Prévia do material em texto
Atividade 2 – Segurança e auditoria de sistemas. 1. Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização: Pessoas, arquitetura e backup. Espaço físico, localidade e gerência de risco. Testes de software, pessoas e terceiros. Computadores, imóveis e acessórios. Propriedade intelectual, dados financeiros e disponibilidade. 2. O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, além de alterar configurações no navegador. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que descreva a definição apresentada: Cookies. Rootkits. Engenharia social. Spyware. Spoofing. 3. Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no software (desenvolvedor). HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que descreva o conceito apresentado: Cookies. Ataques de força bruta. Rootkits. Spam. Portas dos fundos (backdoor). 4. Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica de levantamento: Por ataque. Por ameaça. Contagem de dados. Falhas de equipamentos. Brainstorming. 5. No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que recebem e-mails oferecendo ofertas encantadoras, produtos com preços abaixo do mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado a uma conta falsa e, sem saber, acaba sendo vítima de um golpe. Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: Realizar a compra em sites de concessionárias (veículos). Comprar de sites famosos. Anunciar preços de acordo com o mercado com documentação. Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. Realizar pedidos em uma loja física conhecida. 6. Uma medida de repressão é bastante útil quando se identifica uma ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Sem dúvida, prevenir-se contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Sobre medidas de proteção, assinale a alternativa que indique a opção que é mais adequada após uma repressão: Prevenção. Correção. Exposição. Aceitação. Justificação. 7. Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é possível saber o momento que ela acontece. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que melhor descreva essa outra medida: Contramedida. Repressão. Aceitação. Preventiva. Segura. 8. Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias apropriadas. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as principais formas de se medir um risco: Uma média qualitativa. Quantitativa e qualitativa. Vulnerabilidades e incidentes não conhecidos. Testes e estudos empíricos. Forças e fraquezas de organizações concorrentes. 9. A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades. HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o risco assumindo a possibilidade de dano: Tolerância. Terceirização. Redução. Prevenção. Contratação. 10. Há também um tipo de ataque de que visa obter informações sobre uma determinada organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que represente tal conceito: Cavalo de Troia. Pharming. Cookie. Vírus. Engenharia social.