Governança de Segurança

Prévia do material em texto

<p>1</p><p>Governança de Segurança</p><p>Questão 1</p><p>Correta</p><p>O princípio da responsabilidade social baseia-se na premissa de que não só empresas, mas as</p><p>organizações, qualquer que seja o seu fim, são instituições sociais, cuja existência necessita de</p><p>autorização da sociedade. Um dos principais representantes dessa corrente é Andrew</p><p>Carnegie, fundador da U.S. Steel, que estabeleceu dois princípios sobre a responsabilidade</p><p>social corporativa. Um destes princípios estabelece que os indivíduos mais abonados da</p><p>sociedade devem cuidar dos menos afortunados, compreendendo desempregados, doentes,</p><p>pobres e pessoas com deficiência física.</p><p>Assinale a alternativa correta que explicite corretamente este princípio.</p><p>Sua resposta</p><p>Correta</p><p>Princípio da caridade.</p><p>2</p><p>Questão 2</p><p>Correta</p><p>No âmbito corporativo, compliance é o conjunto de disciplinas a fim de cumprir e se fazer</p><p>cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o</p><p>negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar</p><p>quaisquer desvios ou inconformidades que possam ocorrer. Trata-se de uma noção largamente</p><p>utilizada no campo da ética empresarial e da governança corporativa e está associada à ideia,</p><p>em sua concepção mais ampla.</p><p>Assinale a alternativa correta acerca do compliance do âmbito corporativo.</p><p>Sua resposta</p><p>Correta</p><p>As empresas, independentemente de sua estrutura, devem se empenhar em cumprir e fazer</p><p>cumprir as regras internas e externas que regem suas atividades, incluindo as regras</p><p>destinadas a prevenir e reprimir a corrupção.</p><p>3</p><p>Questão 3</p><p>Correta</p><p>Quando se fala em programa de integridade para empresas, há de se refletir que esse está</p><p>totalmente atrelado à proteção do conjunto empresarial e a deterioração da imagem em uma</p><p>possível exposição na mídia por envolvimento em atos de corrupção, lavagem de dinheiro,</p><p>financiamento ao terrorismo e crimes socioambientais, o que se paga um alto preço.</p><p>Assinale a alternativa correta acerca da temática do programa de integridade.</p><p>Sua resposta</p><p>Correta</p><p>O programa de integridade deve se ocupar essencialmente em promover atitudes autônomas</p><p>em relação a decisão, atos e escolhas, haja vista que a integridade é uma ação de conduzir</p><p>outras ações.</p><p>4</p><p>Questão 4</p><p>Incorreta</p><p>O Programa de Integridade e Boas Práticas consistente no conjunto de mecanismos e</p><p>procedimentos internos destinados a detectar e prevenir fraudes, atos de corrupção,</p><p>irregularidades e desvios de conduta, bem como a avaliar processos objetivando melhoria da</p><p>gestão de recursos, para garantir a transparência, a lisura e a eficiência.</p><p>Assinale a alternativa correta acerca da temática do programa de integridade.</p><p>Sua resposta</p><p>Incorreta</p><p>As empresas, os acionistas, o mercado e a sociedade estão mais bem protegidos contra atos</p><p>ilícitos ou antiéticos devido aos programas de compliance.</p><p>Solução esperada</p><p>A integridade deve refletir sobre como conciliar os interesses entre todos os envolvidos no</p><p>ambiente empresarial.</p><p>5</p><p>Questão 5</p><p>Incorreta</p><p>Entende-se por estrutura empresarial, a forma pela qual a empresa está formatada. Assim,</p><p>ninguém faz tudo em uma empresa, de modo que cada funcionário é responsável por um</p><p>conjunto de tarefas, como finanças, recepção, diretoria, contabilidades, RH, entre outros. A</p><p>estrutura organizacional de uma empresa é a forma como seus funcionários são organizados,</p><p>seja por departamento, função ou cargo e mostra as relações e hierarquias que compõem uma</p><p>empresa. É verdade que não existe o melhor modelo, mas sim aquele que melhor atende suas</p><p>necessidades, e que pode ser modificado no tempo.</p><p>Assinale a alternativa correta a respeito da estrutura empresarial.</p><p>Sua resposta</p><p>Incorreta</p><p>As empresas familiares não representam no Brasil grande número de empreendimentos, porém</p><p>fundamental deixar claro que nesse tipo de sociedade as decisões devem ser pautadas não de</p><p>acordo com os interesses particulares dos familiares, mas visando os objetivos e finalidades da</p><p>empresa.</p><p>Solução esperada</p><p>O interesse público no controle estatal devem servir de guia e norte, de modo a ser afastado</p><p>qualquer tipo de interesse político particular.