Prévia do material em texto
ATIVIDADE AVALIATIVA 4 - SEGURANÇA DA INFORMAÇÃO QUESTÃO 1 DE 10 Quando se trata da segurança da informação, devemos pensar, além da segurança lógica dos arquivos e dos servidores onde os mesmos se encontram, na segurança física das instalações, de modo a garantir o funcionamento contínuo dos recursos computacionais aos usuários. Pensando nisso, a empresa MATRIX COMP montou um novo Data Center para atender a demanda de processamento / armazenamento de arquivos de seus funcionários e clientes, totalizando uma média de 500 pessoas acessando informações diariamente, com picos de acesso pela manhã e após o almoço. Seguem algumas características físicas desse DATA CENTER: Considerando-se as características em anexo, quais delas são inadequadas quando se trata da segurança física em um ambiente computacional e devem ser melhoradas pela MATRIX COMP? ● II e III ● I e IV Correto ● III e IV ● I, II, III e IV ● I e II QUESTÃO 2 DE 10 João Roberto, analista de segurança de um grande banco, estava em meio a um almoço com sua namorada Helena quando recebeu uma ligação da empresa falando a respeito de um problema no Data Center, que ele teria que resolver por estar de plantão. Assim, João foi para a empresa lidar com a situação, mas levou Helena junto e autorizou sua entrada no prédio da empresa. Ao entrar no Data Center, João teve que apresentar sua impressão digital para abrir a porta, e permitiu que Helena entrasse no ambiente com ele (não gerando registro do acesso dela no ambiente). Enquanto tentava resolver o problema, para que Helena não ficasse ociosa, ele fez login em uma máquina e permitiu que ela usasse a mesma para passar o tempo. Assim, Helena teve acesso a todos os arquivos da máquina e também dos ambientes de rede aos quais João tem acesso. Essa situação se manteve assim por 4 horas seguidas, tempo que João levou para resolver o problema e poder ir embora. Podemos identificar, nessa situação, várias violações de segurança, que estão listadas abaixo. Qual das opções abaixo não foi violada nesse cenário? ● Acesso físico não autorizado ● Quebra de confidencialidade, com terceiros acessando as informações restritas ● Disponibilização de usuário e senha para usuário não válido ● Indisponibilidade do site da empresa por causa de terceiros Correto ● Acesso lógico não autorizado QUESTÃO 3 DE 10 Um dos principais instrumentos que estão sendo utilizado hoje em dia para poder segregar o acesso de pessoas a lugares classificados com de acesso restrito é a Biometria. Qual das técnicas abaixo NÃO é considerada um controle biométrico? ● Timbre de voz. ● Reconhecimento facial; ● Impressão digital; ● Leitura da íris; ● Token; Correto QUESTÃO 4 DE 10 Pensando em segurança da informação, analise as afirmações a seguir e assinale a alternativa que apresenta a sequência correta de VERDADEIRO (V) e FALSO (F). I. Pessoas são o maior problema quando se trata de segurança da informação. II. Usamos sistemas de RAID para ter uma cópia de segurança das informações da empresa. III. Só devemos aceitar um risco se os custos de controle forem maior que os prejuízos. IV. Devemos classificar as informações para que seja mais fácil encontrar as mesmas nos servidores. ● F / V / V / F ● V / V / F / F ● V / F / V / F Correto ● V / V / V / V ● F / V / F / V QUESTÃO 5 DE 10 Uma estratégia muito usada como contingência, principalmente nas grandes empresas, são os sites alternativos, que quando existentes devem estar contidos no plano de continuidade dos negócios. Esses sites alternativos são, muitas vezes, caríssimos, mas muito importantes para certas áreas de negócio. Esses locais são considerados de grande importância no caso de indisponibilidade do ambiente de processamento da empresa. A MouseSoft.INC empresa de pequeno porte que atua no ramo de seguros de dispositivos móveis, como smartphones e tablets, e atua todos os dias da semana, incluindo sábados, domingos e feriados, das 8h às 23h. A MouseSoft, preocupada em estar sempre pronta a atender seus clientes mesmo em momentos de panes, decidiu ter um site de contingência para situações emergenciais, mas devido a suas limitações econômicas optou por manter um ambiente apenas com os suprimentos e a infraestrutura mais básica possível para se colocar os servidores e sistemas em operação, não tendo nesse local equipamentos de TI. Que tipo de site de contingência a empresa MouseSoft deve montar e manter para atender sua necessidade? ● Snow site. ● Warm site. ● Cold site. Correto ● Web site. ● Hot site. QUESTÃO 6 DE 10 Crise é o momento em que ocorre qualquer incidente que venha a comprometer a operação normal da