Unidade 8 Flashcards
Segurança da Informação e recuperação de desastres
Cite dois exemplos de algoritmos de criptografia simétrica.
AES (+ moderno) e DES
Qual o algoritmo mais conhecido de criptografia assimétrica?
RSA (infraestrutura de chaves públicas e privadas)
A computação segura pode ser obtida usando __________________ cuidadosamente criados em conjunto com software _______________ e de _________________.
As _______________formam a base de medidas eficazes de segurança da informação e segurança cibernética. O planejamento, desenho e a implementação bem-sucedidos dos procedimentos de segurança são iniciados por _______________ fortes e suporte da administração.
a) políticas e procedimentos
b) antivírus
c) controle de acesso
d) políticas
e) políticas
Planejamento de contingência:
1) ____________________ é o processo de retomar as operações normais de processamento de informações após a ocorrência de uma grande interrupção.
2) _____________________ é a continuação dos negócios por outros meios durante o período em que o processamento computadorizado está indisponível ou abaixo do normal.
a) Recuperação de desastres
b) Continuidade dos negócios
Uma Política de BYOD que engloba controles como:
a) Dispositivos ___________
b) Comunicação de dispositivos _______________
c) Utilização apenas de redes _______________
d) Utilização apenas de aplicativos _____________
e) Não burlar os protocolos de __________________ dos sistemas operacionais de dispositivos inteligentes
a) aprovados
b) perdidos ou roubados
c) seguras
d) autorizados
e) segurança
Os centros de recuperação assumem as seguintes formas básicas:
a) ______________, que são instalações de processamento totalmente operacionais que estão imediatamente disponíveis (ou em algumas horas). Solução mais cara e menos arriscada.
b) _____________, que são instalações existentes com espaço e infraestrutura básica. Os recursos não estão disponíveis. Os dados ainda devem ser restaurados. Solução mais barata. Pode demorar semanas ou meses para restabelecer um ambiente.
Um _______________ é um meio-termo entre um hot site e um cold site, combinando recursos de ambos. Os recursos estão disponíveis fisicamente, mas precisam ser configurados para suportar os sistemas de produção. Tempo de recuperação varia de 2 dias a 2 semanas.
a) hot sites
b) cold sites
c) warm site
De acordo com o modelo eSAC (Garantia e Controle de Sistemas Eletrônicos) publicado pelo IIA, as cinco categorias seguintes são objetivos de garantia de negócios:
1)______________: A organização deve garantir que as informações, processos e serviços estejam disponíveis a todo momento.
2) _____________. A organização deve garantir a conclusão confiável e tempestiva das transações.
3) _______________. A organização deve garantir que os sistemas sejam desenhados de acordo com as especificações do usuário para atender aos requisitos de negócios.
4) _______________: A organização deve garantir que uma combinação de controles físicos e lógicos impeça o acesso ou uso não autorizado aos dados do sistema.
5) _______________. A organização deve garantir que o processamento de transações seja preciso, completo e não refutável.
a) Disponibilidade
b) Capacidade
c) Funcionalidade
d) Proteção
e) Prestação de contas (responsabilidade ou accountability)
Um elemento crucial da recuperação de negócios é a existência de um plano abrangente e atual de recuperação de desastres. Um plano abrangente prevê
(1) procedimentos de resposta a _____________,
(2) sistemas de comunicação e instalações ___________,
(3) _________ de sistemas de informação,
(4) recuperação de ___________,
(5) avaliações de impacto de negócios e planos de retomada;
(6) restauração de serviços de utilidade pública e
(7) procedimentos de manutenção para garantir a prontidão da organização no caso de uma emergência ou desastre.
a) emergências
b) alternativos
c) backup
d) desastres
Sobre responsabilidades:
A ___________________ é responsável pela avaliação de riscos, incluindo a identificação de riscos e a consideração de sua importância, a probabilidade de sua ocorrência e como devem ser gerenciados. Também é responsável pelo estabelecimento de políticas organizacionais relacionadas à segurança de computadores e pela implementação de uma estrutura de conformidade. Deve avaliar os riscos à integridade, confidencialidade e disponibilidade de dados e recursos dos sistemas de informação.
