alternativa que contém apenas ativos de informação.
Resposta correta: Banco de dados, documentação de sistemas, planos de continuidade, informações 
arquivadas, etc.
Ativos da informação são tudo aquilo que armazena o todo ou parte da informação. Dessa 
forma, apenas equipamentos ou ferramentas que contêm informações são considerados 
ativos. Banco de dados, documentação de sistemas, planos de continuidade, informações 
arquivadas são exemplos de ativos.
O mobiliário não é considerado um ativo de informação, pois não armazena, processa ou 
transmite informações.
As ferramentas de sistemas podem ser consideradas ativos de informação se estiverem 
diretamente relacionadas ao armazenamento, ao processamento ou à transmissão de 
informações.
Os computadores e o banco de dados são ativos de informação, pois estão diretamente 
associados ao armazenamento, ao processamento e à transmissão de informações. No 
entanto, o material de escritório (novo e em uso) não é considerado um ativo de informação, 
pois não armazena, processa ou transmite informações.
Os sistemas operacionais podem ser considerados ativos de informação se estiverem 
diretamente relacionados ao armazenamento, ao processamento ou à transmissão de 
informações.
A sala-cofre e as acomodações não são consideradas ativos de informação, pois não 
armazenam, processam ou transmitem informações.
Além disso, devem-se considerar outras informações essenciais para o funcionamento e a 
identificação da empresa, como sua aplicação específica, equipamentos de comunicação, 
nome fantasia e CNPJ. Esses elementos, embora não sejam dispositivos físicos, são 
fundamentais para o funcionamento e a representação da organização, tornando-se, 
portanto, parte integrante dos ativos de informação.
2. 
A informação deve ser protegida por todo o seu ciclo de vida, pois ela passa por 
transformações durante esse período. Assim, informações que eram confidenciais na 
concepção de um projeto, com o término deste, podem ser patenteadas, tornando-se, assim, 
públicas. Desse modo, o ciclo de vida das informações é dividido em quatro etapas.
Quais são as quatro etapas do ciclo de vida da informação?
Resposta correta: Manuseio, armazenamento, transporte, descarte.
O ciclo de vida da informação é um processo que envolve várias etapas, desde a sua criação 
até o seu descarte. Esse ciclo é composto por quatro fases distintas: manuseio, 
armazenamento, transporte e descarte.
A fase de criação marca o momento inicial em que a informação é concebida ou adquirida 
pela organização. Em seguida, há o manuseio, em que a informação é manipulada e 
processada para atender às necessidades específicas da organização.
Na etapa de armazenamento, a informação é guardada de forma segura para uso futuro.
Durante a fase de transporte, a informação pode ser movida de um local para outro – física 
ou digitalmente.
Por fim, há o descarte, que é o ato de eliminar a informação quando ela não é mais 
necessária ou relevante, garantindo a conformidade com políticas de retenção de dados e 
proteção da privacidade.
É fundamental entender e gerenciar essas etapas para garantir a segurança, a integridade e a 
eficácia das informações ao longo de seu ciclo de vida.
3. 
As empresas reconhecem a importância de categorizar suas informações de acordo com suas 
necessidades e prioridades internas. Essa prática permite que elas identifiquem a 
sensibilidade e o valor dos dados que manipulam diariamente, bem como determinem quem 
deve ter acesso a essas informações e em que circunstâncias. Ao classificar suas informações 
de maneira estruturada e organizada, as empresas podem garantir que os recursos sejam 
alocados de forma eficiente para proteger e gerenciar adequadamente seus ativos de 
informação.
Assinale a alternativa que contém a classificação correta das informações.
Resposta correta: Pública, interna, confidencial, secreta.
As empresas categorizam suas informações de acordo com suas necessidades e prioridades, 
seguindo uma classificação específica. Essa classificação compreende seis categorias 
principais: pública, interna, confidencial, privada, externa e secreta.
A informação pública é aquela que pode ser divulgada sem causar danos significativos à 
empresa.
Internamente, a informação é considerada quando não representar grande risco se tornar 
pública.
A informação privada é aquela que tem restrições adicionais de acesso, sendo reservada a 
determinados grupos dentro da organização.
A informação externa refere-se a dados que provêm de fontes externas à empresa, como 
parceiros de negócios ou clientes.
Já a informação confidencial refere-se àquela cuja divulgação poderia causar danos 
consideráveis à empresa.
Por fim, a informação secreta é considerada crítica para a empresa, requerendo o máximo 
esforço para preservar sua segurança.
4. 
A segurança da informação é um componente essencial para o sucesso e a sustentabilidade de 
qualquer organização nos tempos modernos. Por meio dela, as empresas são capazes de 
proteger seus ativos mais valiosos – suas informações – contra uma ampla gama de ameaças, 
que incluem desde ataques cibernéticos e vazamentos de dados até desastres naturais e falhas 
de infraestrutura. Ao implementar medidas de segurança robustas, as empresas podem 
garantir a continuidade de seus negócios, mesmo diante de adversidades, minimizando os 
danos potenciais e maximizando o retorno de investimentos e as oportunidades de negócio.
A segurança da informação é composta por três conceitos básicos. Quais são eles?
Resposta correta: Confidencialidade, integridade e disponibilidade.
A segurança da informação é uma área essencial para proteger os dados contra várias 
ameaças, garantindo a continuidade dos negócios e minimizando danos. Ela se baseia em 
três conceitos básicos fundamentais.
Confidencialidade: assegura que apenas pessoas autorizadas tenham acesso a informações 
sigilosas, mantendo sua privacidade.
Integridade: visa a garantir que os dados não sejam violados, alterados ou corrompidos de 
forma não autorizada.
Disponibilidade: é essencial para garantir que os sistemas e dados estejam disponíveis 
quando necessário, evitando interrupções nos processos de negócios e promovendo a 
confiabilidade das operações.
A confiança e a segurança também são princípios importantes na segurança da informação, 
estabelecendo um ambiente de integração entre os sistemas, promovendo a confiança dos 
usuários e garantindo a proteção dos dados contra ameaças externas e internas.
5. 
A classificação das informações de acordo com o nível de privacidade é uma prática 
fundamental para proteger os ativos de uma empresa contra acesso não autorizado. Essaabordagem é crucial para evitar potenciais danos causados por violações de segurança e 
garantir a integridade e a confidencialidade dos dados.
Diante dessa classificação, considere as seguintes afirmativas:
I. A informação, quando acessada de forma indevida, resulta em danos leves.
II. A informação deve ser tratada com maior esforço possível por ser vital para empresa, já 
que pode levar ao seu fechamento.
