Baixe o app para aproveitar ainda mais
Prévia do material em texto
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 1/11 Avaliação Online 1 Entrega 5 abr em 23:59 Pontos 15 Perguntas 10 Disponível 30 mar em 0:00 - 5 abr em 23:59 7 dias Limite de tempo 120 Minutos Tentativas permitidas 2 Instruções Histórico de tentativas Tentativa Tempo Pontuação MANTIDO Tentativa 2 24 minutos 15 de 15 MAIS RECENTE Tentativa 2 24 minutos 15 de 15 Tentativa 1 22 minutos 13,5 de 15 As respostas corretas estarão disponíveis em 6 abr em 0:00. Pontuação desta tentativa: 15 de 15 Enviado 2 abr em 19:48 Esta tentativa levou 24 minutos. Leia com atenção as orientações abaixo antes de iniciar esta prova: Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota. Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos cronometrados (por tentativa) para conclusão e envio das respostas. Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou não; Durante a realização da prova: Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro do período da tentativa; A tentativa somente será contabilizada após clicar no botão “Enviar”. 1,5 / 1,5 ptsPergunta 1 Além da criação de documentos relacionados com a Segurança da Informação, como todo o conjunto de políticas de segurança de uma organização, três pontos são necessários para que as políticas ali https://newtonpaiva.instructure.com/courses/11081/quizzes/23488/history?version=2 https://newtonpaiva.instructure.com/courses/11081/quizzes/23488/history?version=2 https://newtonpaiva.instructure.com/courses/11081/quizzes/23488/history?version=1 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 2/11 definidas possuam eficiência e eficácia ao longo do tempo. Tendo em vista essa realidade, considere as seguintes asserções: I) Apoio explícito do nível executivo da organização. Preferencialmente, a política principal deve ser assinada pelo presidente da organização. Assim, será visível a todos que a política de segurança é uma decisão estratégica e possui visibilidade da alta direção da organização. II) O que for escrito na política e nos demais regulamentos deve exprimir a verdade e os valores da cultura da organização. III) Ser passível de implementação e de execução pelos usuários. Deve-se especificar requisitos que não podem ser implementados ou são impossíveis de serem cumpridos pelos usuários. São corretas apenas as asserções: I e II. I, II e III. I e III. Apenas a I. II e III. Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 2, para possuir eficiência e eficácia, um dos pontos diz que NÃO se deve especificar requisitos que não podem ser implementados ou são impossíveis de serem cumpridos pelos usuários, ao contrário do que está apresentado na asserção III. 1,5 / 1,5 ptsPergunta 2 No domínio da Segurança da Informação, encontramos conceitos- chave que servem de base para delinear futuras diretrizes que uma empresa ou um profissional podem adotar no intuito de se promover a 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 3/11 segurança. Um desses conceitos nos diz que a Segurança da Informação deve ser capaz de permitir que somente indivíduos autorizados podem ter acesso à determinada informação, estabelecendo proteção de acordo com o grau de sigilo conferido a ela. Essa descrição está relacionada com qual conceito-chave da Segurança da Informação? Complexidade. Legalidade. Integridade. Autenticidade. Confidencialidade. Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1, a Confidencialidade é o conceito que diz que somente indivíduos autorizados podem ter acesso à determinada informação, estabelecendo proteção de acordo com o grau de sigilo conferido a ela. 1,5 / 1,5 ptsPergunta 3 Com o advento da computação, o uso de sistemas computacionais pelo ser humano passou a ser massivo, inclusive com a adoção desses sistemas em diferentes organizações. Desse ponto em diante, informações cruciais produzidas pelas empresas passaram a se concentrar em um único lugar e sua segurança tornou-se um problema. Posto isso, qual dos fatores de risco abaixo não é relacionado à computação? Utilização de redes locais e remotas. Abertura comercial da Internet. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 4/11 Maior uso de microcomputadores. Comportamento inadequado em ambientes públicos. Maior uso de laptops. Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1, Comportamento inadequado em ambientes públicos não é relacionado exclusivamente ao mundo da computação. 1,5 / 1,5 ptsPergunta 4 No que compete à Segurança da Informação, executivos e proprietários necessitam ter em mente que a proteção da informação produzida nas organizações é crucial. Não necessariamente precisam ser especialistas em Segurança da Informação, mas ao menos conhecedores de aspectos básicos que envolvam esse tema. Considere os seguintes aspectos: I) É um assunto relacionado à tecnologia da tecnologia apenas. II) Proteger a informação é uma decisão empresarial, porque seu intuito é proteger o negócio da organização como um todo. III) O gasto com a Segurança da Informação deve fazer parte do negócio da organização. IV) As ações de segurança não podem estar alinhadas ao negócio da organização. Quais dessas asserções são verdadeiras? II e IV. II e III. III e IV. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 5/11 I e II. I e IV. Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1, são verdadeiras a asserção II e a asserção III. 1,5 / 1,5 ptsPergunta 5 Mesmo utilizando-se de medidas de prevenção a ataques, uma organização pode ter seus sistemas atacados. Qualquer incidente que porventura tenha resultado na quebra de aspectos de segurança como disponibilidade, integridade e confidencialidade é uma brecha de segurança. Seja de propósito ou de maneira acidental, qualquer uma dessas brechas pode afetar a capacidade de operação de uma organização até inclusive arranhar a sua imagem. Frente ao apresentado, qual das afirmações abaixo é verdadeira? Uso de uma porta dos fundos para acessar recursos (Backdoor) é uma atividade planejada, geralmente usado por profissionais de segurança Ataques de negação de serviço distribuída (Distributed Denial of Service) distribuem em um mesmo sistema malwares em vários componentes internos Espionagem telefônica (Wiretapping) não é uma brecha de segurança porque, hoje em dia, telefone comuns não são mais utilizados em organizações. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 6/11 Uma mudança autorizada na infraestrutura (Change Request) não é uma brecha de segurança porque é uma atividade agendada e planejada Ataques de negação de serviço (Denial of Service) são geralmente impedidos por software antivírus. Segundo o livro de Segurança e Auditoria dos Sistemas de Informação, na unidade 2, tópico 2, uma Change Request ou mudança autorizada na infraestrutura de alguma organização não é reconhecida como uma brecha de segurança por ser uma atividade agendada e planejada. 1,5 / 1,5 ptsPergunta 6 Uma vez conhecidos o alvo dos ataques e quem os pratica, ter o conhecimentoda maneira como esses ataques são realizados pode facilitar a criação de métodos para a prevenção e a defesa desses ataques. Uma das ferramentas utilizadas para ataques é o sniffer. Qual das alternativas abaixo descreve o que é um sniffer? Sniffers atuam disparando ligações para números de telefone, procurando por algum número que responda a sua conexão (geralmente um computador com um modem). 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 7/11 Sniffers são utilizados para identificar quais portas estão vulneráveis a ataques e a invasões não autorizadas dessas máquinas. Por meio desse tipo de ataque, é possível conhecer quais portas estão ativas e ainda saber quais programas estão em execução. Por exemplo: o banco de dados MySQL responde ao usuário na porta 3306. Sniffer é um programa de software que monitora e pode até registrar todo o tráfego de uma rede. As principais informações procuradas pelos crackers são credenciais de acesso, como nomes de usuários, senhas e dados pessoais. Há versões disponíveis em hardware, em software ou em versões com os formatos combinados. É geralmente invisível ao usuário. Sniffers coletam dados e informações sobre pontos fracos que possam existir em um computador ou uma rede. O programa funciona enviando mensagens preparadas para selecionar computadores em específico. Ao responder à mensagem, o computador sinaliza que existe um ponto vulnerável. Sniffer é um programa que registra cada toque executado no teclado em um arquivo de histórico (log). Após o registro, o programa pode enviar a alguém de má índole que fará uso das informações registradas. São instalados em computadores por meio de spywares (software espião). Segundo o livro de Segurança e Auditoria dos Sistemas de Informação, na unidade 2, tópico 1, um sniffer ou farejador é um programa de software que monitora e pode até registrar todo o tráfego de uma rede. As principais informações procuradas pelos crackers são credenciais de acesso, como nomes de usuários, senhas e dados pessoais. Há versões disponíveis em hardware, em software ou em versões com os formatos combinados. É geralmente invisível ao usuário. