Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação AV1-B Entrega 18 set em 23:59 Pontos 25 Perguntas 10 Disponível 6 set em 0:00 - 18 set em 23:59 13 dias Limite de tempo 120 Minutos Tentativas permitidas 2 Instruções Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 72 minutos 25 de 25 As respostas corretas estarão disponíveis em 19 set em 0:00. Pontuação desta tentativa: 25 de 25 Enviado 15 set em 18:58 Esta tentativa levou 72 minutos. Leia com atenção as orientações abaixo antes de iniciar esta prova: • Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota. • Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos cronometrados (por tentativa) para conclusão e envio das respostas. • Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou não; • Durante a realização da prova: ◦ Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro do período da tentativa; ◦ A tentativa somente será contabilizada após clicar no botão “Enviar”. Fazer o teste novamente 2,5 / 2,5 ptsPergunta 1 Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 1 of 13 15/09/2021 18:59 https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/take?user_id=13995 https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/history?version=1 https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/history?version=1 https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/take?user_id=13995 https://newtonpaiva.instructure.com/courses/13062/quizzes/28844/take?user_id=13995 Na definição de uma política de controle de acesso, após a definição de como funcionará a identificação, a próxima etapa é definir como o usuário será autenticado. Aqui, um usuário deve provar a sua identidade, o que remete à seguinte pergunta: os usuários são realmente quem dizem ser? A autenticação prova que aquele que solicita o acesso é o mesmo que recebeu o direito de acesso. Existem muitas maneiras de autenticar um usuário, que se enquadram em três tipos: conhecimento, propriedade e características. Portanto, responda: qual das alternativas abaixo é um modo de autenticação por propriedade? Senha. Impressões digitais. PIN. Cartão inteligente. Retina. Feedback: Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1.2.3, você pode conferir que cartão inteligente é um tipo de autenticação por propriedade. 2,5 / 2,5 ptsPergunta 2 Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 2 of 13 15/09/2021 18:59 No domínio da Segurança da Informação, os controles de acesso são mecanismos utilizados que permitem a um analista de segurança ou administrador responsável por fazer a gestão da segurança conceder ou restringir o acesso a recursos que exijam proteção. Para a criação de um controle de acesso, é necessário que alguns processos sejam utilizados. Um deles é a definição de como quem possui acesso pode ter a sua identidade confirmada. A esse processo é dado qual nome? Autenticação. Digitalização. Identificação. Autorização. Responsabilização. Feedback: Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1, o processo que define como quem possui acesso pode ter a sua identidade confirmada é chamado de autenticação. 2,5 / 2,5 ptsPergunta 3 Todo e qualquer dispositivo de segurança, incluindo controles de Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 3 of 13 15/09/2021 18:59 acesso, está sujeito a ameaças que tenham por objetivo superá-lo ou eliminá-lo para a obtenção de recursos protegidos. Uma dessas ameaças é por meio da exploração de falhas de programação em aplicativos, conhecida como estouro de memória. Outra ameaça consiste na instalação de software malicioso por atacantes, de maneira que possam obter controle sobre os sistemas. De acordo com o texto, quais ameaças foram exemplificadas? Interceptação por observação / acessar redes. Interceptação eletrônica / acessar redes. Reutilizar ou descartar mídia / acesso físico. Explorar falhas em aplicativos / explorar hardware e software. Explorar hardware e software / contornar a segurança. 2,5 / 2,5 ptsPergunta 4 Uma organização requer controles de acesso para estabelecer quem são os usuários dos sistemas (sejam pessoas ou ainda outros sistemas), o que eles podem fazer e quais operações podem ser executadas nesses sistemas. Faz parte do rol de sistemas de controle de acesso uma gama de tecnologias, que vão desde o uso de senhas, tokens, biometria e certificados. A criação de controles de acesso possui duas etapas. Nessas etapas, existem processos que criam efetivamente os controles. Das opções abaixo, qual mostra corretamente uma etapa com seus respectivos processos? Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 4 of 13 15/09/2021 18:59 Definição da política: identificação, autenticação e responsabilização. Imposição da política: identificação, autenticação e responsabilização. Imposição da política: identificação, autenticação e autorização. Imposição da política: autorização e autenticação. Definição da política: autorização e identificação. Feedback: Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1, a etapa de imposição da política possui os seguintes processos: identificação, autenticação e responsabilização. 2,5 / 2,5 ptsPergunta 5 Políticas de controle de acesso são conjuntos de regras que concedem permissão a um determinado grupo de usuários para realizarem um conjunto de ações sobre determinados recursos. Se os usuários não obtiverem permissão, não terão acesso ao recurso de sistema demandado. Você pode utilizar políticas de controle de acesso para minimizar e gerenciar os riscos de segurança. Para estabelecer uma política de segurança, é necessário compreender quatro elementos: I. Usuários: utilizadores do sistema. II. Recursos: atividades que usuários, com a devida permissão, podem realizar sobre os recursos. Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 5 of 13 15/09/2021 18:59 III. Ações: objetos do sistema que são protegidos e só podem ser acessados por sujeitos com permissão de acesso. IV. Relacionamentos: condições opcionais que existem entre usuários e recursos. Por exemplo, um usuário autorizado pode realizar leitura, escrita ou execução de um recurso. Das descrições dos elementos apresentadas, quais delas efetivamente estão corretas? I, III e IV. II, III e IV. I, II e III. I e IV. II e IV. Feedback: Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1.2, você pode perceber que a descrição dos elementos Recursos e Ações estão invertidas. 2,5 / 2,5 ptsPergunta 6 O trabalho de um auditor de segurança é complexo. Além da própria auditoria em si, sua atividade requer uma análise minuciosa dos dados coletados. Após a coleta, então uma série de atividades devem ser executadas no processamento dos dados, culminando na Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 6 of 13 15/09/2021 18:59 apresentação dos resultados para os responsáveis de uma organização. Os resultados são apresentados em um relatório que incluem ao menos três seções: I. Descobertas: geralmente relacionadas por nível de conformidade em relação à referência-padrão utilizada. A comparação com um benchmark gera uma listagem dos pontos nos quais a organização precisa melhorar. II. Recomendações: auditoresrecomendam como materializar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização. III. Acompanhamento: se necessário, auditores podem agendar uma auditoria de acompanhamento (follow-up) para se certificarem de que a organização tenha utilizado de fato as recomendações. Das três seções apresentadas, qual(is) estão corretas? Apenas a I Apenas a II I, II e III I e II I e III Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 7 of 13 15/09/2021 18:59 Feedback: Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.4, na seção de Recomendações de um relatório de auditoria encontramos que auditores recomendam como mitigar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização. 2,5 / 2,5 ptsPergunta 7 Com relação aos controles de segurança, sabe-se que esses estabelecem limites que podem colocar em risco uma organização, caso não estejam em pleno funcionamento. Esses controles então devem ser revisados com uma frequência regular, inclusive é recomendado que cada controle passe por um ciclo de revisão. Nesse ciclo, constam atividades que apoiam o correto funcionamento de um controle. Uma dessas atividades é o aprimoramento de controles. Posto isso, qual das alternativas abaixo descreve corretamente a atividade de aprimoramento de controles? Uma vez instalados e então monitorados, os controles devem ser passíveis de serem auditados. Confrontando a execução e históricos dos controles, frentes às políticas estabelecidas pela organização, gera- se insumos para o próximo passo. Uma vez que os controles foram postos em funcionamento, será necessário observar como os controles executam e se há alguma informação a respeito de alguma brecha de segurança neles. Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 8 of 13 15/09/2021 18:59 Quando instalados e devidamente monitorados, os controles devem ser passíveis de serem ampliados. Confrontando a execução e históricos dos controles, frente às políticas estabelecidas pela organização, gera- se insumos para outra atividade. Controles de segurança devem ser instalados e devem funcionar conforme foram especificados. De posse dos resultados obtidos em uma etapa anterior, é possível propor melhorias e alterações nos controles de segurança para adequação a políticas ou brechas que porventura tenham sido encontradas. Feedback: Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, a atividade de aprimoramento descreve que uma vez obtidos resultados de uma etapa prévia, é possível propor melhorias e alterações nos controles de segurança para adequação a políticas ou brechas que porventura tenham sido encontradas. 