III. A informação, quando acessada de forma indevida, pode acarretar prejuízos para 
empresa, porém não a ponto de causar o seu fechamento.
Assinale a alternativa que apresenta o tipo de nível de privacidade de cada informação:
Resposta correta: I – interna; II – secreta; III – confidencial.
O primeiro item sugere que a informação não é tão sensível e que seu acesso indevido não 
resultaria em danos significativos para a empresa. Portanto, essa informação provavelmente 
seria classificada como “interna”, já que não é considerada altamente crítica para os 
negócios.
O segundo item destaca a extrema importância da informação, a ponto de seu acesso 
indevido poder causar danos tão graves que poderiam levar ao fechamento da empresa. 
Portanto, essa informação seria classificada como “secreta”, indicando que é altamente 
sensível e crítica para os negócios.
No terceiro item, a informação é importante para a empresa e seu acesso indevido pode 
resultar em prejuízos financeiros ou danos à reputação, mas não ameaçaria a continuidade 
dos negócios a ponto de fechar a empresa. Portanto, essa informação seria classificada 
como “confidencial”, indicando que é sensível e requer proteção, mas não é considerada tão 
crítica quanto a “secreta”.
1. 
No ambiente cooperativo:
Resposta correta: várias organizações se conectam em rede e cooperam entre si para atingirem 
objetivos em comum.
Várias organizações trocam informações por meio da integração entre as suas redes (não 
apenas filiais). As partes cooperam entre si para atingir objetivos em comum, importantes 
para que qualquer tipo de organização tenha sucesso na sua atividade. Ou seja, a empresa 
não isola sua rede interna das demais, a fim de evitar problemas de segurança. Também 
não cria uma conexão entre a sua matriz e as suas filiais, mas não se permitem clientes ou 
fornecedores compartilhando a rede.
2. 
Escolha a alternativa que melhor completa a frase.
Em um ambiente cooperativo, quanto maior for a conectividade entre as partes:
Resposta correta: maior será a possibilidade de um ataque acontecer, e por isso aumenta a 
preocupação com a segurança da informação. 
Em um ambiente cooperativo, quanto maior for a conectividade entre as partes, maior será a 
possibilidade de um ataque acontecer, devido ao aumento das oportunidades trazido pela 
quantidade de partes envolvidas na troca de informações e pela interação entre os diferentes 
ambientes, o que resulta num aumento considerável dos pontos de vulnerabilidade.
3. 
Para que servem as regras de filtragem ou de conexão?
Resposta correta: Servem para proteger máquinas públicas da organização e locais que separam a 
organização do ambiente externo.
As regras de filtragem ou de conexão serão necessárias para proteger tanto máquinas 
públicas da organização quanto locais que separam a organização do mundo exterior. Ou 
seja, não servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo, 
nem o tipo de conectividade entre os computadores de uma área da empresa. Também não 
servem para estabelecer quantos usuários poderão se conectar ao mesmo tempo na rede 
interna da empresa, tampouco estipular os tipos de vírus que serão excluídos das máquinas 
dos usuários em tempo real de conexão.
4. 
Quem são os  insiders?
Resposta correta: São pessoas de dentro da própria organização que representam ameaças 
maliciosas, como, por exemplo, funcionários insatisfeitos.
São pessoas de dentro da própria organização que configuram ameaças maliciosas, podendo 
ser funcionários insatisfeitos, ex-funcionários, terceirizados ou parceiros de negócios. Ou 
seja, não são pessoas de fora que atacam as informações da organização, conhecidos como 
engenheiros sociais, nem clientes que desejam se conectar à rede da empresa para conhecer 
os preços dos produtos. Também não são parceiros de negócios que atuam como 
patrocinadores, devido ao alto custo das infraestruturas de rede da atualidade, tampouco 
são os atacantes que se utilizam do phishing para invadir as informações de uma 
organização.
5. 
Qual é o objetivo de um firewall cooperativo?
Resposta correta: Facilitar a administração da segurança da informação, posicionando e 
integrando as tecnologias para que o ambiente e os usuários fiquem protegidos.
O objetivo de um firewall cooperativo é facilitar a administração da segurança da 
informação no ambiente cooperativo, posicionando corretamente e integrando tecnologias 
específicas para que o ambiente e os usuários fiquem protegidos. Ou seja, seu objetivo não 
é auxiliar os funcionários a entrar em sites da Internet durante o horário de expediente, nem 
impedir que máquinas ligadas à Internet possam se conectar à rede interna da organização. 
Também não é impedir que os computadores da rede interna da organização se conectem à 
Internet, evitando problemas de segurança, tampouco instalar os aplicativos antivírus 
necessários à proteção em todas as máquinas da rede interna da organização e das partes 
envolvidas.
1. 
Qual o objetivo das normas da família ISO 27000?
Resposta correta: As normas ISO 27000 visam à implementação de um SGSI, desde a sua criação 
até o seu funcionamento e sua melhoria.
As normas da família ISO 27000 visam à criação, manutenção, melhoria, revisão, ao 
funcionamento e à análise de um Sistema de Gestão de Segurança da Informação.
2. 
Quais são os princípios básicos de um Sistema de Gestão de Segurança da Informação?
Resposta correta: Confidencialidade, autenticidade, disponibilidade e integridade. 
Os princípios básicos de um SGSI são: confidencialidade (a informação é divulgada 
somente para quem tem autorização para acessá-la), autenticidade (a informação veio do 
remetente informado e não foi alterada por alguém desautorizado), disponibilidade (a 
informação é disponibilizada pelo máximo de tempo possível, resistindo a falhas de 
equipamento e de energia) e integridade (a informação chega ao destinatário como o 
remetente queria, sigilosa e só com as alterações permitidas).
3. 
Qual o objetivo das normas da família ISO 31000?
Resposta correta: Servir de guia e diretriz para todos os tipos de gestão de riscos.
As normas da ISO 31000 têm como objetivo servir de guia, trazendo informações e 
diretrizes que auxiliem em todos os tipos de gestão de riscos, inclusive na tomada de 
decisão em todos os níveis organizacionais.
4. 
Segundo a norma ISO 31000, quais os requisitos necessários para uma gestão de riscos de 
sucesso?
Resposta correta: Comunicação e consulta, estabelecimento do contexto, identificação, análise, 
avaliação, tratamento de riscos, monitoramento e análise crítica.
Os requisitos para uma gestão de riscos de sucesso são: comunicação consulta, 
estabelecimento do contexto, identificação de riscos, análise de riscos, avaliação de riscos, 
tratamento de riscos, monitoramento e análise crítica.
