Avaliacao Online 1_ G FEV SASI 5 - Seguranca e Auditoria de Sistemas de Informacao (1)

Prévia do material em texto

02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 1/11
Avaliação Online 1
Entrega 5 abr em 23:59 Pontos 15 Perguntas 10
Disponível 30 mar em 0:00 - 5 abr em 23:59 7 dias
Limite de tempo 120 Minutos Tentativas permitidas 2
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MANTIDO Tentativa 2 24 minutos 15 de 15
MAIS RECENTE Tentativa 2 24 minutos 15 de 15
Tentativa 1 22 minutos 13,5 de 15
 As respostas corretas estarão disponíveis em 6 abr em 0:00.
Pontuação desta tentativa: 15 de 15
Enviado 2 abr em 19:48
Esta tentativa levou 24 minutos.
Leia com atenção as orientações abaixo antes de iniciar esta prova:
Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota.
Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos
cronometrados (por tentativa) para conclusão e envio das respostas.
Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou
não;
Durante a realização da prova:
Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro
do período da tentativa;
A tentativa somente será contabilizada após clicar no botão “Enviar”.
1,5 / 1,5 ptsPergunta 1
Além da criação de documentos relacionados com a Segurança da
Informação, como todo o conjunto de políticas de segurança de uma
organização, três pontos são necessários para que as políticas ali
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488/history?version=2
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488/history?version=2
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488/history?version=1
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 2/11
definidas possuam eficiência e eficácia ao longo do tempo. Tendo em
vista essa realidade, considere as seguintes asserções:
I) Apoio explícito do nível executivo da organização. Preferencialmente,
a política principal deve ser assinada pelo presidente da organização.
Assim, será visível a todos que a política de segurança é uma decisão
estratégica e possui visibilidade da alta direção da organização. 
II) O que for escrito na política e nos demais regulamentos deve
exprimir a verdade e os valores da cultura da organização. 
III) Ser passível de implementação e de execução pelos usuários.
Deve-se especificar requisitos que não podem ser implementados ou
são impossíveis de serem cumpridos pelos usuários.
São corretas apenas as asserções:
 I e II. 
 I, II e III. 
 I e III. 
 Apenas a I. 
 II e III. 
Conforme visto na unidade 1 do livro Segurança e Auditoria dos
Sistemas de Informação, tópico 2, para possuir eficiência e
eficácia, um dos pontos diz que NÃO se deve especificar
requisitos que não podem ser implementados ou são
impossíveis de serem cumpridos pelos usuários, ao contrário do
que está apresentado na asserção III.
1,5 / 1,5 ptsPergunta 2
No domínio da Segurança da Informação, encontramos conceitos-
chave que servem de base para delinear futuras diretrizes que uma
empresa ou um profissional podem adotar no intuito de se promover a
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 3/11
segurança. Um desses conceitos nos diz que a Segurança da
Informação deve ser capaz de permitir que somente indivíduos
autorizados podem ter acesso à determinada informação,
estabelecendo proteção de acordo com o grau de sigilo conferido a ela.
Essa descrição está relacionada com qual conceito-chave da
Segurança da Informação?
 Complexidade. 
 Legalidade. 
 Integridade. 
 Autenticidade. 
 Confidencialidade. 
Conforme visto na unidade 1 do livro Segurança e Auditoria dos
Sistemas de Informação, tópico 1, a Confidencialidade é o
conceito que diz que somente indivíduos autorizados podem ter
acesso à determinada informação, estabelecendo proteção de
acordo com o grau de sigilo conferido a ela.
1,5 / 1,5 ptsPergunta 3
Com o advento da computação, o uso de sistemas computacionais
pelo ser humano passou a ser massivo, inclusive com a adoção desses
sistemas em diferentes organizações. Desse ponto em diante,
informações cruciais produzidas pelas empresas passaram a se
concentrar em um único lugar e sua segurança tornou-se um problema.
Posto isso, qual dos fatores de risco abaixo não é relacionado à
computação?
 Utilização de redes locais e remotas. 
 Abertura comercial da Internet. 
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 4/11
 Maior uso de microcomputadores. 
 Comportamento inadequado em ambientes públicos. 
 Maior uso de laptops. 
Conforme visto na unidade 1 do livro Segurança e Auditoria dos
Sistemas de Informação, tópico 1, Comportamento inadequado
em ambientes públicos não é relacionado exclusivamente ao
mundo da computação.
1,5 / 1,5 ptsPergunta 4
No que compete à Segurança da Informação, executivos e
proprietários necessitam ter em mente que a proteção da informação
produzida nas organizações é crucial. Não necessariamente precisam
ser especialistas em Segurança da Informação, mas ao menos
conhecedores de aspectos básicos que envolvam esse tema.
Considere os seguintes aspectos:
I) É um assunto relacionado à tecnologia da tecnologia apenas. 
II) Proteger a informação é uma decisão empresarial, porque seu
intuito é proteger o negócio da organização como um todo. 
III) O gasto com a Segurança da Informação deve fazer parte do
negócio da organização. 
IV) As ações de segurança não podem estar alinhadas ao negócio da
organização.
Quais dessas asserções são verdadeiras?
 II e IV. 
 II e III. 
 III e IV. 
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 5/11
 I e II. 
 I e IV. 
Conforme visto na unidade 1 do livro Segurança e Auditoria dos
Sistemas de Informação, tópico 1, são verdadeiras a asserção II
e a asserção III.
 