empresa, o momento do desastre. No momento em que esta é percebida pelos gestores ou representantes da corporação, é acionado qual plano? ● Plano de Recuperação de Desastres para recuperar o hardware / software; ● Plano de Contingência, como resposta ao incidente / desastre identificado na crise; Correto ● Empresas fabricantes do software / hardware, de acordo com o SLA previsto em contrato; ● Pessoal tático e operacional para garantir a funcionalidade dos equipamentos. ● Companhia seguradora dos ativos da empresa; QUESTÃO 7 DE 10 A segurança lógica é invisível aos olhos, ou seja, não é uma atitude que é “instalada” e “vista” pelos usuários em geral, mas é um conceito que deve estar presente em toda e qualquer empresa, pois atualmente as informações estão e são processadas nos ambientes computacionais. A ideia da segurança lógica procura colocar controles intangíveis e que façam o ambiente ficar com um nível de segurança aceitável, evitando a perda do CID (confidencialidade, integridade e disponibilidade). Se pensarmos em um banco, uma das áreas que tem maior preocupação com a segurança da informação, devido aos problemas tão frequentes de fraudes financeiras, certamente é preciso implementar TODOS os passos da segurança lógica, principalmente quando se trata de internet banking. Analise as opções abaixo e identifique quais são os passos da segurança lógica que devem ser implementados para uma maior segurança nesse caso. ● Confidencialidade através da digitação da agência e conta do cliente, auditoria através do monitoramento por acesso remoto de tudo que o cliente faz e autenticidade através dos permissionamentos desse cliente. ● Autenticidade através da digitação da agência e conta do cliente, legalidade através do permissionamento que o cliente tem e autorização do cliente por escrito para acesso via internet banking. ● Identificação através da digitação da agência e conta do cliente com a digitação da senha, integração de todas as áreas do internet banking, disponibilidade de todas as áreas do internet banking para o cliente indiscriminadamente e legalidade através dos logs gerados. ● Identificação através da digitação da agência e conta do cliente, autenticação através da senha do cliente, autorização através dos permissionamentos que o cliente possui e auditoria através dos logs gerados pelo sistema e armazenados. Correto ● Confidencialidade através da geração de logs do que o cliente faz, integridade através da digitação da agência e conta do cliente, disponibilidade através das medidas de contingência do data Center do banco, autenticidade através da senha do cliente e legalidade devido as leis que o cliente deve seguir, que são definidas pelo Banco Central. QUESTÃO 8 DE 10 Depois de uma auditoria externa, uma empresa financeira recebeu um levantamento com um laudo informando que eles não possuem qualquer rotina de backup, e que isso é uma grande preocupação, pois a empresa pode ficar sem qualquer informação em caso de uma situação crítica e desastrosa. Com isso, o diretor de TI solicitou ao administrador de segurança da informação que ele levantasse tudo que fosse necessário e pertinente ao backup, para que providências sejam tomadas. As seguintes decisões foram tomadas: As mídias de backup devem ser mantidas em local físico distante da localidade de armazenamento dos dados originais; Não é necessário fazer backups dearquivos de configuração e logs pois eles não têm nenhuma importância em um caso de desastre; Os backups não precisam ser verificados após a sua geração porque as ferramentas de backup possuem mecanismos imunes a falhas e são totalmente confiáveis; O local onde são guardados os backups deve ter acesso restrito e ser protegido contra agentes nocivos naturais (poeira, calor, umidade, dentre outros). Dessas decisões, levando em consideração a segurança da informação e a continuidade do negócio, quais delas estão corretas? ● Apenas as afirmações 1, 2 e 3 ● Apenas as afirmações 1 e 4 Correto ● Apenas as afirmações 2 e 3 ● Apenas as afirmações 3 e 4 ● Apenas as afirmações 1 e 3 QUESTÃO 9 DE 10 “Normalmente tratam-se de histórias falsas recebidas por e-mail, sites de relacionamentos e na Internet em geral, cujo conteúdo, além das conhecidas "correntes", consiste em apelos dramáticos de cunho sentimental ou religioso; difamação de pessoas e empresas, supostas campanhas filantrópicas, humanitárias, ou de socorro pessoal; ou, ainda, avisos sobre falsos vírus cibernéticos que ameaçam contaminar ou formatar o disco rígido do computador”. Esse texto se refere a um item malicioso denominado de: ● Adware ● Trojan ● Worm ● Backdoor ● Hoax Correto