5. 
Quais são os subplanos que compõem um plano de gestão da continuidade de negócios?
Resposta correta: Planos de: contingência, gerenciamento de crises, recuperação de desastres e 
continuidade operacional.
Os 4 subplanos envolvidos em um plano de gestão da continuidade de negócios são: plano 
de contingência (utilizado quando as ações de prevenção de incidentes falharem), plano de 
gerenciamento de crises (funções e responsabilidades de cada equipe envolvida nas ações 
de contingência), plano de recuperação de desastres (usado para que a organização retome 
seus níveis originais de operação e produção), e plano de continuidade operacional 
(restabelece o funcionamento dos processos que suportam a operação da empresa).
 
1.Por que os clientes podem vir a exigir, para fechar um negócio, que as organizações sejam 
certificadas ou demonstrem sua vinculação a uma norma ou padrão internacional?
Resposta correta: Porque, assim, a empresa demonstra sua preocupação com boas práticas 
internacionais e com a qualidade do que faz.
Porque, sendo certificada ou seguindo as diretrizes de uma norma, a organização demonstra 
que está preocupada com as boas práticas internacionais, o que assegura a qualidade de seus 
produtos e serviços com relação à gestão, à segurança, à inovação e aos processos.
2.    São exemplos de macroáreas estabelecidas na Norma 17799: 
Resposta correta: controle de acessos e política de segurança.
As macroáreas estabelecidas pela Norma 17799 são: política de segurança, segurança 
organizacional, classificação e controle dos ativos de informação, segurança de recursos 
humanos, segurança física e do ambiente, gerenciamento das operações e comunicações, 
controle de acessos, desenvolvimento e manutenção de sistemas de informação, gestão de 
continuidade de negócios e conformidade.
3.    O que é um ativo, segundo a norma ISO 27002? 
Resposta correta: É qualquer coisa para a qual a organização atribua valor e importância, devendo 
ser protegido.
Um ativo é qualquer coisa que tenha importância e valor para a organização e que, por isso, 
precisa ser protegido de alguma maneira. Os ativos devem ser identificados, avaliados e ter 
regras para o tipo de uso a que se destinam, para que a organização possa manter um 
inventário deles.
4.    Para um profissional, para que serve uma certificação em segurança da informação? 
Resposta correta: Serve como forma de valorizar seu currículo, atestando sua vasta experiência em 
determinado assunto.
Uma certificação serve para valorizar o currículo dos profissionais que a possuem, 
representando uma espécie de atestado de que o indivíduo certificado tem grande 
conhecimento ou experiência nos assuntos relacionados à certificação obtida.
5.    Qual é a certificação mais adequada para quem está começando como profissional de 
segurança da informação? 
Resposta correta: ISO 27002.
A certificação ISO 27002 é a certificação que serve para quem está começando como 
profissional da área de segurança da informação, pois seu foco está nos conceitos básicos de 
segurança da informação, o que vai auxiliar na compreensão de quais são as informações 
vulneráreis em uma organização e quais são as medidas mais adequadas para protegê-las.
1. 
A escolha do método de criptografia adequado é importante para a proteção de dados 
sensíveis. Uma das abordagens mais comuns é aquela em que a chave utilizada tanto para 
cifrar quanto para decifrar os dados é compartilhada entre o remetente e o destinatário.
Assinale a alternativa que indica o tipo de criptografia na qual a chave para cifrar e decifrar é 
compartilhada entre remetente e destinatário.
Resposta correta: Criptografia simétrica.
A criptografia simétrica utiliza chave para cifrar e decifrar dados e é compartilhada entre 
remetente e destinatário. As criptografias assimétrica, WEP e quântica têm outras 
funcionalidades. Já a RSA é um sistema de criptografia assimétrica que usa a fatoração de 2 
números primos grandes para a geração das chaves a fim de criptografar e descriptografar.
2. 
Na criptografia assimétrica, o modo de utilização das chaves difere da abordagem simétrica, 
pois envolve o uso de duas chaves distintas: uma chave pública e uma chave privada. Essas 
chaves são utilizadas de maneira específica.
Marque a alternativa que corresponde ao modo de utilização das chaves na criptografia 
assimétrica.
Resposta correta: Apenas a chave de encriptação é compartilhada.
Em criptografia assimétrica, o modo de utilização das chaves envolve compartilhar apenas a 
chave de encriptação. Em contraste, na criptografia simétrica, uma única chave é 
empregada tanto para criptografar quanto para descriptografar mensagens.
Não há um limite técnico predefinido para o uso das chaves, e qualquer solicitação de troca 
de chave geralmente é determinada por políticas de segurança específicas.
Não é correto dizer que não existe relação entre as duas chaves, pois, na verdade, as chaves 
pública e privada em criptografia assimétrica estão intrinsecamente ligadas por meio de 
algoritmos matemáticos. Embora a chave pública possa ser distribuída livremente, ela está 
relacionada à chave privada de forma que somente a chave privada correspondente pode 
decifrar as mensagens criptografadas com a chave pública.
Também não é verdade que, por ser de conhecimento de todos, a chave pública só pode ser 
usada uma vez. A chave pública pode ser usada repetidamente para criptografar mensagens 
destinadas ao proprietário da chave privada correspondente. A segurança reside no fato de 
que apenas a chave privada correspondente pode descriptografar essas mensagens, 
garantindo assim a confidencialidade das comunicações.
E é errôneo crer na possibilidade de recuperar mensagens com a chave pública em caso de 
perda da chave privada. A chave pública é usada apenas para criptografar mensagens e não 
pode ser usada para recuperar mensagens criptografadas, mesmo que a chave privada seja 
perdida, pois a criptografia assimétrica é projetada de forma que apenas a chave privada 
correspondente pode ser usada para descriptografar as mensagens, e não há método 
conhecido para reverter o processo de criptografia sem a chave privada adequada.
3. 
A criptografia assimétrica é uma abordagem inovadora na proteção de dados sensíveis e 
emprega um par de chaves distintas para cifrar e decifrar informações. Essas chaves, 
conhecidas como "chave pública" e "chave privada", têm funções complementares na 
garantia da segurança e autenticidade das comunicações digitais.
No contexto da criptografia assimétrica, uma variedade de algoritmos pode ser empregada 
para garantir a segurança e a eficácia do processo de cifragem e decifragem.
Marque a alternativa que corresponde aos algoritmos usados na criptografia assimétrica.
Resposta correta: DSS e RSA.