2,5 / 2,5 ptsPergunta 8 Um sistema computacional é auditado para verificar se ele foi executado conforme construído e planejado para uma tarefa em específico. As auditorias checam em dado momento do tempo se a configuração atual de um sistema está em conformidade com padrões. Um sistema pode ser auditado de maneira manual ou ainda automatizada por meio de software. Considerando esse fato, atente-se às seguintes maneiras de se auditar um sistema: I. Entrevistar seu pessoal. Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 9 of 13 15/09/2021 18:59 II. Realizar varreduras de vulnerabilidade. III. Revisar controles de acesso de aplicativos e de sistema operacional. IV. Analisar acesso físico aos sistemas. V. Uso de scripts em lote para testes massivos. Quais das maneiras de se auditar um sistema são manuais? III, IV e V III e V II, IV e V II, III e V I, II, III e IV Feedback: Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, o uso de scripts em lote não consta como uma opção para auditoria de sistemas manualmente. Geralmente são utilizados em rotinas automatizadas. 2,5 / 2,5 ptsPergunta 9 Após o planejamento e posterior execução de uma auditoria, muitos dados são gerados e necessitam ser coletados. A partir da coleta desses dados, é possível então analisá-los e processá-los, a fim de produzir informações relevantes para eventuais melhorias. Existem muitas técnicas de coletas de dados, entre elas, podem-se citar: Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 10 of 13 15/09/2021 18:59 I. Documentos que ajudam a garantir que o processo de coleta de informações atinja todas as áreas, evitando que alguma seja esquecida inadvertidamente. II. Teste de vulnerabilidade e teste de intrusão devem reunir informações técnicas para determinar se existem vulnerabilidades nos componentes, nas redes e nos aplicativos de segurança. III. É importante ver a diferença entre atividades na teoria e como elas são realizadas na prática. As descrições de tipos de coleta de dados de uma auditoria mencionados também são conhecidas como, respectivamente? Listas de verificação (checklists), testes de segurança e observação. Questionários, entrevistas e observação. Documentação de revisão, listas de verificação (checklists) e questionários. Configurações de revisão, observação e testes de segurança. Política de revisão, testes de segurança e configurações de revisão. Feedback: Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.2, as descrições são dos métodos de coleta de dados de auditoria: listas de verificação (checklists), testes de segurança e observação. Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 11 of 13 15/09/2021 18:59 2,5 / 2,5 ptsPergunta 10 No escopo de segurança dos sistemas de informação, uma auditoria de segurança serve para verificar se seus sistemas e controles de segurança estão em funcionamento e da maneira para o qual foram planejados para funcionar, ou seja, se estão funcionando corretamente. Com isso, uma auditoria deve verificar os seguintes pontos: I. Se as políticas de segurança são apropriadas para a empresa ou a atividade: deve ser verificado se as políticas estabelecidas são seguidas e compreendidas, se dão suporte à missão da organização. A auditoria em si não define novas políticas. Auditores, porém, podem fazer recomendações com base em experiência ou conhecimento de novas regulamentações. II. Se as políticas são sustentadas por controles: deve ser verificado se foram colocados em funcionamento controles que sustentam as políticas. Se um controle não for justificado pela existência de uma política, ele provavelmente deverá ser removido. III. Se a implementação e a manutenção de controles são efetivas: na medida que uma organização cresce e novas ameaças surgem, os controles de segurança devem ser atualizados a fim de conseguirem atuar contra aquilo para o qual foram projetados. Dos pontos listados a serem verificados por uma auditoria de segurança, qual deles está ou estão corretos? Apenas o II. Apenas o III. I, II e III. I e III. I e II. Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/28844 12 of 13 15/09/2021 18:59 Feedback: Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, todos os pontos citados devem ser utilizados em uma auditoria de controles de segurança. Pontuação do teste: 25 de 25 Avaliação AV1-B: G.AGO.SASI.5 - Segurança e Auditoria de Sistemas d... https://newtonpaiva.instructure.com/courses/13062/quizzes/2884413 of 13 15/09/2021 18:59
Compartilhar