Atividade 2 - Segurança e Auditoria de Sistemas

Prévia do material em texto

Atividade 2 – Segurança e auditoria de sistemas. 
1. Uma organização deve conhecer bem as suas ameaças. Por meio da 
identificação delas, é possível definir contramedidas que podem 
resolver, amenizar ou simplesmente aceitar tal dano. Isso está 
diretamente ligado aos ativos da organização. Em uma organização, 
têm-se ativos que são os alvos favoritos de ameaças. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas 
de informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique os principais ativos de 
uma organização: 
 
 Pessoas, arquitetura e backup. 
 
 Espaço físico, localidade e gerência de risco. 
 
 Testes de software, pessoas e terceiros. 
 
 Computadores, imóveis e acessórios. 
 
 Propriedade intelectual, dados financeiros e disponibilidade. 
 
2. O ataque via cavalo de Troia tem como objetivo esconder-se na 
máquina-alvo e em um tempo oportuno efetuar uma série de coletas de 
informações ou simplesmente causar algum prejuízo. Ele pode 
colher cookies , senhas, números de cartões, informações de redes 
sociais etc. Por meio desse tipo de ataque, é possível se instalar novos 
programas, além de alterar configurações no navegador. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas 
de informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva a definição 
apresentada: 
 
 Cookies. 
 
 Rootkits. 
 
 Engenharia social. 
 
 Spyware. 
 
 Spoofing. 
 
3. Uma variante do ataque de negação de serviço é o ataque de negação 
de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o 
diferencia é seu grande poder de ataque. Existe um tipo de ataque que 
explora alguma vulnerabilidade não intencional no sistema (uma falha) 
ou uma brecha intencional deixa no 
software (desenvolvedor). 
 
HINTZBERGEN J. et al . Fundamentos de segurança da 
informação, com base na ISO 27001 e na ISO 27002 . São Paulo: 
Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito 
apresentado: 
 
 Cookies. 
 
 Ataques de força bruta. 
 
 Rootkits. 
 
 Spam. 
 
 Portas dos fundos (backdoor). 
 
4. Uma organização que reconhece suas vulnerabilidades é capaz de se 
prevenir contra as possíveis ameaças e minimizar seus prejuízos. 
Porém, não é um trabalho fácil, é necessário medir o risco para 
posteriormente, definir prioridade e custo de contramedida. Nem sempre 
é possível minimizar um risco, pois seu valor de contramedida pode 
exceder o próprio dano em si. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da 
informação, com base na ISO 27001 e na ISO 27002 . São Paulo: 
Brasport, 2018. 
 
A respeito da análise qualitativa de risco, assinale a alternativa que 
apresente uma técnica de levantamento: 
 
 Por ataque. 
 
 Por ameaça. 
 
 Contagem de dados. 
 
 Falhas de equipamentos. 
 
 Brainstorming. 
 
5. No mundo da Internet (ciberespaço), existem diversos tipos de golpes 
que visam enganar ou se aproveitar da inocência de suas vítimas. 
Existem vários casos de pessoas que recebem e-mails oferecendo 
ofertas encantadoras, produtos com preços abaixo do mercado e um 
botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é 
levado a uma conta falsa e, sem saber, acaba sendo vítima de um 
golpe. 
Nesse sentido, assinale a alternativa que indique golpes de compra e 
vendas na Internet: 
 
 Realizar a compra em sites de concessionárias (veículos). 
 
 Comprar de sites famosos. 
 
 Anunciar preços de acordo com o mercado com documentação. 
 
 Pedir para a vítima realizar um depósito, como sinal de interesse 
na venda, e logo depois desaparecer. 
 
 Realizar pedidos em uma loja física conhecida. 
 
6. Uma medida de repressão é bastante útil quando se identifica uma 
ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir os 
prejuízos causados pelo incidente. Sem dúvida, prevenir-se contra uma 
ameaça é a melhor opção, mas infelizmente nem tudo sai como 
esperado. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da 
informação, com base na ISO 27001 e na ISO 27002 . São Paulo: 
Brasport, 2018. 
 
Sobre medidas de proteção, assinale a alternativa que indique a opção 
que é mais adequada após uma repressão: 
 
 Prevenção. 
 
 Correção. 
 
 Exposição. 
 
 Aceitação. 
 
 Justificação. 
 
7. Infelizmente, uma ameaça está presente em todas as organizações. 
Uma das opções de medida de proteção mais simples é a que usa a 
detecção. Aqui, sabe-se da ameaça e, por meio de um software de 
monitoramento, é possível saber o momento que ela acontece. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da 
informação, com base na ISO 27001 e na ISO 27002 . São Paulo: 
Brasport, 2018. 
 
Apesar de a medida de detecção ser bastante utilizada, existe outra 
medida cujo principal objetivo é solucionar/reduzir o dano causado pelo 
incidente. Assinale a alternativa que melhor descreva essa outra 
medida: 
 
 Contramedida. 
 
 Repressão. 
 
 Aceitação. 
 
 Preventiva. 
 
 Segura. 
 
8. Nem sempre é fácil identificar um risco e muito menos saber sua 
dimensão. Um exemplo é como identificar o dano/prejuízo causado 
sobre um conjunto de dados de uma instituição financeira. Na avaliação 
de riscos, independentemente do modelo de processo utilizado temos de 
saber a dimensão do risco. A partir dele, podemos definir custos e 
estratégias apropriadas. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da 
informação, com base na ISO 27001 e na ISO 27002 . São Paulo: 
Brasport, 2018. 
 
De acordo com o conhecimento adquirido durante os estudos, assinale a 
alternativa que identifique as principais formas de se medir um risco: 
 
 Uma média qualitativa. 
 
 Quantitativa e qualitativa. 
 
 Vulnerabilidades e incidentes não conhecidos. 
 
 Testes e estudos empíricos. 
 
 Forças e fraquezas de organizações concorrentes. 
 
9. A análise de riscos é a principal atividade a se fazer para conhecer de 
fato quais são os riscos de uma organização. Com base nos objetivos, 
leis/regulamentos e regras de negócios, é possível ponderar e priorizar 
os principais riscos. Por meio de seus objetivos, pode-se conhecer os 
ativos mais importantes. Em consequência, deve-se criar contramedidas 
adequadas para se possível eliminar tais vulnerabilidades. 
 
HINTZBERGEN, J. et al . Fundamentos de Segurança da 
Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: 
Brasport, 2018. 
 
A respeito das estratégias utilizadas sobre um risco, assinale a 
alternativa que indique qual deixa o risco assumindo a possibilidade de 
dano: 
 
 Tolerância. 
 
 Terceirização. 
 
 Redução. 
 
 Prevenção. 
 
 Contratação. 
 
10. Há também um tipo de ataque de que visa obter informações sobre uma 
determinada organização ou indivíduo por meio de seus 
funcionários/pessoas próximos. Ele busca explorar a boa-fé das pessoas 
a fim de obter algum tipo de informação sigilosa. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas 
de informação . São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que represente tal conceito: 
 
 Cavalo de Troia. 
 
 Pharming. 
 
 Cookie. 
 
 Vírus. 
 
 Engenharia social.