Os algoritmos DSS e RSA são exemplos utilizados na criptografia assimétrica. O DSS 
(digital signature standard) é utilizado para assinatura digital, o RSA é um dos algoritmos 
mais amplamente utilizados para criptografia assimétrica, sendo empregado para 
criptografar e descriptografar dados.
TCP, MD5, DMZ, Imap, AES e Raid são algoritmos ou tecnologias não relacionadas à 
criptografia assimétrica.
A PKI (public key infrastructure) é uma infraestrutura que gerencia chaves públicas e 
certificados digitais, sendo essencial para a segurança em comunicações criptografadas. O 
DES (data encryption standard) é um algoritmo de criptografia simétrica, não assimétrica, e 
é considerado inseguro para os padrões atuais devido à sua chave curta.
A DMZ (demilitarized zone) é uma rede de computadores que fica entre a rede interna de 
uma organização e a internet, usada para fornecer um nível adicional de segurança. O Imap 
(internet message access protocol) é um protocolo de e-mail que permite que um cliente 
de e-mail acesse mensagens de um servidor de e-mail remoto. O AES (advanced encryption 
standard) é um algoritmo de criptografia simétrica que substituiu o DES como o padrão de 
criptografia do governo dos EUA.
O Raid (redundant array of independent disks) é uma tecnologia de armazenamento que 
combina múltiplos discos rígidos em uma única unidade lógica para melhorar o 
desempenho e/ou a confiabilidade dos dados.
O TCP (transmission control protocol) é um protocolo de comunicação utilizado na internet 
que garante a entrega ordenada e confiável de pacotes de dados entre dispositivos em uma 
rede. Ele é responsável por segmentar, enviar, confirmar e retransmitir pacotes, além de 
controlar o fluxo de dados.
MD5 (message digest algorithm 5) é um algoritmo de hash amplamente utilizado para 
produzir um resumo único e fixo de dados de entrada, geralmente usado para verificar a 
integridade de arquivos ou mensagens.
4. 
Acriptografia assimétrica, também conhecida como "criptografia de chave pública", é 
fundamentada em princípios matemáticos complexos que garantem a segurança da 
comunicação digital. Essa abordagem utiliza um par de chaves distintas: uma chave pública e 
uma chave privada.
Analise o seguinte contexto:
"O usuário Antônio quer enviar um e-mail para Ana de modo seguro. Para isso, ele utilizará a 
criptografia assimétrica a fim de cifrar o conteúdo da mensagem".
Marque a alternativa que descreve o processo a ser efetuado por ambos a fim de realizar a 
operação.
Resposta correta: Antônio deve criptografar a mensagem utilizando a chave pública de Ana. Por sua 
vez, Ana deve descriptografar a mensagem usando a chave privada dela.
Ana não conseguirá descriptografar a mensagem usando as chaves pública ou privada de 
Antônio e também não conseguirá com a chave pública dela. Do mesmo modo, Antônio não 
poderá criptografar a mensagem utilizando a chave privada de Ana. Portanto, Antônio deve 
criptografar a mensagem empregando a chave pública de Ana. E Ana precisa 
descriptografar a mensagem utilizando a chave privada dela.
5. 
Compreender os fundamentos da criptografia assimétrica é essencial para entender como ela 
se tornou uma peça-chave na segurança da informação. Ao contrário da criptografia 
simétrica, que depende de uma única chave compartilhada entre remetente e destinatário, a 
criptografia assimétrica opera com um par de chaves distintas: uma chave pública, conhecida 
por todos, e uma chave privada, mantida em segredo pelo proprietário.
Considere uma empresa de tecnologia que está planejando implementar um sistema de 
comunicação seguro para trocar informações confidenciais entre os funcionários. Eles 
consideram a utilização da criptografia assimétrica para garantir a confidencialidade e a 
integridade das mensagens.
Os desenvolvedores propuseram o seguinte cenário para o sistema:
• Cada funcionário terá um par de chaves pública e privada gerado exclusivamente para ele.
• As chaves públicas serão armazenadas em um diretório centralizado acessível a todos os 
funcionários.
• Quando um funcionário deseja enviar uma mensagem para outro funcionário, ele vai cifrar 
a mensagem usando a chave pública do destinatário.
• O destinatário vai poder decifrar a mensagem utilizando a chave privada correspondente 
dele.
Com base nesse cenário, marque a alternativa correta que descreve uma vantagem da 
utilização da criptografia assimétrica nesse sistema de comunicação.
Resposta correta: Facilita a distribuição segura das chaves entre os funcionários.
A criptografia assimétrica tem uma série de vantagens significativas em comparação com a 
criptografia simétrica. Primeiramente, ela simplifica a distribuição segura das chaves e 
permite que os usuários compartilhem suas chaves públicas sem comprometer a segurança 
do sistema. Isso significa que não é necessário um canal seguro para trocar chaves antes da 
comunicação, o que facilita a implementação e o uso prático da criptografia assimétrica. 
Além disso, a criptografia assimétrica garante que apenas o destinatário pretendido possa 
decifrar a mensagem, uma vez que somente ele tem a chave privada correspondente. Isso 
proporciona uma camada adicional de segurança e minimiza o risco de acesso não 
autorizado aos dados.
O termo "chave secreta" geralmente está associado à criptografia simétrica, em que a 
mesma chave é usada tanto para cifrar quanto para decifrar os dados. Outra vantagem é a 
capacidade de autenticar as partes envolvidas na comunicação. Como cada usuário tem um 
par de chaves pública e privada exclusivo, é possível verificar a identidade do remetente por 
meio da assinatura digital, para garantir a autenticidade das mensagens trocadas.
1. 
É notório que, com o passar dos tempos, a tecnologia evoluiu significantemente e nos trouxe 
diversos benefícios. Em contrapartida, estamos susceptíveis a diversos tipos de ataques. 
Selecione, dentre as opções a seguir, os conceitos referentes ao ataque denominado ativo.
Resposta correta: Envolve a criação de um fluxo falso.
Esse tipo de ataque pode ser reconhecido pela ação por meio de modificação de mensagens 
e de negação de serviços.
2. 
Alguns ataques são extremamente difíceis de serem detectados, pois o tráfego de mensagens 
ocorre, aparentemente, de maneira normal. A análise do tráfego é uma ação que pode 
exemplificar esse tipo de ataque. Assinale a alternativa que se enquadra nas definições aqui 
citadas.
Resposta correta: Ataque passivo.
A liberação de conteúdo da mensagem também caracteriza esse tipo de ataque, tendo em 
vista que o intuito é sempre o de apenas monitorar transmissões e não o de alterar algo.
3. 
