Avaliação AV1-B G AGO SASI 5 - Segurança e Auditoria de Sistemas de Informação

Prévia do material em texto

Avaliação AV1-B
Entrega 18 set em 23:59 Pontos 25 Perguntas 10
Disponível 6 set em 0:00 - 18 set em 23:59 13 dias
Limite de tempo 120 Minutos Tentativas permitidas 2
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 72 minutos 25 de 25
 As respostas corretas estarão disponíveis em 19 set em 0:00.
Pontuação desta tentativa: 25 de 25
Enviado 15 set em 18:58
Esta tentativa levou 72 minutos.
Leia com atenção as orientações abaixo antes de iniciar esta prova:
• Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota.
• Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos
cronometrados (por tentativa) para conclusão e envio das respostas.
• Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou
não;
• Durante a realização da prova:
◦ Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro
do período da tentativa;
◦ A tentativa somente será contabilizada após clicar no botão “Enviar”.
Fazer o teste novamente
2,5 / 2,5 ptsPergunta 1
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
1 of 13 15/09/2021 18:59
https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/take?user_id=13995
https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/history?version=1
https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/history?version=1
https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/take?user_id=13995
https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/take?user_id=13995
Na definição de uma política de controle de acesso, após a definição
de como funcionará a identificação, a próxima etapa é definir como o
usuário será autenticado. Aqui, um usuário deve provar a sua
identidade, o que remete à seguinte pergunta: os usuários são
realmente quem dizem ser? A autenticação prova que aquele que
solicita o acesso é o mesmo que recebeu o direito de acesso. Existem
muitas maneiras de autenticar um usuário, que se enquadram em três
tipos: conhecimento, propriedade e características.
Portanto, responda: qual das alternativas abaixo é um modo de
autenticação por propriedade?
Senha.
Impressões digitais.
PIN.
Cartão inteligente.
Retina.
Feedback:
Segundo o livro Segurança e Auditoria dos Sistemas de
Informação, unidade 3, tópico 1.2.3, você pode conferir que
cartão inteligente é um tipo de autenticação por propriedade.
2,5 / 2,5 ptsPergunta 2
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
2 of 13 15/09/2021 18:59
No domínio da Segurança da Informação, os controles de acesso são
mecanismos utilizados que permitem a um analista de segurança ou
administrador responsável por fazer a gestão da segurança conceder
ou restringir o acesso a recursos que exijam proteção. Para a criação
de um controle de acesso, é necessário que alguns processos sejam
utilizados. Um deles é a definição de como quem possui acesso pode
ter a sua identidade confirmada.
A esse processo é dado qual nome?
Autenticação.
Digitalização.
Identificação.
Autorização.
Responsabilização.
Feedback:
Segundo o livro Segurança e Auditoria dos Sistemas de
Informação, unidade 3, tópico 1, o processo que define como
quem possui acesso pode ter a sua identidade confirmada é
chamado de autenticação.
2,5 / 2,5 ptsPergunta 3
Todo e qualquer dispositivo de segurança, incluindo controles de
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
3 of 13 15/09/2021 18:59
acesso, está sujeito a ameaças que tenham por objetivo superá-lo ou
eliminá-lo para a obtenção de recursos protegidos. Uma dessas
ameaças é por meio da exploração de falhas de programação em
aplicativos, conhecida como estouro de memória. Outra ameaça
consiste na instalação de software malicioso por atacantes, de maneira
que possam obter controle sobre os sistemas.
De acordo com o texto, quais ameaças foram exemplificadas?
Interceptação por observação / acessar redes.
Interceptação eletrônica / acessar redes.
Reutilizar ou descartar mídia / acesso físico.
Explorar falhas em aplicativos / explorar hardware e software.
Explorar hardware e software / contornar a segurança.
2,5 / 2,5 ptsPergunta 4
Uma organização requer controles de acesso para estabelecer quem
são os usuários dos sistemas (sejam pessoas ou ainda outros
sistemas), o que eles podem fazer e quais operações podem ser
executadas nesses sistemas. Faz parte do rol de sistemas de controle
de acesso uma gama de tecnologias, que vão desde o uso de senhas,
tokens, biometria e certificados. A criação de controles de acesso
possui duas etapas. Nessas etapas, existem processos que criam
efetivamente os controles.
Das opções abaixo, qual mostra corretamente uma etapa com seus
respectivos processos?
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
4 of 13 15/09/2021 18:59
Definição da política: identificação, autenticação e responsabilização.
