A topologia de uma rede de computadores pode ser de dois tipos: Topologia física; Topologia lógica. Topologia local. A topologia física depende do cabeamento físico utilizado. O layout do cabeamento, a localização dos nós e a sua interligação determinará o formato da rede.
Existem oito tipos de topologias físicas de rede: a) Topologia point-to-point: A topologia de rede point-to-point (conectividade ponto a ponto) é a mais simples das topologias. É um modelo convencional de rede telefônica aplicada à rede de dados. b) Topologia bus: A topologia de rede em bus utiliza um único cabo coaxial com conectores BCN, em que todos os dispositivos são conectados a ele. c) Topologia star: A topologia de rede star (em estrela) possui um ponto central de conexão ao qual todos os dispositivos estão conectados. d) Topologia ring: A topologia de rede ring (em anel) é uma topologia circular fechada. Cada dispositivo conectado à rede é um repetidor do dispositivo conectado a sua esquerda. e) Topologia mesh (full mesh e mesh): A topologia de rede full mesh todos os dispositivos da rede estão conectados entre si, enquanto a mesh existem muitos nós mas nem todos tem conectividade direta. f) Topologia tree: A topologia de rede tree (em árvore) é baseada em hierarquia de dispositivos na rede. g) Topologia hybrid: A topologia de rede hybrid ou híbridas são combinações de duas das topologias já apresentadas, formando uma nova rede. h) Topologia daisy chain: Daisy chain é um tipo de topologia linear, na qual um computador é ligado após o outro. Podemos dizer que os objetivos dos data centers são: a. Oferecer o suporte de operações para que as organizações alcancem os seus objetivos de negócio. b. Diminuir os custos de operação e de manutenção do ambiente de TI (Tecnologia da Informação). c. Implantar rápidas aplicações de negócio. d. Consolidar os recursos de TI. e. Prover segurança cibernética, uma vez que os dados estarão menos expostos. A norma ANSI/TIA942 define os requisitos padrão de um data center. Selecione os TIER corretos de acordo com suas respectivas características. a. Tier 1 – Básico Disponibilidade de 99,671% b. Tier 2 – Componentes Redundantes Disponibilidade de 99,741% c. Tier 3 – Manutenção Concorrente Disponibilidade de 99,982% d. Tier 4 – Tolerante a Falha Disponibilidade de 99,995% e. Tier 5 – 100% Tolerante a Falha Disponibilidade. Selecione as afirmativas corretas acerca dos Data Centers: a. Os data centers são importantes polos de informação, pois além de hospedarem os sistemas das organizações, também hospedam rede sociais, sites de vídeos, sites na web, entre outros serviços. b. Os Sistemas de Informação foram adaptados para interagir com os clientes e fornecedores, realizando vendas diretas ou negócios pela internet. c. A computação na nuvem é a próxima etapa para os data centers. A questão da mobilidade faz com que a informação tenha que estar disponível a qualquer hora, em qualquer lugar. d. A internet não teve papel relevante no grande impulso nos data centers. Cloud computing é um novo modelo de computação, no qual os recursos de hardware e de software para execução do pro-
cessamento estão na internet e são desconhecidos para o usuário final. O processamento, o armazenamento e os softwares são fornecidos aos usuários via prestação de serviços.