Todos nós já passamos por uma situação em que, quando acessamos a nossa conta de e-mail, 
nos deparamos com mensagens indesejadas. Esse tipo de ação recebe um nome. Qual é?
Resposta correta: Spam.
Um software malicioso pode necessitar de um programa hospedeiro, bem como pode agir 
de forma independente.
4. 
Existem diversos tipos de ataques, dentre eles os direcionados às organizações, sempre com o 
intuito de obter informações pessoais. Nesse caso, destacam-se os que envolvem transações 
financeiras. Assinale a alternativa que traz a expressão definida para ataques com esse tipo de 
perfil.
Resposta correta: Advanced Persistent Threats.
O objetivo desse tipo de ataque é lucrar em cima de alguém a longo prazo, mas não precisa 
ser “avançado” ou “persistente” para satisfazer os objetivos. É comum acontecer em 
ambientes sociais, governamentais, industriais e políticos.
5. 
A análise do perfil do alvo, a varredura e a enumeração, não se limitando apenas a estas, são 
etapas cruciais para se planejar um ataque cibernético. Pode-se afirmar que, com essas ações, 
é possível colher diversas informações relevantes para que o ataque ocorra. Assinale a 
alternativa que traz o nome e a definição correta de um dos diversos tipos de ataques. 
Resposta correta: Exploit : é específico para uma vulnerabilidade única ou para um conjunto de 
vulnerabilidades.
A grande maioria das ameaças de sistemas de computador é feita a partir programas que 
exploram as vulnerabilidades da máquina. Estes podem ser desde simples fragmentos 
até programas hospedeiros.
1. 
É notório que, com o passar dos tempos, a tecnologia evoluiu significantemente e nos trouxe 
diversos benefícios. Em contrapartida, estamos susceptíveis a diversos tipos de ataques. 
Selecione, dentre as opções a seguir, os conceitos referentes ao ataque denominado ativo.
Resposta correta: Envolve a criação de um fluxo falso.
Esse tipo de ataque pode ser reconhecido pela ação por meio de modificação de mensagens 
e de negação de serviços.
2. 
Alguns ataques são extremamente difíceis de serem detectados, pois o tráfego de mensagens 
ocorre, aparentemente, de maneira normal. A análise do tráfego é uma ação que pode 
exemplificar esse tipo de ataque. Assinale a alternativa que se enquadra nas definições aqui 
citadas.
Resposta correta: Ataque passivo.
A liberação de conteúdo da mensagem também caracteriza esse tipo de ataque, tendo em 
vista que o intuito é sempre o de apenas monitorar transmissões e não o de alterar algo.
3. 
Todos nós já passamos por uma situação em que, quando acessamos a nossa conta de e-mail, 
nos deparamos com mensagens indesejadas. Esse tipo de ação recebe um nome. Qual é?
Resposta correta: Spam.
Um software malicioso pode necessitar de um programa hospedeiro, bem como pode agir 
de forma independente.
4. 
Existem diversos tipos de ataques, dentre eles os direcionados às organizações, sempre com o 
intuito de obter informações pessoais. Nesse caso, destacam-se os que envolvem transações 
financeiras. Assinale a alternativa que traz a expressão definida para ataques com esse tipo de 
perfil.
Resposta correta: Advanced Persistent Threats.
O objetivo desse tipo de ataque é lucrar em cima de alguém a longo prazo, mas não precisa 
ser “avançado” ou “persistente” para satisfazer os objetivos.É comum acontecer em 
ambientes sociais, governamentais, industriais e políticos.
5. 
A análise do perfil do alvo, a varredura e a enumeração, não se limitando apenas a estas, são 
etapas cruciais para se planejar um ataque cibernético. Pode-se afirmar que, com essas ações, 
é possível colher diversas informações relevantes para que o ataque ocorra. Assinale a 
alternativa que traz o nome e a definição correta de um dos diversos tipos de ataques. 
Resposta correta: Exploit : é específico para uma vulnerabilidade única ou para um conjunto de 
vulnerabilidades.
A grande maioria das ameaças de sistemas de computador é feita a partir programas que 
exploram as vulnerabilidades da máquina. Estes podem ser desde simples fragmentos 
até programas hospedeiros.
1. 
Um sistema de detecção de intrusão (intrusion detection system - ISD) é utilizado para 
detecção de atividades maliciosas em uma rede ou, até mesmo, em um computador específico, 
podendo este ser pessoal ou corporativo. Assinale a alternativa que traz uma das possíveis 
ameaças que o ISD é capaz de detectar.
Resposta correta: O acesso a funcionalidades do sistema – as quais não condizem com o perfil do 
usuário – caracteriza a ação de um infrator.
O IDS possui um gerente que compila dados dos sensores IDS pra que seja determinado se 
ocorreu ou não uma intrusão. Para isso, existem diversas regras e condições estatísticas que 
definem prováveis intrusões.
2. 
No decorrer dos anos, os sistemas computacionais passaram por diversas mudanças. 
Entretanto, deve-se ter em mente que algumas características acabaram sendo herdadas, uma 
delas é o acesso à Internet. Contudo, muitos ainda acreditam que todos os sistemas são sempre 
confiáveis. Assinale a alternativa que traz o conceito acerca da etapa de reconhecimento de 
perfil.
Resposta correta: É um processo que pode ser realizado em uma base de dados do tipo WHOIS, na 
qual o hacker busca informações de domínio, contatos e endereços IP.
Essas informações são públicas na Internet e acessá-las não representa nenhum tipo de 
delito. No Brasil, o registro BR é o responsável pela base de dados de qualquer empresa .br.
3. 
Conforne Goodrich et al. (2013,p.302), "qualquer técnica que permita a um usuário enumerar 
quais portas em uma máquina estão aceitando conexões é conhecida como varredura de 
porta. " Assinale a alternativa que traz o conceito acerca dos aspectos que representam um 
ponto de contato entre a Internet e a aplicação que está ouvindo essa porta particular.
Resposta correta: Portas abertas.
Num contexto em que haja a descoberta de uma vulnerabilidade do serviço remoto, um 
atacante poderia elaborar uma exploração que causaria uma condição 
de overflow de buffer nesse serviço, permitindo a execução de código remoto e controle 
completo da máquina alvo. Evitar o acesso à porta que estivesse executando esse serviço 
poderia impedir, com sucesso, a exploração.
4. 
Como pode ser difícil encontrar uma zumbi com números de sequência previsíveis, essa 
varredura não é frequentemente utilizada na prática, porém, fornece uma maneira eficaz de 
fazer uma varredura em um alvo sem deixar qualquer registro do endereço IP do atacante na 
rede-alvo. Sobre qual tipo de varredura estamos falando?