</p><p>6</p><p>Questão 1</p><p>Correta</p><p>Diversos tipos de problemas podem acontecer em um sistema que não tenha uma política de</p><p>controle de acesso bem estabelecida. É de boa prática que um sistema tenha pelo menos um</p><p>tipo de autenticação para os usuários deste sistema. A autenticação é feita a partir de algo que</p><p>o usuário conhece, algo que o usuário possui e algo que o usuário é.</p><p>Assinale a alternativa que apresenta corretamente estas características.</p><p>Sua resposta</p><p>Correta</p><p>Senha, token e biometria.</p><p>7</p><p>Questão 2</p><p>Correta</p><p>Criptografia em segurança virtual é a conversão de dados de um formato legível em um</p><p>formato codificado. Os dados criptografados só podem ser lidos ou processados depois de</p><p>serem descriptografados. A criptografia é um elemento fundamental da segurança de dados. É</p><p>a forma mais simples e mais importante de garantir que as informações do sistema de um</p><p>computador não sejam roubadas e lidas por alguém que deseja usá-las para fins maliciosos.</p><p>O que é criptografia de dados? Definição e explicação. Kaspersky, c2022. Disponível em:</p><p><">https://www.kaspersky.com.br/resource-center/definitions/encryption>. Acesso em: 03 de</p><p>jan. de 2022.</p><p>Com relação à técnica de criptografia simétrica, analise o excerto a seguir, completando suas</p><p>lacunas.</p><p>Cinco componentes são essenciais para que haja a criptografia simétrica:</p><p>Primeiro, deve haver uma mensagem/ informação legível, o que chamamos de texto claro.</p><p>Segundo, temos o ____________ que utilizará técnicas de substituição e transposição,</p><p>deixando toda informação ilegível, embaralhada.</p><p>Em terceiro temos a ____________, que dá acesso à informação que foi encriptada.</p><p>Em quarto, temos o texto cifrado, embaralhado e inteligível a quem quer que seja.</p><p>E em quinto, temos o ____________, que irá desembaralhar e reorganizar a mensagem e/ou</p><p>informação.</p><p>Assinale a alternativa que preenche corretamente as lacunas.</p><p>Sua resposta</p><p>Correta</p><p>algoritmo de criptografia, chave, algoritmo de decriptografia.</p><p>8</p><p>Questão 3</p><p>Correta</p><p>Um firewall é um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e</p><p>saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido</p><p>de regras de segurança.</p><p>Considerando as informações apresentadas, analise as afirmativas a seguir:</p><p>I. O firewall é um mecanismo de segurança de hardware ou software que impede o uso da</p><p>internet de dentro da organização. Sua função é de bloquear todo fluxo de informações da</p><p>intranet para a internet, deixando a rede interna segura.</p><p>II. O firewall é um sistema de segurança que pode limitar os tipos de protocolos que trafegam</p><p>numa rede de computador. Ele funciona como um tipo de filtro, permitindo ou bloqueando</p><p>acesso na rede mediante uma série de regras pré-determinadas pelo administrador de</p><p>sistemas.</p><p>III. Uma rede de computador de uma corporação deve incluir em seu plano de segurança da</p><p>informação, a utilização de um firewall, como mecanismo de proteção a ameaças externas e</p><p>acessos não autorizados oriundos da internet.</p><p>IV. O firewall é considerado a linha de frente de defesa para redes de computadores.</p><p>Exemplos de firewall são antivírus e antimalwares.</p><p>Considerando o contexto apresentado, é correto o que se afirma em:</p><p>Sua resposta</p><p>Correta</p><p>II e III apenas.</p><p>9</p><p>Questão 4</p><p>Correta</p><p>O</p><p>controle de acesso de um sistema é algo de muita importância para manter a segurança em</p><p>nível aceitável. Com o advento do login e senha, é possível identificar o usuário,</p><p>responsabilizar as ações de alguém no sistema e verificar os horários de login e logout no</p><p>sistema.</p><p>Uma das características do controle de acesso lógico é</p><p>Sua resposta</p><p>Correta</p><p>manter cada usuário do sistema limitado a acessar apenas alguns recursos, pastas e arquivos,</p><p>pertinentes as suas atividades na empresa.</p><p>10</p><p>Questão 5</p><p>Incorreta</p><p>Com o passar dos anos, a preocupação das pessoas quanto à segurança da informação foi</p><p>aumentando. Para garantir a tríade da segurança da informação, a saber, Confidencialidade,</p><p>Integridade e Disponibilidade, é usada uma técnica chamada de criptografia, para garantir a</p><p>confidencialidade da informação.</p><p>“A criptografia deriva de duas palavras gregas: kryptos, que significa oculto, e graphien, que</p><p>significa escrever. O objetivo da criptografia não é esconder a existência da mensagem, mas</p><p>sim de apenas ocultar o seu significado.” (NAKAMURA, 2016, p. 120)</p><p>Tomando como referência a técnica de criptografia, julgue as afirmativas a seguir em (V)</p><p>Verdadeiras ou (F) Falsas.