Selecione Verdadeiro ou Falso: Verdadeiro Falso. São normas reguladoras no âmbito do EB: a. Normas para o Controle da Utilização dos Meios de Tecnologia da Informação no Exército (NORTI). b. Instruções Reguladoras para Utilização da Rede Mundial de Computadores (internet) por Organizações Militares e Militares do Exército (IR 20-26). c. Diretrizes de Comandantes de OM. Acerca da Segurança da informação é CORRETO afirmar: a. A definição clássica de Segurança da Informação é proteger a Informação e os Sistemas de Informação do acesso, uso, interrupção, divulgação, destruição e modificação não autorizados. Em linhas gerais, é proteger a informação contra aqueles que pretendem fazer um mau uso dos dados. b. Quanto maior o nível de segurança aplicado a um determinado documento digital ou rede de computadores, por exemplo, maior o custo envolvido. c. O custo da segurança nunca deve ser maior do que o valor daquela informação que está sendo protegida, caso contrário estaríamos aplicando muito mais segurança do que realmente é preciso. Selecione a definição INCORRETA: a. A Autenticidade é o conceito de proteção da informação relacionado ao acesso não autorizado. Pode ser implementada em diferentes níveis, permitindo maior ou menor visualização dos dados. Um bom exemplo é o acesso a uma conta bancária, utilizando login e senha. Essa identificação do usuário previne que terceiros não autorizados vejam osdados da sua conta. b. A Integridade refere-se à capacidade de proteger a informação contra alteração, edição ou exclusão por pessoa não autorizada. Para manter a Integridade é preciso proibir a alteração não autorizada, bem como reverter uma alteração autorizada, por exemplo, por meio de backup. c. A Disponibilidade é a competência para acessar a informação quando necessário. A falta de disponibilidade pode ser causada por problemas de energia elétrica, falhas no sistema operacional, na aplicação e na rede de computadores, por ataques de hackers, entre outros fatores que comprometem os Sistemas de Informação. Os ataques aos sistemas de informações são avaliados utilizando o modelo da CIA. Cada tipo específico de ataque determina o nível de segurança adequado a ser implementado e o risco em potencial que representam. Selecione os princípios regentes no modelo da CIA e os seus respectivos tipos de ataques para a Disponibilidade: a. Interrupção b. Modificação c. Fabricação d. Intercepção. Os ataques aos sistemas de informações são avaliados utilizando o modelo da CIA. Cada tipo específico de ataque determina o nível de segurança adequado a ser implementado e o risco em potencial que representam. Selecione os princípios regentes no modelo da CIA e os seus respectivos tipos de ataques para a Confidencialidade: a. Interrupção b. Modificação c. Fabricação d. Intercepção. Os ataques aos sistemas de informações são avaliados utilizando o modelo da CIA. Cada tipo específico de ataque determina o nível de segurança adequado a ser implementado e o risco em potencial que representam. Selecione os princípios regentes no modelo da CIA e os seus respectivos tipos de ataques para a Integridade: a. Interrupção b. Modificação c. Fabricação d. Intercepção. Os principais tipos de ataques a que os Sistemas de Informação estão sujeitos são: Intercepção, Interrupção, Modificação e
Fabricação.
Selecione as alternativas corretamente definidas: a. Intercepção: Ocorre quando usuários não autorizados têm acesso a informações, aplicações ou ambientes. É realizada pela visualização de um arquivo ou cópia não autorizada, leitura de e-mail, entre outros acessos. b. Fabricação: Acontece quando o ataque torna dados, aplicações ou ambientes não utilizáveis ou indisponíveis para uso de forma temporária ou permanente. A Interrupção pode causar problemas de Integridade e até de disponibilidade da informação. c. Modificação: É a adulteração da informação e pode ser considerado como ataque de Integridade ou de Disponibilidade. d.Interrupção: É o processo de geração de dados, de processos, de comunicações ou de outras atividades de um sistema de computação. A Fabricação pode afetar a Integridade tanto quanto a disponibilidade da informação. Selecione as corretas definições: a. O Impacto é a probabilidade de um evento não desejável acontecer. Para tal, é necessário que tenhamos ameaça, vulnerabilidade e impacto envolvidos. b. As Ameaças têm tendência a acontecer em determinados ambientes específicos. Um exemplo disso é o vírus. O ambiente Windows tem uma suscetibilidade muito maior a ataques de vírus do que os ambientes Unix ou Mac. c. As Vulnerabilidades são fraquezas que podem ser utilizadas para prejudicar um sistema computacional, uma rede de computadores, entre outros. Essas vulnerabilidades podem ser exploradas para causar um impacto não desejável. d. O Risco mede o grau do dano proporcionado pelo Risco. Ele pode ser Alto ou Baixo, criando um gradiente para análise do impacto entre esses dois extremos. Um tipo de ataque também é classificado pelo grau de impacto que proporciona, permitindo, dessa forma, o melhor entendimento sobre o ataque e o planejamento da sua prevenção.