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 8/11 1,5 / 1,5 ptsPergunta 7 A introdução da tecnologia da informação e da própria Internet trouxe benefícios para todos, tanto para indivíduos quanto para organizações. Além dos benefícios, entretanto, também forneceu meios para que pessoas de má índole utilizassem a tecnologia para fins nocivos. Pessoas desse tipo são conhecidos como piratas virtuais, pois usam seus conhecimentos para violar redes ou sistemas. Sua alcunha veio de um termo em inglês que significa “quebra”. Como são conhecidos esses piratas virtuais? Hackers. Analistas de segurança. Crackers. Drones. Geeks. Segundo o livro de Segurança e Auditoria dos Sistemas de Informação, na unidade 2, tópico 1, o termo utilizado para designar piratas virtuais é cracker. 1,5 / 1,5 ptsPergunta 8 No domínio da Segurança da Informação, os controles de acesso são mecanismos utilizados que permitem a um analista de segurança ou administrador responsável por fazer a gestão da segurança conceder ou restringir o acesso a recursos que exijam proteção. Para a criação de um controle de acesso, é necessário que alguns processos sejam utilizados. Um deles é a definição de como quem possui acesso pode ter a sua identidade confirmada. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 9/11 A esse processo é dado qual nome? Autenticação. Identificação. Autorização. Responsabilização. Digitalização. Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1, o processo que define como quem possui acesso pode ter a sua identidade confirmada é chamado de autenticação. 1,5 / 1,5 ptsPergunta 9 Políticas de controle de acesso são conjuntos de regras que concedem permissão a um determinado grupo de usuários para realizarem um conjunto de ações sobre determinados recursos. Se os usuários não obtiverem permissão, não terão acesso ao recurso de sistema demandado. Você pode utilizar políticas de controle de acesso para minimizar e gerenciar os riscos de segurança. Para estabelecer uma política de segurança, é necessário compreender quatro elementos: I. Usuários: utilizadores do sistema. II. Recursos: atividades que usuários, com a devida permissão, podem realizar sobre os recursos. III. Ações: objetos do sistema que são protegidos e só podem ser acessados por sujeitos com permissão de acesso. IV. Relacionamentos: condições opcionais que existem entre usuários e recursos. Por exemplo, um usuário autorizado pode realizar leitura, escrita ou execução de um recurso. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 10/11 Das descrições dos elementos apresentadas, quais delas efetivamente estão corretas? II, III e IV. I e IV. II e IV. I, II e III. I, III e IV. Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1.2, você pode perceber que a descrição dos elementos Recursos e Ações estão invertidas. 1,5 / 1,5 ptsPergunta 10 Todo e qualquer dispositivo de segurança, incluindo controles de acesso, está sujeito a ameaças que tenham por objetivo superá-lo ou eliminá-lo para a obtenção de recursos protegidos. Uma dessas ameaças é por meio da exploração de falhas de programação em aplicativos, conhecida como estouro de memória. Outra ameaça consiste na instalação de software malicioso por atacantes, de maneira que possam obter controle sobre os sistemas. De acordo com o texto, quais ameaças foram exemplificadas? Reutilizar ou descartar mídia / acesso físico. Interceptação por observação / acessar redes. 02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 11/11 Interceptação eletrônica / acessar redes. Explorar falhas em aplicativos / explorar hardware e software. Explorar hardware e software / contornar a segurança. Pontuação do teste: 15 de 15
Compartilhar