</p><p>( ) A criptografia pode ser simétrica ou assimétrica, onde a criptografia simétrica funciona</p><p>com uso de uma chave, a chave privada, e a criptografia assimétrica funciona com duas</p><p>chaves, a chave privada e a chave pública.</p><p>( ) A criptografia simétrica é considerada mais segura do que a criptografia assimétrica, uma</p><p>vez que ela utiliza apenas a chave privada, que ninguém conhece.</p><p>( ) Para que haja o processo de criptografia simétrica, são necessários cinco componentes:</p><p>Texto claro, algoritmo de encriptação, chave, texto cifrado, algoritmo de decriptografia.</p><p>Assinale a alternativa que apresenta a sequência correta.</p><p>Sua resposta</p><p>Incorreta</p><p>V – F – F.</p><p>Solução esperada</p><p>V – F – V.</p><p>11</p><p>Questão 1</p><p>Correta</p><p>Os custos de um ataque de negação de serviço podem chegar a US$ 12 milhões (R$ 65,7</p><p>milhões na cotação atual) para a Bandwidth, uma das maiores operadoras de serviços de voz</p><p>sobre IP do mundo. O prejuízo estaria relacionado, principalmente, à perda de clientes de</p><p>telefonia devido às interrupções e instabilidades causadas pelo golpe, registrado no final de</p><p>setembro.</p><p>Os números aparecem em um relatório financeiro da companhia, divulgado nesta segunda-feira</p><p>(8) e demonstrando um crescimento de 54% nos ganhos do terceiro trimestre de 2021. Foi um</p><p>período de sucesso e expectativas ultrapassadas para a Bandwidth, apesar das perdas de US$</p><p>700 mil (R$ 3,8 milhões) já no final de setembro, com expectativa de consolidação dos</p><p>prejuízos no quarto trimestre, mas sem prejudicar a obtenção de metas anuais para seus</p><p>acionistas.</p><p>Sobre ataques de Negação de Serviço Distribuída ou DDOS, escolha a afirmativa correta:</p><p>Sua resposta</p><p>Correta</p><p>Dispositivos usados na botnet, normalmente são dispositivos infectados por malwares e foram</p><p>comprometidos permitindo ao atacante obter o controle do dispositivo e utilizá-lo para o ataque</p><p>de negação de serviço distribuída.</p><p>12</p><p>Questão 2</p><p>Correta</p><p>O ataque otimista ACK TCP é um ataque de negação de serviço ou Denial of Service Attack</p><p>(em inglês). Estes ataques visam tornar sistemas indisponíveis para seus usuários. Geralmente</p><p>este tipo de ataque consiste em sobrecarregar o alvo com excesso de requisições fazendo com</p><p>que o alvo utilize toda sua capacidade de processamento e memória de forma que ele não</p><p>consiga mais responder às requisições legítimas e consequentemente fique indisponível.</p><p>Também pode-se obstruir canais de comunicação de rede fazendo com que os usuários e</p><p>servidores e serviços não se comuniquem de forma adequada.</p><p>Com relação ao ataque otimista ACK TCP, escolha a alternativa correta:</p><p>Sua resposta</p><p>Correta</p><p>O ataque otimista ACK TCP consiste em enviar ACKS dos pacotes ainda não recebidos</p><p>fazendo o servidor aumentar excessivamente a taxa de transferência fazendo com que a rede</p><p>fique sobrecarregada.</p><p>13</p><p>Questão 3</p><p>Correta</p><p>Um relatório da empresa de segurança digital NSFOCUS coloca o Brasil em nono lugar na lista</p><p>das dez nações mais atuantes em cibercrimes no mundo. Os dados revelam que o país saltou</p><p>da 15ª posição em 2019 para figurar entre os líderes de ataques hacker, na frente do Reino</p><p>Unido e atrás da Alemanha.</p><p>No quadro geral, China e Estados Unidos ocupam os dois primeiros lugares. Os dois países</p><p>são responsáveis por cerca de 76% do total de ataques registrados, com 66,5% para os</p><p>chineses e 18,4% para os norte americanos.</p><p>Mas o Brasil também registrou aumento nos ataques DDoS: em 2020, ocupou a sexta</p><p>colocação na lista dos ataques que sobrecarregam e derrubam servidores.</p><p>A maior parte desses ataques foi destinada para órgãos governamentais e e-commerces,</p><p>tendência que se mantém em 2021, mesmo com a entrada das instituições financeiras no rol</p><p>dos principais alvos.</p><p>Segundo a NSFOCUS, a inclusão do Brasil na lista de maiores países em atividades de</p><p>cibercrime no mundo é um reflexo da hiperdigitalização e da pandemia, que fizeram explodir o</p><p>número de ameaças.</p><p>Fonte: https://olhardigital.com.br/2021/10/25/videos/brasil-entra-para-a-lista-dos-dez-paises-</p><p>com-mais-ataques-ciberneticos-do-mundo/</p><p>Sobre ataques de Negação de Serviços Distribuída ou DDOS, é correto afirmar que:</p><p>Sua resposta</p><p>Correta</p><p>Os atacantes mal intencionados combinam o poder computacional de múltiplos computadores</p><p>para executar de maneira orquestrada o ataque a um determinado alvo.