Um exemplo de Risco, Ameaça, Vulnerabilidade e Impacto são apresentados a seguir:
==================================================================
Risco: Infecção do computador por Vírus tipo A
Ameaça: a plataforma Windows possui maior suscetibilidade à infecção por vírus.
Vulnerabilidade: não há software antivírus instalado.
Impacto: alto
==================================================================
Selecione Verdadeiro ou Falso para a correta aplicação do exemplo acima: Verdadeiro Falso. Para mitigar os riscos é necessária a aplicação de controles. Eles são divididos em três categorias: Controles Físicos, Lógicos e Administrativos. O Quadro 7 ilustra os tipos de controle, como atuam e seus métodos de controle.
Selecione Verdadeiro ou Falso de acordo com o material didático:
Verdadeiro Falso. A norma NORTI expressa o cuidado na utilização de recursos de Tecnologia da Informação por meio da proibição e da vistoria.
Com base em seu conhecimento selecione as alternativas verdadeiras acerca da norma NORTI: a. Art. 7o É expressamente proibido manter, distribuir ou veicular - utilizando, para isso, dispositivos eletrônicos,
ópticos, gráficos ou magnéticos - arquivos contendo matéria considerada ilícita, contrária à disciplina militar, à
moral e bons costumes, bem como atentatória à ordem pública, ou que viole qualquer direito de terceiros. b. Art. 8o Compete ao Comandante, Chefe ou Diretor de OM do Exército realizar pessoalmente, ou delegar, a vis-
toria dos arquivos hospedados em dispositivos de TI, de propriedade do Exército Brasileiro. c. Art.9o É permitida a vistoria indiscriminada e sistemática do conteúdo de arquivos, pastas e/ou mensagens, sob a responsabilidade do usuário, de modo a preservar-se o bom ambiente de trabalho. As NORTI, no título das DISPOSIÇÕES GERAIS, estabelece e regulamenta os aspectos da comunicação pessoal sob o domínio das Organizações Militares (OM) do Exército Brasileiro como sendo de uso exclusivo para assuntos e atividades profissionais.
Selecione as alternativas coerentes com a norma NORTI: a. Os direitos do cidadão à privacidade e ao sigilo de correspondência envolvem, tão somente, o e-mail pessoal ou particular do militar ou do servidor civil; b. O arquivamento de jogos, filmes, músicas e imagens é permitido; c. O uso de correio-eletrônico (e-mail) é exclusivo para assuntos e atividades profissionais; d. O uso de dispositivos de TI - de propriedade do Exército - durante o expediente da OM para atividades estranhas ao serviço é proibido. Acerca da IR 20-26 é correto afirmar: a. define os seguintes nomes de domínios de primeiro nível para o acesso de suas Organizações Militares à internet: I - exercito.gov.br; II - eb.mil.br e III - eb.br. b. regulamentam as condições de acesso e de utilização dos recursos da internet em proveito da instituição, em consonância com as Instruções Gerais de Segurança da Informação para o Exército Brasileiro e com as Instruções Gerais para Salvaguarda de Assuntos Sigilosos. c. A elaboração de páginas eletrônicas em um determinado sítio na internet também é coberta pela norma IR 20-26, que define a responsabilidade sobre as páginas e os programas (softwares) que devem ser utilizados.
Além disso, o artigo 16 dessa norma determina uma sistemática de aprovação para elaboração dessas páginas eletrônicas de OM, ilustrado na Figura ao lado. Uma vez identificados os riscos e controles, é possível projetar o tipo de defesa necessário e adequado para proteger um ambiente de TI.
