Prova de Segurança e Auditoria de Sistemas

Prévia do material em texto

Acesse http://viniciusmanoel.ml/notion para mais conteúdo! 
 
# Todas as questões estão corretas! 
 
## Questão 1 
Com o crescimento da internet e o uso de dispositivos móveis nas empresas 
é inevitável a ocorrência de problemas de segurança, é preciso muito 
planejamento e muito trabalho da equipe de TI para ligar com tudo isso. É 
importante criar normas rígidas e principalmente treinar toda a equipe 
interna e externa. 
 
 
A NBR ISO/IEC 27005 define risco como a combinação das consequências 
advindas da ocorrência de um determinado evento indesejado com a 
probabilidade de ocorrência desse mesmo evento. A análise e a avaliação 
de riscos capacitam os gestores a priorizar os riscos. De acordo com essa 
norma, a atividade de análise de riscos inclui: 
 
> - [x] a identificação e a estimativa de riscos. 
 
## Questão 2 
A Criptografia tem como definição que é a arte de escrever ou resolver 
códigos. A criptografia deriva de duas palavras gregas: kryptos, que 
significa oculto, e graphien, que significa escrever. Seu objetivo não é 
esconder a existência da mensagem, mas sim de apenas ocultar o seu 
significado. 
 
Ano: 2018 Banca: FCC Órgão: SEFAZ-SC Prova: FCC - 2018 - SEFAZ-SC - 
Auditor-Fiscal da Receita Estadual - Tecnologia da Informação (Prova 3) 
 
A Assinatura Digital tem como objetivo principal garantir que o documento 
recebido é o mesmo que o remetente enviou, que não foi alterado durante o 
transporte e que o emissor não poderá negar que assinou e enviou tal 
documento. No processo da Assinatura Digital, após a geração do hash 
sobre o documento original, é aplicada, sobre esse hash, a criptografia 
utilizando a chave: 
 
> - [x] privada do emissor. 
 
## Questão 3 
O objetivo e o escopo da auditoria podem estar relacionados com a 
conformidade com normas, padrões, frameworks, leis e requisitos de 
negócios. 
 
Analise as técnicas e ferramentas que envolvem interação com pessoas, 
então assinale o que preenche corretamente a lacuna (BENETON, 2017) 
(ISACA, 2016) (ISACA, 2017) (KAMAL, 2020) (LIMA, 2020): 
 
______________ são reuniões com profissionais de áreas-chave para a 
auditoria. 
 
> - [x] Entrevistas 
 
## Questão 4 
A auditoria requer que o auditor busque evidências, avalie as forças e 
fraquezas de controles internos com base nas evidências coletadas, e 
prepare um relatório de auditoria que apresenta as fraquezas e 
http://viniciusmanoel.ml/notion
 
recomendações para a remediação de uma forma objetiva para os atores 
envolvidos (ISACA, 2016). 
 
Considerando as principais fases de um processo de auditoria, analise as 
afirmativas e assinale a alternativa correta: 
 
I.Planejamento 
 
II. Trabalho em campo 
 
III. Relatórios 
 
Estão corretas as afirmativas: 
 
> - [x] I, II e III 
 
## Questão 5 
O avanço dos ataques cibernéticos, que vitimam indivíduos, empresas e 
países, é motivado por uma série de fatores que tornam ainda mais 
desafiador o trabalho do profissional de segurança da informação. 
 
 
Banca:FUNRIO Órgão:MPOG Prova:Analista de Tecnologia da 
Informaçãohttps://www.qconcursos.com/questoes-de-
concursos/disciplinas/tecnologia-da-informacao-seguranca-da-
informacao/ataques-e-ameacas 
 
O que significa o tipo de ataque de DoS conhecido por "Inundação na 
conexão" ? 
 
> - [x] O atacante executa um grande número de conexões TCP abertas ou 
semiabertas em um alvo, tornando-o incapaz de responder a conexões 
legítimas. 
 
## Questão 6 
Você já está ciente de alguns dos riscos relacionados ao uso de 
computadores e da Internet e que, apesar disso, reconhece que não é 
possível deixar de usar estes recursos, está no momento de aprender 
detalhadamente a se proteger. No seu dia a dia, há cuidados que você 
toma, muitas vezes de forma instintiva, para detectar e evitar riscos. 
Por exemplo: o contato pessoal e a apresentação de documentos 
possibilitam que você confirme a identidade de alguém, a presença na 
agência do seu banco garante que há um relacionamento com ele, os 
Cartórios podem reconhecer a veracidade da assinatura de alguém, etc. 
 
E como fazer isto na Internet, onde as ações são realizadas sem contato 
pessoal e por um meio de comunicação que, em princípio, é considerado 
inseguro? 
 
https://cartilha.cert.br/mecanismos/ Acesso 14 mar 2021 
 
Possuímos alguns recursos para minimizar os ataques temos medidas de 
segurança assinale a alternativa INCORRETA: 
 
> - [x] Ausência de política de segurança e auditoria 
 
## Questão 7 
 
Assinale a alternativa correta que identifica a principal diferença entre 
os protocolos de internet HTTP e o HTTPS. 
 