Imposição da política: identificação, autenticação e responsabilização.
Imposição da política: identificação, autenticação e autorização.
Imposição da política: autorização e autenticação.
Definição da política: autorização e identificação.
Feedback:
Segundo o livro Segurança e Auditoria dos Sistemas de
Informação, unidade 3, tópico 1, a etapa de imposição da
política possui os seguintes processos: identificação,
autenticação e responsabilização.
2,5 / 2,5 ptsPergunta 5
Políticas de controle de acesso são conjuntos de regras que concedem
permissão a um determinado grupo de usuários para realizarem um
conjunto de ações sobre determinados recursos. Se os usuários não
obtiverem permissão, não terão acesso ao recurso de sistema
demandado. Você pode utilizar políticas de controle de acesso para
minimizar e gerenciar os riscos de segurança. Para estabelecer uma
política de segurança, é necessário compreender quatro elementos:
I. Usuários: utilizadores do sistema.
II. Recursos: atividades que usuários, com a devida permissão, podem
realizar sobre os recursos.
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
5 of 13 15/09/2021 18:59
III. Ações: objetos do sistema que são protegidos e só podem ser
acessados por sujeitos com permissão de acesso.
IV. Relacionamentos: condições opcionais que existem entre usuários e
recursos. Por exemplo, um usuário autorizado pode realizar leitura,
escrita ou execução de um recurso.
Das descrições dos elementos apresentadas, quais delas efetivamente
estão corretas?
I, III e IV.
II, III e IV.
I, II e III.
I e IV.
II e IV.
Feedback:
Segundo o livro Segurança e Auditoria dos Sistemas de
Informação, unidade 3, tópico 1.2, você pode perceber que a
descrição dos elementos Recursos e Ações estão invertidas.
2,5 / 2,5 ptsPergunta 6
O trabalho de um auditor de segurança é complexo. Além da própria
auditoria em si, sua atividade requer uma análise minuciosa dos dados
coletados. Após a coleta, então uma série de atividades devem ser
executadas no processamento dos dados, culminando na
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
6 of 13 15/09/2021 18:59
apresentação dos resultados para os responsáveis de uma
organização. Os resultados são apresentados em um relatório que
incluem ao menos três seções:
I. Descobertas: geralmente relacionadas por nível de conformidade em
relação à referência-padrão utilizada. A comparação com um
benchmark gera uma listagem dos pontos nos quais a organização
precisa melhorar.
II. Recomendações: auditoresrecomendam como materializar os riscos
apontados e qual a consequência do possível descumprimento de uma
política ou processo por parte das pessoas da organização.
III. Acompanhamento: se necessário, auditores podem agendar uma
auditoria de acompanhamento (follow-up) para se certificarem de que a
organização tenha utilizado de fato as recomendações.
Das três seções apresentadas, qual(is) estão corretas?
Apenas a I
Apenas a II
I, II e III
I e II
I e III
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
7 of 13 15/09/2021 18:59
Feedback:
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1.4, na seção de
Recomendações de um relatório de auditoria encontramos que
auditores recomendam como mitigar os riscos apontados e qual
a consequência do possível descumprimento de uma política ou
processo por parte das pessoas da organização.
2,5 / 2,5 ptsPergunta 7
Com relação aos controles de segurança, sabe-se que esses
estabelecem limites que podem colocar em risco uma organização,
caso não estejam em pleno funcionamento. Esses controles então
devem ser revisados com uma frequência regular, inclusive é
recomendado que cada controle passe por um ciclo de revisão. Nesse
ciclo, constam atividades que apoiam o correto funcionamento de um
controle. Uma dessas atividades é o aprimoramento de controles.
Posto isso, qual das alternativas abaixo descreve corretamente a
atividade de aprimoramento de controles?
Uma vez instalados e então monitorados, os controles devem ser
passíveis de serem auditados. Confrontando a execução e históricos
dos controles, frentes às políticas estabelecidas pela organização, gera-
se insumos para o próximo passo.
Uma vez que os controles foram postos em funcionamento, será
necessário observar como os controles executam e se há alguma
informação a respeito de alguma brecha de segurança neles.
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
8 of 13 15/09/2021 18:59
Quando instalados e devidamente monitorados, os controles devem ser
passíveis de serem ampliados. Confrontando a execução e históricos
dos controles, frente às políticas estabelecidas pela organização, gera-
se insumos para outra atividade.
Controles de segurança devem ser instalados e devem funcionar
conforme foram especificados.