Resposta correta: Varredura ociosa.
É um tipo de varredura que procura outra máquina, conhecida como “zumbi”, que tenha 
números de sequência TCP previsíveis . O atacante pode usar a implementação fraca do 
TCP na máquina zumbi como uma ferramenta para realizar uma varredura de portas em um 
alvo separado, sem deixar nenhuma evidência na rede-alvo.
5. 
A possibilidade de se conectar a host(s)-alvo(s), a análise de host-alvo para descobrir serviços 
que estão armazenados e sendo executados nele e a verificação de vulnerabilidades conhecidas 
são características de qual etapa de um ataque malicioso?
Resposta correta: Serviços de varredura/escaneamento.
Esses recursos foram desenvolvidos, originalmente, para ajudar profissionais de segurança 
e administradores de sistemas a examinarem redes em busca de vulnerabilidades de 
segurança.
1. 
Qual é o conceito de função de hash?
Resposta correta: Algoritmo matemático que transforma dados originais, de tamanho variável, em 
dados menores, de tamanho fixo.
A função de hash, ou resumo, é um algoritmo matemático que faz a transformação de uma 
grande quantidade de dados, com tamanho variável, em pequenos dados, de tamanho fixo. 
As funções de hash são conhecidas por resumirem os dados, tendo como principal 
objetivo a comparação de dados grandes ou sigilosos.
2. 
São características das funções de hash:
Resposta correta: unidirecionalidade, resistência à colisão e recorrência.
As principais características das funções de hash são a unidirecionalidade: é impossível 
recuperar um dado partindo do seu hash; a resistência à colisão: evitar ou saber lidar com as 
possíveis colisões de hashes gerados; e a recorrência: sempre que a função for aplicada, o 
mesmo hash será gerado.
3. 
Como é o funcionamento básico de uma função de hash?
Resposta correta: Uma função é aplicada nos dados originais de tamanho variável, gerando um 
conjunto de dados de hash ou resumo, menor que o original, de tamanho fixo.
O funcionamento básico de uma função de hash envolve uma função matemática, que é 
aplicada em um conjunto de dados, gerando um outro número aleatório, bem menor, 
conhecido como hash ou resumo. O bloco de dados gerado pela função de hash  tem um 
comprimento fixo, enquanto que os dados de entrada apresentam tamanho variável. 
Qualquer que seja o comprimento dos dados de entrada, o hash de saída vai ser sempre com 
o mesmo comprimento.
4. 
São conhecidos algoritmos de hash:
Resposta correta: MD5 e SHA-1.
Atualmente, as funções de hash mais conhecidas são algoritmos que geram resumos de 16 
bytes ou de 128 bits. Os mais comuns são os algoritmos da família MD e, também, os 
algoritmos da família SHA: MD4, MD5, MD6, SHA-0, SHA-1, SHA-2 e SHA-3.
5. 
O principal motivo para os ataques às funções hash é:
Resposta correta: provar que os algoritmos utilizados estão obsoletos.
O principal motivo para os ataques às funções hash é provar que a tecnologia que utilizam 
está obsoleta, que é hora de mudar e que é necessário passar a utilizar um outro algoritmo 
para uma determinada aplicação.
1. 
Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da 
informação?
Resposta correta: As vulnerabilidades podem permitir que uma tentativa de ataque seja bem-
sucedida, resultando em perda da integridade da informação.
As vulnerabilidades são uma das maiores preocupações da segurança da informação, pois 
deixam os sistemas e as informações armazenadas por eles expostos para atacantes. Elas 
reduzem a segurança da informação, permitindo que uma tentativa de ataque seja bem-
sucedida, o que resulta na perda da integridade da informação.
2. 
O ataque de negação de serviço ataca principalmente qual dos atributos da segurança da 
informação?
Resposta correta: Disponibilidade.
A negação de serviço é um ataque à disponibilidade das informações, pois consiste na 
impossibilidade de executar funcionalidades básicas e na interrupção dos serviços de 
servidores, causando impedimento na máquina ou sistema atacados.
3. 
Quais são os 2 tipos gerais de ataques de negação de serviço?
Resposta correta: Negação de serviço ou denial of service (DoS) e negação de serviço 
distribuída ou distributed denial of service (DDoS).
Os ataques de negação de serviço se dividem em negação de serviço ou denial of 
service (DoS), em que o atacante utiliza uma máquina de excelente configuração para atacar 
a da vítima, e negação de serviço distribuída ou distributed denial of service (DDoS), por 
meio da qual o atacante usa um computador-master e vários computadores-zumbis para 
atacar a máquina-vítima ao mesmo tempo.
4. 
São formas de ataque ou subdivisões dos ataques de negação de serviço:
Resposta correta: Por inundação, de vulnerabilidade e nainfraestrutura de rede.
Os ataques de negação de serviço podem ser: por inundação, por amplificação, na 
infraestrutura da rede, de vulnerabilidade e de protocolo.
5. 
Uma das medidas mais comuns para prevenir um ataque de negação de serviço é a utilização 
de servidores proxy. Como ele funciona?
Resposta correta: O servidor proxy funciona como ponte entre a Internet e a máquina-vítima, 
filtrando o tráfego indesejado e deixando passar o verdadeiro.
A utilização de servidores proxy consiste na análise das requisições às máquinas da rede, 
funcionando como ponte entre a Internet e o computador-vítima. Esse tipo de servidor filtra 
o tráfego indesejado, permitindo que o tráfego verdadeiro passe.
1. 
O que é um certificado digital?
Resposta correta: É um documento eletrônico que é assinado digitalmente por uma autoridade 
certificadora da ICP-Brasil.
Um certificado digital é um documento eletrônico que é assinado digitalmente por uma 
autoridade certificadora pertencente à ICP-Brasil. Ele contém informações do emissor, do 
seu titular, da chave pública e da sua validade, que, para usuários finais, varia de 1 a 3 anos. 
Normalmente, os certificados digitais são armazenados em forma de arquivo.
2. 
O que é uma infraestrutura de chaves públicas?
Resposta correta: É uma cadeia hierárquica de confiança que viabiliza a emissão de certificados 
digitais, que servirão para fazer a identificação virtual de alguém.
A ICP é um conjunto de recursos, serviços e políticas que fornece apoio à utilização de 
criptografia de chave pública para fazer a autenticação das partes envolvidas em uma 
transação. Ela serve para gerenciar os certificados digitais por meio de uma cadeia 
hierárquica de confiança, que viabiliza a sua emissão, visando à identificação virtual de 
alguém.