</p><p>14</p><p>Questão 4</p><p>Correta</p><p>Proteger as organizações contra ataques de negação de serviço tem sido um desafio para as</p><p>organizações. Alguns ataques, mesmo sendo ataques clássicos e já conhecidos entre os</p><p>administradores de sistemas, fabricantes de equipamentos, desenvolvedores de sistemas e</p><p>especialistas na área de segurança da informação ainda podem ocorrer e causar grandes</p><p>prejuízos às instituições devido a sistemas legados que ainda existem no mercado. Dentre</p><p>estes ataques clássicos, um dos mais populares é o ataque de inundação por SYN,</p><p>popularmente conhecido como SYN Flood.</p><p>Sobre proteção contra o ataque de inundação pro SYN ou SYN Flood, é correto afirmar que:</p><p>Sua resposta</p><p>Correta</p><p>Como mecanismo de proteção contra o SYN Flood, os sistemas operacionais têm</p><p>implementado uma fila especial para conexões inicializadas mas não estabelecidas, até o que</p><p>o ACK seja recebido, evitando desta forma sobrecarregar a memória.Por isso a importância de</p><p>manter o Sistema Operacional atualizado.</p><p>15</p><p>Questão 5</p><p>Correta</p><p>A provedora de serviços de segurança de web Cloudflare afirma ter mitigado um ataque</p><p>distribuído de negação de serviço (DDoS) que atingiu o pico de quase 2 terabytes por segundo</p><p>(Tbps). Segundo a empresa, o ataque multivetor foi feito por uma botnet de aproximadamente</p><p>15 mil máquinas infectadas com uma variante do Mirai. Os bots incluíam dispositivos de</p><p>internet das coisas (IoT) e instâncias do GitLab, gerenciador de repositório de software</p><p>baseado em git, disse a Cloudflare em seu relatório.</p><p>As instâncias do GitLab capturadas na botnet são afetadas pelo CVE-2021-22205, uma</p><p>vulnerabilidade crítica (pontuação CVSS de 10) corrigida há mais de três meses, mas que</p><p>continua expondo dezenas de milhares de sistemas. O ataque DDoS de 2 Tbps durou apenas</p><p>um minuto. O ataque combinou amplificação de DNS e inundações de UDP, disse a empresa.</p><p>Fonte: https://www.cisoadvisor.com.br/empresa-consegue-mitigar-ataque-ddos-de-2-tbps-feito-</p><p>por-botnet/</p><p>Você foi contratado para realizar consultoria na empresa ACME e escrever algumas</p><p>recomendações para mitigar possíveis</p><p>ataques DDOS. Escolha a alternativa que melhor se</p><p>aplica a um checklist de recomendações a serem feitas:</p><p>Sua resposta</p><p>Correta</p><p>Monitorar o tráfego da rede, implementar mecanismos de detecção de anomalias de tráfego de</p><p>rede através de firewalls, IDS e IPS podem ajudar a minimizar e mitigar os riscos de ataques do</p><p>tipo DDOS, lembrando-se sempre de manter os sistemas operacionais atualizados.</p><p>16</p><p>Questão 1</p><p>Correta</p><p>Grandes organizações como exemplo o Facebook, que manipulam quantidades gigantescas de</p><p>dados diariamente devem se preocupar cada vez mais com a segurança destes dados, para</p><p>evitar o risco de vazamento das informações.</p><p>Por isso a melhor estratégia da empresa é implementar segurança e seguir os compliances</p><p>para criar as melhores maneiras para lidar com os contratempos.</p><p>Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na</p><p>Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), ficam sujeitos a sanções</p><p>administrativas aplicáveis pela autoridade nacional.</p><p>Considerando as informações apresentadas, analise as afirmativas a seguir:</p><p>I. advertência, com indicação de prazo para adoção de medidas corretivas;</p><p>II. pagar multa diária não superior a R$ 50.000,00 (cinquenta mil reais);</p><p>III. publicação da infração após devidamente apurada e confirmada a sua ocorrência;</p><p>IV. bloqueio dos dados pessoais a que se refere a infração até a sua regularização.</p><p>Considerando o contexto apresentado, é correto o que se afirma em:</p><p>Sua resposta</p><p>Correta</p><p>I, III e IV, apenas.</p><p>17</p><p>Questão 2</p><p>Incorreta</p><p>As vulnerabilidades também são consideradas fraquezas presentes nos ativos de informação</p><p>de uma empresa, eles podem ser explorados de foram intencional ou não, quando isso</p><p>acontece existe uma na quebra em algum princípio da segurança da informação, alicerçados</p><p>em seus pilares.</p><p>Considerando as informações apresentadas, analise as afirmativas a seguir:</p><p>I. Os computadores são dispositivos bem vulneráveis por realizarem a troca e/ou</p><p>armazenamento de dados. Sendo assim eles podem pegar vírus, serem infecta-os por cavalos</p><p>de troia, sofrerem negação de serviço entre outros.</p><p>II. As pessoas que trabalham nos diversos departamentos de uma empresa não são</p><p>vulneráveis, pois nunca armazenam informações que possam ser utilizadas em ataques.