De posse dos resultados obtidos em uma etapa anterior, é possível
propor melhorias e alterações nos controles de segurança para
adequação a políticas ou brechas que porventura tenham sido
encontradas.
Feedback:
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1, a atividade de
aprimoramento descreve que uma vez obtidos resultados de
uma etapa prévia, é possível propor melhorias e alterações nos
controles de segurança para adequação a políticas ou brechas
que porventura tenham sido encontradas.
2,5 / 2,5 ptsPergunta 8
Um sistema computacional é auditado para verificar se ele foi
executado conforme construído e planejado para uma tarefa em
específico. As auditorias checam em dado momento do tempo se a
configuração atual de um sistema está em conformidade com padrões.
Um sistema pode ser auditado de maneira manual ou ainda
automatizada por meio de software. Considerando esse fato, atente-se
às seguintes maneiras de se auditar um sistema:
I. Entrevistar seu pessoal.
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
9 of 13 15/09/2021 18:59
II. Realizar varreduras de vulnerabilidade.
III. Revisar controles de acesso de aplicativos e de sistema
operacional.
IV. Analisar acesso físico aos sistemas.
V. Uso de scripts em lote para testes massivos.
Quais das maneiras de se auditar um sistema são manuais?
III, IV e V
III e V
II, IV e V
II, III e V
I, II, III e IV
Feedback:
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1, o uso de scripts em lote não
consta como uma opção para auditoria de sistemas
manualmente. Geralmente são utilizados em rotinas
automatizadas.
2,5 / 2,5 ptsPergunta 9
Após o planejamento e posterior execução de uma auditoria, muitos
dados são gerados e necessitam ser coletados. A partir da coleta
desses dados, é possível então analisá-los e processá-los, a fim de
produzir informações relevantes para eventuais melhorias. Existem
muitas técnicas de coletas de dados, entre elas, podem-se citar:
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
10 of 13 15/09/2021 18:59
I. Documentos que ajudam a garantir que o processo de coleta de
informações atinja todas as áreas, evitando que alguma seja esquecida
inadvertidamente.
II. Teste de vulnerabilidade e teste de intrusão devem reunir
informações técnicas para determinar se existem vulnerabilidades nos
componentes, nas redes e nos aplicativos de segurança.
III. É importante ver a diferença entre atividades na teoria e como elas
são realizadas na prática.
As descrições de tipos de coleta de dados de uma auditoria
mencionados também são conhecidas como, respectivamente?
Listas de verificação (checklists), testes de segurança e observação.
Questionários, entrevistas e observação.
Documentação de revisão, listas de verificação (checklists) e
questionários.
Configurações de revisão, observação e testes de segurança.
Política de revisão, testes de segurança e configurações de revisão.
Feedback:
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1.2, as descrições são dos
métodos de coleta de dados de auditoria: listas de verificação
(checklists), testes de segurança e observação.
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
11 of 13 15/09/2021 18:59
2,5 / 2,5 ptsPergunta 10
No escopo de segurança dos sistemas de informação, uma auditoria
de segurança serve para verificar se seus sistemas e controles de
segurança estão em funcionamento e da maneira para o qual foram
planejados para funcionar, ou seja, se estão funcionando corretamente.
Com isso, uma auditoria deve verificar os seguintes pontos:
I. Se as políticas de segurança são apropriadas para a empresa ou a
atividade: deve ser verificado se as políticas estabelecidas são
seguidas e compreendidas, se dão suporte à missão da organização. A
auditoria em si não define novas políticas. Auditores, porém, podem
fazer recomendações com base em experiência ou conhecimento de
novas regulamentações.
II. Se as políticas são sustentadas por controles: deve ser verificado se
foram colocados em funcionamento controles que sustentam as
políticas. Se um controle não for justificado pela existência de uma
política, ele provavelmente deverá ser removido.
III. Se a implementação e a manutenção de controles são efetivas: na
medida que uma organização cresce e novas ameaças surgem, os
controles de segurança devem ser atualizados a fim de conseguirem
atuar contra aquilo para o qual foram projetados.
Dos pontos listados a serem verificados por uma auditoria de
segurança, qual deles está ou estão corretos?
Apenas o II.
Apenas o III.
I, II e III.
I e III.
I e II.
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844
12 of 13 15/09/2021 18:59
Feedback:
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1, todos os pontos citados
devem ser utilizados em uma auditoria de controles de
segurança.
Pontuação do teste: 25 de 25
Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/2884413 of 13 15/09/2021 18:59