1,5 / 1,5 ptsPergunta 5
Mesmo utilizando-se de medidas de prevenção a ataques, uma
organização pode ter seus sistemas atacados. Qualquer incidente que
porventura tenha resultado na quebra de aspectos de segurança como
disponibilidade, integridade e confidencialidade é uma brecha de
segurança. Seja de propósito ou de maneira acidental, qualquer uma
dessas brechas pode afetar a capacidade de operação de uma
organização até inclusive arranhar a sua imagem. Frente ao
apresentado, qual das afirmações abaixo é verdadeira?
 
Uso de uma porta dos fundos para acessar recursos (Backdoor) é uma
atividade planejada, geralmente usado por profissionais de segurança
 
Ataques de negação de serviço distribuída (Distributed Denial of
Service) distribuem em um mesmo sistema malwares em vários
componentes internos
 
Espionagem telefônica (Wiretapping) não é uma brecha de segurança
porque, hoje em dia, telefone comuns não são mais utilizados em
organizações.
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 6/11
 
Uma mudança autorizada na infraestrutura (Change Request) não é
uma brecha de segurança porque é uma atividade agendada e
planejada
 
Ataques de negação de serviço (Denial of Service) são geralmente
impedidos por software antivírus.
Segundo o livro de Segurança e Auditoria dos Sistemas de
Informação, na unidade 2, tópico 2, uma Change Request ou
mudança autorizada na infraestrutura de alguma organização
não é reconhecida como uma brecha de segurança por ser uma
atividade agendada e planejada.
1,5 / 1,5 ptsPergunta 6
Uma vez conhecidos o alvo dos ataques e quem os pratica, ter o
conhecimentoda maneira como esses ataques são realizados pode
facilitar a criação de métodos para a prevenção e a defesa desses
ataques. Uma das ferramentas utilizadas para ataques é o sniffer.
Qual das alternativas abaixo descreve o que é um sniffer?
 
Sniffers atuam disparando ligações para números de telefone,
procurando por algum número que responda a sua conexão
(geralmente um computador com um modem).
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 7/11
 
Sniffers são utilizados para identificar quais portas estão vulneráveis a
ataques e a invasões não autorizadas dessas máquinas. Por meio
desse tipo de ataque, é possível conhecer quais portas estão ativas e
ainda saber quais programas estão em execução. Por exemplo: o
banco de dados MySQL responde ao usuário na porta 3306.
 
Sniffer é um programa de software que monitora e pode até registrar
todo o tráfego de uma rede. As principais informações procuradas pelos
crackers são credenciais de acesso, como nomes de usuários, senhas
e dados pessoais. Há versões disponíveis em hardware, em software
ou em versões com os formatos combinados. É geralmente invisível ao
usuário.
 
Sniffers coletam dados e informações sobre pontos fracos que possam
existir em um computador ou uma rede. O programa funciona enviando
mensagens preparadas para selecionar computadores em específico.
Ao responder à mensagem, o computador sinaliza que existe um ponto
vulnerável.
 