</p><p>III. Os ambientes podem ser suscetíveis a incêndios, enchentes, terremotos entre outros</p><p>fenômenos, por isso a importância de planos que garantam a segurança das informações da</p><p>empresa.</p><p>IV. A fala de gestão de riscos, dificulta que as empresas consigam diagnosticar suas</p><p>vulnerabilidades e desta forma se tornem alvo para ataques.</p><p>Considerando o contexto apresentado, é correto o que se afirma em:</p><p>Sua resposta</p><p>Incorreta</p><p>I e III, apenas.</p><p>Solução esperada</p><p>I, III e IV, apenas.</p><p>18</p><p>Questão 3</p><p>Incorreta</p><p>Sempre uma decisão por si só traz consequências, quando isso for uma ameaça, pior ainda.</p><p>Muitas vezes por necessidade a organização opta por possuir riscos, que acontece apenas em</p><p>momentos cruciais da gestão, mas mesmos eles devem ser mitigados, pois podem se tornar</p><p>vulnerabilidades que prejudiquem a empresa em um futuro não distante.</p><p>Considerando as informações apresentadas, analise as afirmativas a seguir:</p><p>I. Ameaças: são coisas que podem provocar danos à segurança da informação da empresa,</p><p>prejudicando seus processos e/ou a sustentação no negócio, com a exploração de uma</p><p>vulnerabilidade.</p><p>II. Vulnerabilidades: são medidas pela probabilidade da ameaça ocorrer e o dano causado à</p><p>empresa.</p><p>III. Riscos: locais por onde o hacker pode atacar, entrar e/ou corromper as informações da</p><p>empresa.</p><p>Considerando o contexto apresentado, é correto o que se afirma em:</p><p>Sua resposta</p><p>Incorreta</p><p>I e II, apenas.</p><p>Solução esperada</p><p>I, apenas.</p><p>19</p><p>Questão 4</p><p>Correta</p><p>Na avaliação quantitativa de riscos são utilizados os dados reais que foram mensurados, e</p><p>passam por um tratamento matemático e/ou computacional, para geração dos valores</p><p>probabilísticos do impacto do risco, na maioria das vezes os resultados apresentados são em</p><p>termos monetários (normalmente indexado em dólares americanos), a avaliação quantitativa</p><p>torna o resultado mais pertinente. Para avaliação quantitativa são utilizados alguns conceitos</p><p>como o ARO.</p><p>Assinale a alternativa que apresenta corretamente estas características.</p><p>Sua resposta</p><p>Correta</p><p>Ele é o valor que representa a frequência estimada de uma ameaça especifica dentro do prazo</p><p>de um ano.</p><p>20</p><p>Questão 5</p><p>Correta</p><p>Atualmente as empresas trabalham com seus serviços gerenciados pela área de Tecnologia da</p><p>Informação (TI). Desta forma desenvolver um planejamento estratégico não é tarefa simples,</p><p>pois ele deve estar de acordo com as demandas dos clientes e/ou fornecedores, isso é fator</p><p>fundamental.</p><p>Para realizar este alinhamento detalhado entre os negócios da empresa e seus setores na</p><p>utilização de recursos informatizados, a realização do PETI “planejamento estratégico de TI” é</p><p>fundamental para nortear as soluções versus problemas, e conseguir que a Tecnologia da</p><p>Informação (TI) consiga também gerar valor estratégico à empresa.</p><p>Assinale a alternativa que apresenta corretamente estas características:</p><p>Sua resposta</p><p>Correta</p><p>É o processo de elaborar uma estratégia para uso da Tecnologia da Informação (TI) em uma</p><p>organização. É por meio do planejamento que a estratégia de Tecnologia da Informação (TI) é</p><p>estruturada, organizada e sistematizada para apoiar as outras áreas da empresa.</p><p>21</p><p>Questão 1</p><p>Respondida</p><p>A autentificação de um indivíduo pode ser derivada de algo que eles saibam, algo que possuam</p><p>ou algo que são, motivo pelo qual é importante passar por alguns meios para conseguir a</p><p>autenticação pelo uso de algo que a pessoa possua ou algo que ela é.</p><p>Assinale a alternativa correta a respeito às tecnologias de autentificação.</p><p>• A biometria pode ser conceituada de forma ampla como a forma de identificar o</p><p>individuo por sua impressão digital.</p><p>• A tecnologia RFIDs é utilizada por fornecedores para o acompanhamento de produtos</p><p>para o consumidor, porém a tendência é que o códigos de barras passe a substituir</p><p>essa tecnologia.</p><p>• Os cartões inteligentes ainda apresentam diversos problemas de segurança, porque</p><p>eles são relativamente fáceis de duplicar e não existem mecanismos padronizados de</p><p>segurança para proteger a informação contida em um cartão.</p><p>• Cartões de tarja magnética potencialmente podem ficar gastos e são sujeitos a danos</p><p>físicos, a utilização do bit de paridade permite a um leitor de tarja ler um cartão mesmo</p><p>que exista uma pequena perda de dados.