No contexto do material didático selecione alguns tipos de defesa mais comuns, entre vários existentes: a) Defesa em Profundidade: É conhecido também como defesa em camadas. Parte do princípio de que os controles de segurança são insuficientes ou incompletos e que múltiplos mecanismos e controles irão compor uma robusta solução de segurança. Da camada mais externa (Rede Externa) para a mais interna (Dado), o ataque deve passar por várias camadas de segurança. b) Pote de Mel: Consiste em criar falsos dispositivos ou “armadilhas” que confundem os agressores no momento da quebra de segurança. Essa técnica leva o agressor ao alvo errado e possibilita que um alerta seja acionado sem prejuízo ao ambiente. c) Sandbox: A defesa em Sandbox é uma camada de software que fica entre o software que está sendo executado e o sistema operacional (SO). Dessa forma, uma camada de segurança é criada entre a aplicação e o SO. Assim, pode ser monitorada e dar alarmes de segurança quando atacada. Selecione as duas grandes razões que impulsionaram as organizações a realizar outsourcing em TI: a. As companhias estavam interessadas em focar no negócio (core business) e não nas atividades correlatas que poderiam consumir o esforço organizacional. b. A percepção dos executivos sobre o custo e esforço gastos em TI. Essas atividades são vistas como um overhead para a organização. A visão era de que empresas especializadas em TI seriam mais eficientes e apresentariam menor custo para a realização dessas atividades. c. A visão de que as empresas poderiam realizar os trabalhados especializadas em TI de forma mais eficiente e apresentariam menor custo para a realização dessas atividades. Selecione alguns dos benefícios organizacionais trazidos pelo outsourcing: a. Aumenta as oportunidades de vendas. b. Aprimora a imagem corporativa e a relação com o público. c. Previne perda de oportunidades. d. Reduz custos anuais quase que imediatamente e. Possibilita foco nas competências do negócio, deixando a cargo de empresas especializadas a operação e desenvolvimento de TI. f. Reduz ou elimina reclamações do usuário. g. Diminui a fidelidade do cliente. h. Aumenta custos de projetos e eventos. A prática de terceirizar serviços de TI estará sempre presente. Logo, é necessário entender como funciona essa terceirização e tirar o melhor proveito dela.
Existem três níveis de outsourcing e cada um apresenta particularidades próprias. Selecione-os a seguir: a) Nível tático: está diretamente relacionado a problemas que a organização possui. O foco desse outsourcing está no contrato estabelecido entre as partes, que deve ser feito com extrema cautela, endereçando de forma principal os pontos que fazem com que a organização atinja seus objetivos de negócio por meio da solução dos problemas. b) Nível estratégico: visa relações de longo prazo com fornecedores. Em vez de a organização montar toda a estrutura computacional e prover o material humano para operá-la, ela contrata um fornecedor que preste esse serviço (data center). Esse fornecedor irá prover os serviços de TI para atender às necessidades de negócio, permitindo que a estrutura de TI interna seja desativada, reduzindo, assim, os custos operacionais. c) Nível de transformação: É a terceira geração de terceirização. Nesse caso, a organização pretende redefinir o negócio e usa o outsourcing para ajudar na redefinição dos processos de negócio e, por conseguinte, na redefinição da empresa. d) Nível operacional: visa relações de longo prazo com fornecedores. Em vez de a organização montar toda a estrutura computacional e prover o material humano para operá-la, ela contrata um fornecedor que preste esse serviço (data center). Esse fornecedor irá prover os serviços de TI para atender às necessidades de negócio, permitindo que a estrutura de TI interna seja desativada, reduzindo, assim, os custos operacionais. Terceirizar sem uma avaliação cuidadosa pode levar a uma prestação inadequada dos serviços de TI pelos fornecedores.
Selecione os critérios necessários para a realização de outsourcing em uma organização: a. Decisão pelo outsourcing: A melhor forma de abordar esse assunto para tomada de decisão é efetuando uma análise de risco. b. Planejamento: envolve uma definição do escopo do que será terceirizado, negociações contratuais, escolha de fornecedor e estabelecimentos de acordos de níveis de serviço. c. Implementação: transfere a prestação de serviço de TI para o fornecedor, seguindo o planejamento já elaborado na fase anterior. Gradativamente, os serviços de TI prestados pela organização vão sendo transferidos ao fornecedor escolhido. d. Encerramento: se dá ao fim de um contrato de outsourcing no qual é realizada novamente uma análise de risco para continuar ou não com a prestação de serviços de TI, reiniciando novamente o processo de outsourcing. Os principais riscos, quando um outsourcing é realizado, são: 1. Controle: a organização não consegue obter a prestação de serviço adequada. Os acordos de níveis de qualidade de serviço não são cumpridos, fazendo com que a organização perca o controle sobre a prestação
do serviço de TI. 2. Segurança: ao realizar o outsourcing, os dados da organização serão manipulados por terceiros (backup), gerando um risco de acesso indevido à informação. 3. Conhecimento organizacional: é o risco de evasão do conhecimento da empresa. O conhecimento do negócio pode ser absorvido pelos fornecedores que prestam serviços de TI. 4. Reversibilidade: com o outsourcing, a organização vai aos poucos perdendo toda a capacidade de prestar o serviço de TI que foi terceirizado. A correta definição de Governança corporativa é:
É um processo organizado de exercer as ações de comando em uma organização por meio de um Conselho Administrativo. Esse Conselho, uma vez interligado às áreas de negócio da empresa, estabelece vários processos que devem ser seguidos, para alinhar os objetivos organizacionais com as ações de cada departamento.