> - [x] O protocolo HTTPS criptografa a sessão utilizando recursos de um 
certificado digital. 
 
## Questão 8 
Há diversas alternativas e elas refletem diretamente em como a segurança 
e privacidade deve ser tratada por sua empresa, principalmente quanto às 
responsabilidades. 
 
________________________que realiza os testes de segurança de uma forma 
interativada um teste de segurança conhecido como, combinando os testes 
estáticos e dinâmicos. 
 
O que preenche corretamente a coluna é: 
 
> - [x] IAST ou Forma interativa 
 
## Questão 9 
Os testes de penetração ou pentests, são também conhecidos como testes de 
intrusão e ethical hacking, e são realizados a partir do ambiente 
externo. 
 
O teste de ________________________ é o teste em que alguma informação é 
provida para o profissional, como uma credencial de acesso, enquanto 
outras informações têm que ser descobertas. 
 
> - [x] Gray-Box. 
 
## Questão 10 
Segurança da informação só é possível se todos da organização seguirem os 
mesmos princípios e realizarem suas tarefas do dia a dia com base em 
preocupações comuns de manutenção das propriedades da segurança da 
informação. 
 
 
De um modo geral, a manutenção da segurança dos ativos de informação deve 
cuidar da preservação da: 
 
> - [x] confidencialidade, integridade e disponibilidade. 
 
## Questão 11 
Em desenvolvimento de software seguro, para maior proteção dos acessos, é 
conveniente que o procedimento de log-on divulgue o mínimo de informações 
sobre o sistema, não fornecendo, assim, informações detalhadas a um 
usuário não autorizado. 
 
A partir do contexto apresentado, analise as afirmativas I, II e III e 
assinale a alternativa que identifica de forma correta, procedimentos 
para um log-on eficiente: 
 
I - Não ocultar senhas que estão sendo digitadas. 
 
II - Não transmitir senhas com textos claros. 
 
 
III - Mostrar um aviso de que a aplicação só pode ser acessada por 
pessoas autorizadas. 
 
> - [x] Somente as afirmativas II e III estão corretas. 
 
## Questão 12 
O objetivo e o escopo da auditoria podem estar relacionados com a 
conformidade com normas, padrões, frameworks, leis e requisitos de 
negócios. 
 
Analise as técnicas e ferramentas que envolvem interação com pessoas, 
então assinale o que preenche corretamente a lacuna (BENETON, 2017) 
(ISACA, 2016) (ISACA, 2017) (KAMAL, 2020) (LIMA, 2020): 
 
 
________________________formulários a serem respondidos pelos 
profissionais de áreas-chave. 
 
> - [x] Questionários 
 
## Questão 13 
O avanço dos ataques cibernéticos, que vitimam indivíduos, empresas e 
países, é motivado por uma série de fatores que tornam ainda mais 
desafiador o trabalho do profissional de segurança da informação. 
 
 
Ano: 2019 Banca: UFGD Órgão: UFGD 
 
Uma séria ameaça a lojas virtuais, serviços de armazenamento de arquivos 
na nuvem, serviços de e-mail, provedores de Internet, dentre outros, é um 
tipo de ataque que visa a impedir usuários legítimos de acessarem 
determinado serviço. Esse tipo de ataque torna os sistemas de computador 
inacessíveis, inundando servidores, redes e inclusive sistemas de usuário 
final com tráfego basicamente inútil, provindos de um ou diferentes hosts 
contaminados reunidos para esse fim, causando indisponibilidade do alvo, 
fazendo com que os usuários reais não consigam acessar o recurso 
pretendido. Essa ameaça é conhecida como: 
 
> - [x] negação de serviço (DoS e DDoS). 
 
## Questão 14 
A forma de executara auditoria é importante, com o uso das técnicas e 
ferramentas mais adequadas para cada objetivo. 
 
O ___________________da ISACA é um framework de auditoria de TI que 
define padrões para as auditorias de TI relacionadas aos papéis e 
responsabilidades, ética, comportamento esperado e conhecimento e 
qualificação requeridas, além de termos e conceitos específicos ao 
assunto. 
 
O que completa corretamente a definição é: 
 
> - [x] ITAF 
 
## Questão 15 
 
Os controles têm objetivos diversos, como para o processo de aquisição, 
desenvolvimento e manutenção de sistemas, ou para o controle de acesso 
lógico e físico. 
 
Quando nos referimos esses controles, o que completa corretamente a 
lacuna é: 
 
Os controles _______________________ tem como exemplo firewall e VPN. 
 
> - [x] Tecnológicos 
 
## Questão 16 
Um ataque só acontece porque vulnerabilidades são exploradas pelos 
atacantes. Temos que eliminar todos os pontos fracos de nosso ambiente, 
em todos os níveis. 
 
Analise as afirmativas dentre as principais vulnerabilidades que devem 
ser evitadas, e assinale a alternativa correta: 
 
I. Falhas de Injeção 
 
II. Autenticação quebrada 
 
III. Exposição de dados sensíveis 
 
Estão corretas as afirmativas: 
 
> - [x] I, II e III