</p><p>• Alguns códigos de barras mais recentes são representados como padrões de cinco</p><p>dimensões usando pontos, quadrados ou outros símbolos que podem ser lidos por</p><p>leitores óticos especializados.</p><p>Sua resposta</p><p>Cartões de tarja magnética potencialmente podem ficar gastos e são sujeitos a danos físicos, a</p><p>utilização do bit de paridade permite a um leitor de tarja ler um cartão mesmo que exista uma</p><p>pequena perda de dados.</p><p>22</p><p>Questão 2</p><p>Respondida</p><p>Em 2004, o worm MyDoom se tornou conhecido e famoso por atingir grandes empresas de</p><p>tecnologia do cenário mundial. Foi muito usado para ataques de DDoS e como backdoor para</p><p>permitir controle remoto. Os prejuízos são estimados, segundo notícias da época, em milhões</p><p>de dólares.</p><p>Assinale a alternativa correta a respeito dos backdoor.</p><p>• Trata-se de um programa desenvolvido e projetado para monitorar as atividades de um</p><p>sistema sem que a pessoa que está utilizando o computador perceba.</p><p>• Keylogger é um gênero da espécie Backdoor e trata-se</p><p>de um programa capaz de</p><p>capturar e armazenar as teclas digitadas pelo usuário no teclado do computador.</p><p>• Um Keylogger pode ser usado de forma indevida por empregadores para garantir que</p><p>funcionários utilizem computadores apenas para atividades de trabalho, sem que esses</p><p>saibam.</p><p>• Após ser incluído o backdoor é usado para assegurar o acesso futuro ao computador</p><p>comprometido, porém será necessário que o invasor empregue os mesmos métodos de</p><p>acesso da invasão inicial.</p><p>• Diversos são os programas de administração remota que permitem acesso a um</p><p>computador e se forem mal configurados ou utilizados sem o consentimento do usuário,</p><p>também podem ser classificados como backdoors.</p><p>Sua resposta</p><p>Diversos são os programas de administração remota que permitem acesso a um computador e</p><p>se forem mal configurados ou utilizados sem o consentimento do usuário, também podem ser</p><p>classificados como backdoors.</p><p>23</p><p>Questão 3</p><p>Respondida</p><p>Um firewall é um dispositivo de segurança da rede que monitora o tráfego de rede de entrada e</p><p>saída e decide permitir ou bloquear tráfegos específicos de acordo com um conjunto definido</p><p>de regras de segurança.</p><p>Considerando as informações apresentadas, analise as afirmativas a seguir:</p><p>I. O firewall é um mecanismo de segurança de hardware ou software que impede o uso da</p><p>internet de dentro da organização. Sua função é de bloquear todo fluxo de informações da</p><p>intranet para a internet, deixando a rede interna segura.</p><p>II. O firewall é um sistema de segurança que pode limitar os tipos de protocolos que trafegam</p><p>numa rede de computador. Ele funciona como um tipo de filtro, permitindo ou bloqueando</p><p>acesso na rede mediante uma série de regras pré-determinadas pelo administrador de</p><p>sistemas.</p><p>III. Uma rede de computador de uma corporação deve incluir em seu plano de segurança da</p><p>informação, a utilização de um firewall, como mecanismo de proteção a ameaças externas e</p><p>acessos não autorizados oriundos da internet.</p><p>IV. O firewall é considerado a linha de frente de defesa para redes de computadores.</p><p>Exemplos de firewall são antivírus e antimalwares.</p><p>Considerando o contexto apresentado, é correto o que se afirma em:</p><p>• II e III apenas.</p><p>• I, III e IV, apenas.</p><p>• I, II e III, apenas.</p><p>• I, II e IV, apenas.</p><p>• I, II, III e IV.</p><p>Sua resposta</p><p>II e III apenas.</p><p>24</p><p>Questão 4</p><p>Respondida</p><p>Diversos tipos de problemas podem acontecer em um sistema que não tenha uma política de</p><p>controle de acesso bem estabelecida. É de boa prática que um sistema tenha pelo menos um</p><p>tipo de autenticação para os usuários deste sistema. A autenticação é feita a partir de algo que</p><p>o usuário conhece, algo que o usuário possui e algo que o usuário é.</p><p>Assinale a alternativa que apresenta corretamente estas características.</p><p>• Senha, login e biometria.</p><p>• Login, biometria e token.</p><p>• Token, cartão magnético e senha.</p><p>• E-mail, senha e token.</p><p>• Senha, token e biometria.</p><p>Sua resposta</p><p>Senha, token e biometria.</p><p>25</p><p>Questão 5</p><p>Respondida</p><p>O CoolWebSearch foi um spyware que tirava partido das vulnerabilidades de segurança do</p><p>Internet Explorer para tomar conta do browser, alterar as configurações, e enviar os dados de</p><p>navegação para o seu criador. Se não bastasse, o CoolWebSearch pode também gerar</p><p>anúncios popup pornográficos no computador das vítimas.</p><p>Assinale a alternativa correta a respeito dos spywares.