Selecione Verdadeiro ou Falso: Verdadeiro Falso. Os princípios de governança corporativa foram publicados em três documentos muito conhecidos na área.
São eles: a. The Cadbury Report (Reino Unido, 1992). b. The Principles of Corporate Governance (OECD - Organization for Economic Co-operation and Development, Europa, 1998 e 2004). c. Sarbanes-Oxley Act of 2002 (Estados Unidos, 2002). d. Service Oriented Architecture (SOA - Japão 1964) . Entre esses documentos, o Sarbanes-Oxley é um dos mais conhecidos. Originário dos Estados Unidos, é muito utilizado por grandes empresas americanas no mundo inteiro.
Nesses documentos, os princípios de governança são descritos como: a. As organizações devem respeitar os interesses dos acionistas e auxiliá-los a exercer tais interesses. b. As organizações devem reconhecer obrigações legais, contratuais, sociais, de mercado para indivíduos ou outras organizações que não fazem parte do grupo de acionistas (ex: empregados, fornecedores clientes, etc.). c. O Conselho de Diretoria deve ter entendimento e habilidade suficientes para monitorar e aprimorar a performance gerencial da empresa. d. A integridade é um requerimento fundamental para escolha de executivos e membros do Conselho de Diretoria. e. A organização deve deixar claro e público o papel e responsabilidade do Conselho de Diretoria. Selecione a alternativa incorreta acerca da Governança Corporativa: a. O propósito da governança corporativa é direcionar e controlar as atividades organizacionais estabelecendo estruturas, regras e procedimentos que auxiliem no processo de tomada de decisão. b. Os Sistemas de Informação do tipo Enterprise Resource Planning (ERP) possibilitam atingir de forma sistemática a governança corporativa. c. O sistema SAP, possibilita, entre outras coisas, a inclusão de regras, procedimentos e níveis de alçada de aprovação e estrutura organizacional nas atividades do dia a dia da empresa. d. A integridade não é um requerimento fundamental para escolha de executivos e membros do Conselho de Diretoria. Sobre a Governança em TI é incorreto afirmar: a. A área de Tecnologia da Informação tem um fator muito importante na governança corporativa. Nesse contexto, a governança em TI torna-se fundamental como um subconjunto da governança corporativa. b. A governança em TI é um conjunto de disciplinas contidas na governança corporativa da organização com foco em Tecnologia da Informação. Essas disciplinas estabelecem um alinhamento dos objetivos organizacionais com
os objetivos da área de TI da empresa. c. O propósito da governança em TI é direcionar e controlar as atividades organizacionais de TI estabelecendo estruturas, regras e procedimentos que auxiliem no processo de tomada de decisão dentro da área de Tecnologia da Informação. d. Uma vez implementada a governança em TI, parcialmente alinhada com a governança corporativa, a organização tem seus processos organizacionais alinhados aos objetivos do negócio. A governança em TI tem seu foco em: a. Decidir como devem ser utilizados os recursos monetários destinados a TI. Os processos de governança envolvidos incluem: priorização, justificativas, controle de gastos e autorização para utilizar os recursos. b. Gestão dos Projetos de TI. c. Implementar e controlar os processos de mudança (ex: alterações em projetos), fazendo com que cumpram as normas estabelecidas de avaliação de impacto e de orçamento, entre outras. d. Garantir a qualidade do Serviço de TI por meio da gestão dos indicadores de nível de serviço (SLA) definidos.