3. 
O que é criptografia simétrica?
Resposta correta: É o processo que criptografa e descriptografa mensagens, utilizando apenas uma 
chave, que é privada.
A criptografia simétrica é o processo de criptografar e descriptografar mensagens, 
utilizando uma mesma chave, que é compartilhada entre as partes envolvidas na transação.
4. 
O que é criptografia assimétrica?
Resposta correta: É o processo que criptografa, utilizando uma chave pública, e descriptografa, 
utilizando uma chave privada, ou seja, utiliza um par de chaves para fazer o processo de 
comunicação.
A criptografia assimétrica é o processo de criptografar e descriptografar mensagens, 
utilizando um par de chaves, ou seja, uma chave para fazer a criptografia e outra chave para 
fazer a descriptografia dos dados. Somente uma parte tem a chave privada, que é usada para 
descriptografar, e todas as partes têm acesso à chave pública, que é usada para criptografar.
5. 
Estão entre as principais autoridades certificadoras da ICP-Brasil:
Resposta correta: SERPRO e AC Defesa.
O SERPRO e a AC Defesa estão entre as principais autoridades certificadoras da ICP-
Brasil. O SERPRO foi a primeira autoridade certificadora credenciada na ICP-Brasil, e a 
AC Defesa garante a emissão e o fornecimento de certificados digitais para o Ministério da 
Defesa.
1. 
A assinatura digital traz inúmeras vantagens aos usuários, dentre elas a economia no 
armazenamento, no volume e no envio de papéis. A seguir, marque o item que apresenta outra 
informação correta quanto à assinatura digital.
Resposta correta: É uma forma de provar a autenticidade das informações contidas em documentos 
digitais em substituição às assinaturas convencionais, que validam documentos em papel.
Uma assinatura digital é uma reprodução da assinatura em documentos digitais como forma 
de provar a veracidade das informações contidas ali. Ela serve em substituição às 
assinaturas convencionais que validam documentos em papel. É aceita pelo Governo, pelo 
Judiciário e por empresas.
2. 
O que é e para que serve a Infraestrutura de Chaves Públicas (ICP)?
Resposta correta: A ICP-Brasil é um sistema de serviços, de políticas e de recursos que permite a 
autenticação das partes envolvidas em uma transação digital.
A Infraestrutura de Chaves Públicas, conforme você viu nesta Unidade, é um sistema de 
serviços, de políticas e de recursos que dá suporte para a utilização de criptografia de chave 
pública, possibilitando fazer a autenticação das partes envolvidas em uma transação digital. 
Ela gerencia os certificados digitais e, também, as chaves públicas.
3. 
Sobre a criptografia simétrica, é correto afirmar que:
Resposta correta: utiliza somente uma chave secreta para codificar e decodificar a mensagem.
A criptografia simétrica utiliza uma chave única, conhecida como chave secreta. Esta é 
usada para codificar e decodificar a mensagem e é conhecida por todos os envolvidos na 
transação.
4. 
Sobre a criptografia assimétrica, é correto afirmar que:
Resposta correta: utiliza uma chave pública para codificar a mensagem e uma chave privada para 
decodificar a mensagem.
A criptografia assimétrica utiliza um par de chaves, sendo uma pública e uma privada. A 
chave pública será utilizada para codificar a mensagem e é conhecida por todos os 
envolvidos na transação. A chave privada será utilizada para decodificar a mensagem e é 
conhecida somente pelo destinatário da mensagem.
5. 
O que diz a Medida Provisória n.º 2.200-2/2001 a respeito da autoridade oficial de gestão de 
certificados digitais?
Resposta correta: A ICP-Brasil é a autoridade oficial para gerenciar certificados digitais, mas 
considera a utilização de outros meios de validação.
Conforme a Medida Provisória nº 2.200-2/2001, a ICP-Brasil é a autoridade oficial para 
gerenciar a geração de certificados digitais válidos. No entanto, tenha em mente que ela não 
impede que outras entidades ou meios sejam usados para a validação, desde que as partes 
envolvidas na transação concordem com a sua utilização.
1. 
Para que serve um recurso de autenticação?
Resposta correta: Serve para comprovar se o usuário é quem ele realmente está dizendo ser.
O recurso de autenticação serve para verificar a identidade digital de um usuário, 
confirmando se ele realmente é quem diz ser.
2. 
Quais são os princípios nos quais se baseiam os recursos de autenticação?
Resposta correta: O que o usuário sabe, tem ou é.
Os princípios dos recursos de autenticação são: o que o usuário sabe (envolve algo que ele 
saiba ou conheça), o que o usuário tem (envolve algo que ele tem ou possui), e o que o 
usuário é (envolve uma característica física dele).
3. 
Quais são os processos que formam o controle de acesso?
Resposta correta: Identificação, autenticação, autorização e auditoria.
O processo de controle de acesso é formado pela união dos processos ou serviços de 
identificação, autenticação, autorização e auditoria de usuários para entrada em um sistema.
4. 
Para que serve o processo de controle de acesso?
Resposta correta: Serve para restringir o acesso a um sistema, permitindo ou negando o acesso de 
usuários conforme suas permissões.
O processo de controle de acesso serve para restringir o acesso a um sistema. Ele tem o 
objetivo de permitir ou negar acesso à utilização de um objeto – que pode ser uma 
funcionalidade, um arquivo ou um sistema – por um sujeito – que pode ser um usuário, um 
processo ou até mesmo um outro sistema.
5. 
São recursos de autenticação:
Resposta correta: senha, token e biometria.
Alguns dos principais tipos de recursos de autenticação são: senhas, tokens, cartões 
inteligentes e sistemas biométricos.
1. 
O que é acesso remoto?
Resposta correta: É a tecnologia que possibilita que um dispositivo conecte-se remota e não 
fisicamente a um servidor para que troquem informações de maneira segura e confiável.
É a tecnologia que possibilita que um dispositivo acesse um servidor privado, de maneira 
remota, sem que precise estar conectado fisicamente à rede. Seu objetivo é estabelecer um 
ambiente de trabalho com operações autenticadas, que faça a troca de informações de 
maneira segura e confiável.
2. 
O que é autenticação de acesso?Resposta correta: A autenticação envolve o usuário, que quer estabelecer o acesso remoto, e uma 
unidade autenticadora, que se vale de um conjunto de regras que irão executar a validação do acesso 
do indivíduo ou dispositivo.
A autenticação do acesso é o que assegura que um dispositivo ou indivíduo é quem está 
dizendo ser. Para que a autenticação seja feita com sucesso, é necessária a implementação 
de um conjunto de regras pré-estabelecidas, e estas envolverão verificações para validar o 
nível de segurança necessário.