</p><p>• Um Adware pode ser utilizado para fins legítimos quando monitorar os hábitos de</p><p>consumo e navegação do usuário, podendo nesses casos abrir janelas durante o</p><p>acesso.</p><p>• Keylogger é um gênero da espécie spywares e trata-se de um programa capaz de</p><p>capturar e armazenar as teclas digitadas pelo usuário no teclado do computador.</p><p>• Um Keylogger pode ser usado de forma indevida por empregadores para garantir que</p><p>funcionários utilizem computadores apenas para atividades de trabalho, sem que esses</p><p>saibam.</p><p>• O ataque via spyware exige muitas vezes que o atacante acesse fisicamente o</p><p>computador do usuário.</p><p>• O Screenlogger em muito se assemelha a um Adware, haja vista que ambos são</p><p>capazes de armazenar a posição do cursor e a tela apresentada no monitor nos</p><p>momentos em que o mouse é clicado.</p><p>Sua resposta</p><p>Um Adware pode ser utilizado para fins legítimos quando monitorar os hábitos de consumo e</p><p>navegação do usuário, podendo nesses casos abrir janelas durante o acesso.</p><p>Errado. Será utilizado para fins maliciosos quando as propagandas apresentadas são</p><p>direcionadas para sites específicos, abrindo outras janelas por trás de sua tela de acordo com a</p><p>navegação, sem que você saiba que tal monitoramento está sendo feito, ou que o desvio está</p><p>sendo realizado.</p><p>26</p><p>Questão 6</p><p>Sem resposta</p><p>A segurança física corresponde à constituição de barreiras de forma a evitar, ou retardar,</p><p>intrusões e garantir uma resposta mais eficaz às mesmas. É o ramo da segurança que visa</p><p>prevenir acessos não autorizados a equipamentos, instalações, materiais ou documentos.</p><p>Assinale a alternativa correta a respeito do ataque a fechaduras e cofres.</p><p>• A técnica do solavanco explora as imperfeições mecânicas do mecanismo de tranca,</p><p>porém arrombadores precisam praticar muito para reconhecer a sensação de um pino</p><p>se ligando a um mecanismo de tranca.</p><p>• Lockpicking trata-se de abordagem clássica de arrombar fechaduras que explora as</p><p>imperfeições mecânicas do mecanismo de tranca que permite a um atacante reproduzir</p><p>o efeito de uma entrada autorizada.</p><p>• Em alguns tipos de fechadura há uma tranca cilíndrica cuja rotação é evitada por pinos</p><p>que permitem o acesso uma linha dentada.</p><p>• Para abrir a fechadura de pinos, um atacante inicialmente insere uma chave de pressão</p><p>no buraco da fechadura do cadeado e aplica uma leve força rotacional.</p><p>• Para abrir uma fechadura por solavanco, nem sempre é necessário ter a própria chave</p><p>original, tanto que uma mera fotografia da chave pode ser usada.</p><p>Sua resposta</p><p>Lockpicking trata-se de abordagem clássica de arrombar fechaduras que explora as</p><p>imperfeições mecânicas do mecanismo de tranca que permite a um atacante reproduzir o efeito</p><p>de uma entrada autorizada.</p><p>27</p><p>Questão 7</p><p>Sem resposta</p><p>Com o passar dos anos, a preocupação das pessoas quanto à segurança da informação foi</p><p>aumentando. Para garantir a tríade da segurança da informação, a saber, Confidencialidade,</p><p>Integridade e Disponibilidade, é usada uma técnica chamada de criptografia, para garantir a</p><p>confidencialidade da informação.</p><p>“A criptografia deriva de duas palavras gregas: kryptos, que significa oculto, e graphien, que</p><p>significa escrever. O objetivo da criptografia não é esconder a existência da mensagem, mas</p><p>sim de apenas ocultar o seu significado.” (NAKAMURA, 2016, p. 120)</p><p>Tomando como referência a técnica de criptografia, julgue as afirmativas a seguir em (V)</p><p>Verdadeiras ou (F) Falsas.</p><p>( ) A criptografia pode ser simétrica ou assimétrica, onde a criptografia simétrica funciona</p><p>com uso de uma chave, a chave privada, e a criptografia assimétrica funciona com duas</p><p>chaves, a chave privada e a chave pública.</p><p>( ) A criptografia simétrica é considerada mais segura do que a criptografia assimétrica, uma</p><p>vez que ela utiliza apenas a chave privada, que ninguém conhece.</p><p>( ) Para que haja o processo de criptografia simétrica, são necessários cinco componentes:</p><p>Texto claro, algoritmo de encriptação, chave, texto cifrado, algoritmo de decriptografia.</p><p>Assinale a alternativa que apresenta a sequência correta.</p><p>• V – V – V.</p><p>• V – F – V.</p><p>• V – F – F.</p><p>• F – F – V.</p><p>• F – V – F.</p><p>Sua resposta</p><p>V – F – V.</p><p>28</p><p>Questão 8</p><p>Sem resposta</p><p>O NetBus é um exemplo clássico de backdoor, sendo usado por diversos crackers na década</p><p>de 1990 e início do</p><p>século XXI. Nos últimos anos, uma das pragas do tipo mais disseminadas é</p><p>o backdoor Brifost. Outros famosos backdoors são o c99Shell, WebShell e RST.