O ________________ deve determinar que a atividade de auditoria interna possui ou tem acesso a recursos de auditoria competentes para avaliar a segurança da informação e as exposições ao risco associadas. Isso inclui exposições ao risco internas e externas e exposições relacionadas aos relacionamentos da organização com entidades externas.
O ______________ é responsável por garantir que os principais riscos da organização foram identificados e os processos de controle apropriados foram implementados para mitigar esses riscos. Isso inclui estabelecer a estrutura de privacidade necessária para a organização e monitorar sua implementação.
a) alta administração
b) CAE
c) Conselho
O ___________ ou ____________ é uma representação falsa da identidade no ciberespaço, por exemplo, usando um site falso para obter informações sobre os visitantes.
Spoofing ou phishing
Um firewall separa uma rede interna de uma rede externa (por exemplo, a Internet) e impede a passagem de tipos específicos de tráfego. Ele identifica nomes, endereços de IP (Internet Protocol), aplicativos, etc., e compara-os com regras de acesso programadas.
Um firewall pode ter qualquer um dos seguintes recursos:
i) Um ________________________ examina cada pacote de rede de entrada e descarta (não aprova) os pacotes não autorizados.
ii) Um _____________ atua como intermediário para solicitações entre um aplicativo cliente e o servidor real.
iii) Um ___________________ é um proxy em nível de aplicativo que limita o tráfego para aplicativos específicos e impede que solicitações mal-intencionadas sejam enviadas para aplicativos da Web.
iv) Um gateway em nível de circuito conecta um dispositivo interno, por exemplo, uma impressora de rede, com uma porta TCP/IP
externa. Ele pode identificar uma sessão TCP válida.
v) Inspeção dinâmica - armazena informações sobre o estado de uma transmissão e usa-a como base para avaliar mensagens de fontes semelhantes.
a) sistema de filtragem de pacotes
b) servidor proxy
c) gateway de aplicativo
Uma tabela de autorização de dispositivo restringe o acesso a arquivos para os dispositivos físicos que devem logicamente precisar de acesso. Por exemplo, como é ilógico que alguém acesse o arquivo de contas a receber de um terminal de fabricação, a tabela de autorização de dispositivo negará o acesso mesmo quando uma senha válida for usada.
a) Esses testes são frequentemente chamados de _____________________________, porque determinam se um número de código é compatível com o uso das informações em potencial. Assim, um usuário pode ser autorizado a inserir apenas determinados tipos de dados, ter acesso apenas a determinadas informações, ter acesso, mas não ter autoridade de atualizar os dados, ou usar o sistema apenas em determinados momentos. As listas ou tabelas de usuários ou dispositivos autorizados são às vezes _______________________________.
a) testes de compatibilidade
b) chamadas de matrizes de controle de acesso
Sobre softwares maliciosos:
a) Um ______________ é um programa aparentemente inocente (por exemplo, uma planilha eletrônica) que inclui uma função oculta que pode causar danos quando ativada. Pode atuar como uma porta dos fundos para contornara autenticação normal e fornecer acesso remoto não autorizado a dados, computadores e redes.
b) Um __________ copia-se não de arquivo a arquivo, mas de computador a computador, muitas vezes muito rapidamente. A replicação repetida sobrecarrega um sistema ao esgotar a memória ou sobrecarregar a capacidade de tráfego de rede.
c) Uma ______________ é muito parecido com um cavalo de Tróia, exceto que ele é ativado somente em certas condições, por exemplo, em uma determinada data como sexta-feira 13, dia da mentira, etc.
d) ___________________é um tipo de malware que ameaça publicar os dados da vítima ou impede que os usuários acessem o sistema ou arquivos pessoais e exige pagamento de resgate para recuperar o acesso.
a) cavalo de Tróia
b) worm
c) bomba lógica
d) Ransomware
To ensure privacy in a public-key encryption system, knowledge of the ________________ key would be required to decode the received message?
private.
In a public-key system, the public key is used to encrypt the message prior to transmission, and the private key is needed to decrypt (decode) the message.