3. 
São métodos de autenticação de acesso remoto:
Resposta correta: TELNET e SSH.
O TELNET é um protocolo de autenticação usado para fazer a comunicação de dispositivos 
ligados em rede não segura, pois os dados não são codificados até chegarem ao destino. Já o 
SSH é um método extremamente seguro de comunicação, que criptografa os dados na saída 
para o destino e os descriptografa quando são entregues.
4. 
Quais são os principais elementos envolvidos no método Secure Shell (SSH)?
Resposta correta: Autenticação, cifragem e integridade.
O SSH envolve autenticação, para determinar a identidade de alguém e estabelecer a 
conexão somente se o acesso for autorizado; cifragem, para fazer a criptografia e 
embaralhar os dados até que estes cheguem ao destino; e integridade, garantindo que a 
informação chegará íntegra ao seu destino, sem sofrer alterações.
5. 
Por que se diz que a Virtual Private Network (VPN)trabalha com tunelamento seguro?
Resposta correta: Porque ela estabelece uma ligação entre o dispositivo e o servidor requerido, e os 
dados trafegam através de uma espécie de túnel protegido, pois são criptografados na saída e 
descriptografados somente na chegada ao destino.
A VPN estabelece uma ligação entre o dispositivo e o servidor requerido, para que eles 
possam compartilhar conteúdo entre si através de um caminho protegido na Internet, a um 
custo menor que o de equipamentos wireless ou que o da conexão de duas pontas por cabo 
de rede, por exemplo. A VPN usa criptografia e codificação de informações, e, assim que os 
dados chegam ao destinatário, são descriptografados e podem ser acessados normalmente 
pelo usuário autorizado.
1. 
Quais são os pilares da segurança da informação?
Resposta correta: Disponibilidade, confidencialidade, autenticidade e integridade.
Os fundamentos da segurança da informação são: a disponibilidade, que envolve o fato de 
um sistema de informação ficar disponível pelo máximo de tempo possível; 
a confidencialidade, que é o fato de a informação ser divulgada somente para quem tem 
autorização de acessá-la; a autenticidade, que diz que quanto mais próxima da original for 
uma informação que chega ao destinatário, mais confiável ela será; e a integridade, que é o 
fato de uma informação chegar ao destinatário inalterada.
2. 
Quais são os tipos de mecanismos de segurança utilizados na segurança da informação?
Resposta correta: Controles físicos e lógicos.
A segurança da informação se utiliza de: controles físicos, que são barreiras materiais que 
limitam ou impedem o acesso às informações ou à infraestrutura onde elas se encontram; 
e controles lógicos, que são barreiras abstratas que limitam ou impedem o acesso às 
informações que estão em ambientes controlados.
3. 
O que é phishing?
Resposta correta: É um tipo de ataque que normalmente se configura em forma de mensagem.
O phishing é um tipo de ataque que normalmente vem em forma de mensagem. Por 
isso é comum que seja um e-mail com uma mensagem parecida com a que seria enviada 
originalmente de alguma instituição conhecida, na tentativa de fazer o leitor aceitar o que 
está escrito e ainda executar, por vontade própria, a instalação de algum programa, serviço 
ou arquivo danoso no seu próprio dispositivo.
4. 
O que são ataques do tipo scan?
Resposta correta: São varreduras feitas nos computadores da rede para analisar seus detalhes e seus 
serviços disponíveis.
O scan envolve varreduras feitas em redes de computadores com o objetivo de identificar as 
máquinas ativas e os serviços que podem estar sendo disponibilizados por elas, visando a 
analisar detalhes dos computadores que estão ligados na rede.
5. 
Assinale a alternativa que contém técnicas de defesa para ataques a informações.
Resposta correta: Antivírus, biometria, cartão inteligente.
Antivírus são programas desenvolvidos para fazer a prevenção, a detecção e a eliminação 
de vírus encontrados no dispositivo. Biometria é um mecanismo utilizado para reconhecer 
pessoas baseando-se em suas características físicas. Cartão inteligente é um documento 
eletrônico assinado digitalmente por uma autoridade certificadora pertencente à ICP-Brasil.
1. 
São problemas reais de segurança da informação:
Resposta correta:  roubos de informações.
Os roubos de informações, juntamente com os ataques de vírus e a indisponibilidade de 
serviços, são alguns dos problemas reais de segurança da informação mais comuns. 
Disponibilidade de serviços, integridade de informações, confidencialidade e restrição de 
acesso são objetivos da segurança da informação.
2. 
Para solucionar problemas relativos à segurança da informação e até mesmo evitá-los, é 
importante:
Resposta correta: garantir o sigilo das informações e ter controles de acesso bem definidos.
Para evitar problemas de segurança da informação é fundamental garantir o sigilo das 
informações, ferramentas de segurança atualizadas, backup periódico das informações, 
plano de continuidade de negócio, controles de acesso bem definidos para os usuários que 
precisam e elaborar uma boa política de segurança da informação, que inclua a gestão e 
todos os demais envolvidos na empresa. 
3. 
Por que o fator humano é tão importante para a segurança da informação?
Resposta correta: Porque são as pessoas que comandam as organizações e utilizam os sistemas, 
portanto são elas que garantem o sucesso da segurança na informação.
O fator humano é importante para a segurança da informação, pois é o que assegura que se 
tire proveito do que a tecnologia proporciona, uma vez que são as pessoas que comandam 
as organizações, desenvolvem e utilizam os sistemas. Além disso, é normal que as pessoas 
cometam erros na realização das atividades, por isso a importância de mantê-las atualizadas 
sempre.
4. 
O que é engenharia social?
Resposta correta: É um método de ataque à segurança da informação.
A engenharia social é um método de ataque à segurança da informação, no qual o invasor 
utiliza a persuasão, abusando da ingenuidade, da confiança e da falta de habilidade do 
usuário, para obter informações que podem ser utilizadas para efetivar acessos não 
autorizados a informações ou a computadores. Ou seja, não está relacionada 
à conscientização das empresas a respeito de questões ambientais e sociais, nem às políticas 
educacionais, tampouco à Engenharia Civil.
5. 
São métodos de testes de segurança da informação:
Resposta correta: injeção de código e força bruta.
Os principais métodos de testes de segurança da informação são: sondagem e mapeamento, 
força bruta, avaliação de servidores, análise do tráfego e injeção de código. Não estão nessa 
lista: ataque de vírus, análise de acessos, conscientização de usuários e política de 
segurança ou envolvimento da alta gestão.