Sniffer é um programa que registra cada toque executado no teclado
em um arquivo de histórico (log). Após o registro, o programa pode
enviar a alguém de má índole que fará uso das informações
registradas. São instalados em computadores por meio de spywares
(software espião).
Segundo o livro de Segurança e Auditoria dos Sistemas de
Informação, na unidade 2, tópico 1, um sniffer ou farejador é um
programa de software que monitora e pode até registrar todo o
tráfego de uma rede. As principais informações procuradas
pelos crackers são credenciais de acesso, como nomes de
usuários, senhas e dados pessoais. Há versões disponíveis em
hardware, em software ou em versões com os formatos
combinados. É geralmente invisível ao usuário.
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 8/11
1,5 / 1,5 ptsPergunta 7
A introdução da tecnologia da informação e da própria Internet trouxe
benefícios para todos, tanto para indivíduos quanto para organizações.
Além dos benefícios, entretanto, também forneceu meios para que
pessoas de má índole utilizassem a tecnologia para fins nocivos.
Pessoas desse tipo são conhecidos como piratas virtuais, pois usam
seus conhecimentos para violar redes ou sistemas. Sua alcunha veio
de um termo em inglês que significa “quebra”. 
Como são conhecidos esses piratas virtuais?
 Hackers. 
 Analistas de segurança. 
 Crackers. 
 Drones. 
 Geeks. 
Segundo o livro de Segurança e Auditoria dos Sistemas de
Informação, na unidade 2, tópico 1, o termo utilizado para
designar piratas virtuais é cracker.
1,5 / 1,5 ptsPergunta 8
No domínio da Segurança da Informação, os controles de acesso são
mecanismos utilizados que permitem a um analista de segurança ou
administrador responsável por fazer a gestão da segurança conceder
ou restringir o acesso a recursos que exijam proteção. Para a criação
de um controle de acesso, é necessário que alguns processos sejam
utilizados. Um deles é a definição de como quem possui acesso pode
ter a sua identidade confirmada.
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 9/11
A esse processo é dado qual nome?
 Autenticação. 
 Identificação. 
 Autorização. 
 Responsabilização. 
 Digitalização. 
Segundo o livro Segurança e Auditoria dos Sistemas de
Informação, unidade 3, tópico 1, o processo que define como
quem possui acesso pode ter a sua identidade confirmada é
chamado de autenticação.
1,5 / 1,5 ptsPergunta 9
Políticas de controle de acesso são conjuntos de regras que concedem
permissão a um determinado grupo de usuários para realizarem um
conjunto de ações sobre determinados recursos. Se os usuários não
obtiverem permissão, não terão acesso ao recurso de sistema
demandado. Você pode utilizar políticas de controle de acesso para
minimizar e gerenciar os riscos de segurança. Para estabelecer uma
política de segurança, é necessário compreender quatro elementos:
I. Usuários: utilizadores do sistema. 
II. Recursos: atividades que usuários, com a devida permissão, podem
realizar sobre os recursos. 
III. Ações: objetos do sistema que são protegidos e só podem ser
acessados por sujeitos com permissão de acesso. 
IV. Relacionamentos: condições opcionais que existem entre usuários
e recursos. Por exemplo, um usuário autorizado pode realizar leitura,
escrita ou execução de um recurso.
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 10/11
 
Das descrições dos elementos apresentadas, quais delas efetivamente
estão corretas?
 II, III e IV. 
 I e IV. 
 II e IV. 
 I, II e III. 
 I, III e IV. 
Segundo o livro Segurança e Auditoria dos Sistemas de
Informação, unidade 3, tópico 1.2, você pode perceber que a
descrição dos elementos Recursos e Ações estão invertidas.
1,5 / 1,5 ptsPergunta 10
Todo e qualquer dispositivo de segurança, incluindo controles de
acesso, está sujeito a ameaças que tenham por objetivo superá-lo ou
eliminá-lo para a obtenção de recursos protegidos. Uma dessas
ameaças é por meio da exploração de falhas de programação em
aplicativos, conhecida como estouro de memória. Outra ameaça
consiste na instalação de software malicioso por atacantes, de maneira
que possam obter controle sobre os sistemas.
De acordo com o texto, quais ameaças foram exemplificadas?
 Reutilizar ou descartar mídia / acesso físico. 
 Interceptação por observação / acessar redes. 
02/04/2021 Avaliação Online 1: G.FEV.SASI.5 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/11081/quizzes/23488 11/11
 Interceptação eletrônica / acessar redes. 
 Explorar falhas em aplicativos / explorar hardware e software. 
 Explorar hardware e software / contornar a segurança. 
Pontuação do teste: 15 de 15