</p><p>Assinale a alternativa correta a respeito dos backdoor.</p><p>• Um Keylogger pode ser usado de forma indevida por empregadores para garantir que</p><p>funcionários utilizem computadores apenas para atividades de trabalho, sem que esses</p><p>saibam.</p><p>• Após ser incluído o backdoor é usado para assegurar o acesso futuro ao computador</p><p>comprometido, porém será necessário que o invasor empregue os mesmos métodos de</p><p>acesso da invasão inicial.</p><p>• Diversos são os programas de administração remota que permitem acesso a um</p><p>computador, porém não se conhece na atualidade nenhuma situação em que foi criado</p><p>propositalmente por fabricantes sob pretexto de necessidades administrativas.</p><p>• Trata-se de um programa que permite a um invasor retornar a um computador</p><p>comprometido, por meio da inclusão de serviços criados ou modificados em uma</p><p>invasão anterior.</p><p>• Keylogger é um gênero da espécie Backdoor e trata-se de um programa capaz de</p><p>capturar e armazenar as teclas digitadas pelo usuário no teclado do computador.</p><p>Sua resposta</p><p>Trata-se de um programa que permite a um invasor retornar a um computador comprometido,</p><p>por meio da inclusão de serviços criados ou modificados em uma invasão anterior.</p><p>29</p><p>Questão 9</p><p>Sem resposta</p><p>Criptografia em segurança virtual é a conversão de dados de um formato legível em um</p><p>formato codificado. Os dados criptografados só podem ser lidos ou processados depois de</p><p>serem descriptografados. A criptografia é um elemento fundamental da segurança de dados. É</p><p>a forma mais simples e mais importante de garantir que as informações do sistema de um</p><p>computador não sejam roubadas e lidas por alguém que deseja usá-las para fins maliciosos.</p><p>O que é criptografia de dados? Definição e explicação. Kaspersky, c2022. Disponível em:</p><p><">https://www.kaspersky.com.br/resource-center/definitions/encryption>. Acesso em: 03 de</p><p>jan. de 2022.</p><p>Com relação à técnica de criptografia simétrica, analise o excerto a seguir, completando suas</p><p>lacunas.</p><p>Cinco componentes são essenciais para que haja a criptografia simétrica:</p><p>Primeiro, deve haver uma mensagem/ informação legível, o que chamamos de texto claro.</p><p>Segundo, temos o ____________ que utilizará técnicas de substituição e transposição,</p><p>deixando toda informação ilegível, embaralhada.</p><p>Em terceiro temos a ____________, que dá acesso à informação que foi encriptada.</p><p>Em quarto, temos o texto cifrado, embaralhado e inteligível a quem quer que seja.</p><p>E em quinto, temos o ____________, que irá desembaralhar e reorganizar a mensagem e/ou</p><p>informação.</p><p>Assinale a alternativa que preenche corretamente as lacunas.</p><p>• texto embaralhado, chave, decifrador.</p><p>• algoritmo de criptografia, senha, criptoanalista.</p><p>• texto embaralhado, senha, algoritmo de decriptografia.</p><p>• algoritmo de decriptografia, chave, algoritmo de criptografia.</p><p>• algoritmo de criptografia, chave, algoritmo de decriptografia.</p><p>Sua resposta</p><p>algoritmo de criptografia, chave, algoritmo de decriptografia.</p><p>30</p><p>Questão 10</p><p>Sem resposta</p><p>O controle de acesso de um sistema é algo de muita importância para manter a segurança em</p><p>nível aceitável. Com o advento do login e senha, é possível identificar o usuário,</p><p>responsabilizar as ações de alguém no sistema e verificar os horários de login e logout no</p><p>sistema.</p><p>Uma das características do controle de acesso lógico é</p><p>• estabelecer senhas complexas, com no mínimo 8 caracteres para profissionais do setor</p><p>de TI e senhas simples sem requisitos de complexidade para todos os outros logins do</p><p>sistema.</p><p>• manter cada usuário do sistema limitado a acessar apenas alguns recursos, pastas e</p><p>arquivos, pertinentes as suas atividades na empresa.</p><p>• estabelecer regras de segurança para acesso dos funcionários da empresa para</p><p>acessar a sala onde está o Centro de Processamento de Dados.</p><p>• manter logins e senhas inalteradas pelo maior tempo possível, para evitar problemas de</p><p>esquecimento de senha pelos usuários.</p><p>• estabelecer uma política de segurança de acesso total a todos usuários do sistema,</p><p>para que os processos sejam acessados de maneira mais rápida e dinâmica por todos,</p><p>acelerando as atividades da empresa.</p><p>Sua resposta</p><p>manter cada usuário do sistema limitado a acessar apenas alguns recursos, pastas e arquivos,</p><p>pertinentes as suas atividades na empresa.</p>