A2_SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

UNIVERSIDADE ANHEMBI MORUMBI 
CURSO: BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO (EAD) 
DISCIPLINA: SEGURANÇA E AUDITORIA DE SISTEMAS 
UNIDADE 2 / ATIVIDADE 2(A2) 
 
 
1. A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec 
(área de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques 
juntamente com o seu número. Isso permite que se observem as tendências dos 
ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de 
ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço 
de contramedidas, como o antivírus, tornou tal ataque menos ineficiente. 
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética: a próxima ameaça à segurança e 
o que fazer. São Paulo: Brasport, 2015. 
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a 
cada ano: 
 
 
 Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-
mails maliciosos. 
 
 
Resposta correta. A alternativa está correta, pois, apesar de ser um ataque 
bem antigo, a ameaça por e-mails trouxe uma abordagem nova, na qual se 
usa todo o poder do PowerShell (comandos de linha de comando para 
automatizar tarefas e processos dentro de sistemas operacionais). Com isso, 
os ataques podem gerar mais prejuízos. 
 
2. Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um 
exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de 
uma instituição financeira. Na avaliação de riscos, independentemente do modelo de 
processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir 
custos e estratégias apropriadas. 
 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa 
que identifique as principais formas de se medir um risco: 
 
 Quantitativa e qualitativa. 
 
Resposta correta. A alternativa está correta, pois, para se medir um risco, 
utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise 
quantitativa, consideram-se números tangíveis, como custos, quantidade de 
acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre 
a probabilidade da ocorrência do risco. 
 
3. No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam 
enganar ou se aproveitar da inocência de suas vítimas. Existem vários casos de 
pessoas que recebem e-mails oferecendo ofertas encantadoras, produtos com preços 
abaixo do mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o 
usuário é levado a uma conta falsa e, sem saber, acaba sendo vítima de um golpe. 
Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na 
Internet: 
 
 Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e 
logo depois desaparecer. 
 
Resposta correta. A alternativa está correta, pois, a cada dia que passa, 
percebemos que os golpes tendem a evoluir, para assim enganar mais gente 
de forma despercebida. Geralmente, os idosos caem bastante em golpes, 
pois confiam na palavra e na história contada. Resta-nos sempre alertá-los e 
termos um pé atrás em relação a qualquer coisa que envolva dinheiro. 
 
4. Com um gerenciamento de risco bem definido em uma organização, com base em 
normas e padrões, é possível identificar e priorizar os principais ativos de uma 
organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito 
comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando 
milhares de requisições. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação. São Paulo: LTC, 2014. 
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que 
visa sobrecarregar algum serviço enviando milhares de requisições: 
 
� Negação de serviço (DoS – Denial of Service). 
 
Resposta correta. A alternativa está correta, pois a negação de serviço visa 
indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, 
é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não 
será viável operá-lo. Existe uma variante dele, que é a negação de serviço 
distribuída. A sua diferença é que, com esse ataque, usam-se milhares de 
computadores sequestrados. 
 
 
5. Existe também um tipo de ataque que visa divulgar produtos por e-mail. 
Diariamente, recebemos alguns desses tipos de mensagens, os quais apresentam 
títulos interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 
2018, 55% de todos os e-mails foram considerados desse tipo de ameaça. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação. São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
� Spam. 
 
Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um 
tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio 
de seus conteúdos interessantes, as vítimas se sentem atraídas e acabam 
clicando em algum link e comprando algum produto falso, caindo em golpes 
bem elaborados. Muitos exemplos disso são de produtos que realizam ações 
milagrosas, como queda de cabelo etc. 
 
6. Infelizmente, uma ameaça está presente em todas as organizações. Uma das 
opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da 
ameaça e, por meio de um software de monitoramento, é possível saber o momento 
que ela acontece. 
 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo 
principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a 
alternativa que melhor descreva essa outra medida: 
 
� Repressão. 
 
Resposta correta. A alternativa está correta, pois a medida de repressão é 
executada quando uma ameaça é detectada e deve-se resolver/reduzir os 
danos causados pelo incidente. Se houve a detecção de uma invasão a uma 
rede da organização, deve-se o mais rápido possível realizar medidas de 
repressão para reduzir o dano causado. Com essa medida, pode-se apenas 
invadir, mas, com ações adequadas, pode-se bloquear o agente causador 
antes de obter qualquer informação. 
 
7. Uma variante do ataque de negação de serviço é o ataque de negação de serviço 
distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande 
poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não 
intencional no sistema (uma falha) ou uma brecha intencional deixa no 
software (desenvolvedor). 
 
HINTZBERGEN J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
� Portas dos fundos ( backdoor). 
 
Resposta correta. A alternativa está correta, pois esse ataque é o de portas 
dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras 
vezes, esse ataque visa entrar em uma porta (brecha) na qual ninguém está 
acostumado a entrar. Este tipo de brecha pode ser algum caminho criado 
pelo desenvolvedor para manutenção do sistema, por exemplo, um usuário 
administrador e senha 123456. 
 
8. Avaliação de risco é um termo usado para descrever o processo ou método geral 
em que você identifica perigos e fatores de risco com potencial para causar danos. 
Precaver-se de riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se 
precaver, poderíamos obter os riscos de outras organizações e aplicá-las à nossa 
realidade. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de 
informação. São Paulo: LTC, 2014. 
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos 
que uma organização deve considerar: 
 
 Objetivos e estratégias, leis e regras de negócio.Resposta correta. A alternativa está correta, pois, de acordo com o que 
vimos durante nossos estudos, para se conhecer e levantar bem os riscos de 
uma organização deve-se considerar pelo menos os três requisitos básicos, 
que são: estratégia, visão e objetivos; leis/regulamentos; e, por fim, regras 
de negócio/manipulação de dados. 
 
9. Uma avaliação de risco é uma análise completa do seu local de trabalho para 
identificar coisas, situações, processos etc. que podem causar danos, principalmente 
às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade 
do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos 
de acordo com o grau de importância da organização. 
 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de 
gerenciamento de risco: 
 
� Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project 
Management Institute). 
 
Resposta correta. A alternativa está correta, pois, de acordo com o que foi 
visto durante os estudos e baseado na citação do enunciado, as referências 
para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o 
PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se 
gerenciar melhor o risco. 
 
10. Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS - 
Denial of Service). Por meio dele, é possível enviar milhares de requisições 
(solicitação) a um determinado serviço. Um outro tipo de ameaça é a não definição de 
políticas de acesso a recursos internos e uso da Internet. Por exemplo, um usuário 
não pode acessar determinados arquivos contendo informações sigilosas da 
organização, mas lhe é permitido. 
 
HINTZBERGEN J. et al. Fundamentos de segurança da informação, com base na 
ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
� Política de navegação aceitável. 
 
Resposta correta. A alternativa está correta, pois em uma organização 
devem-se definir políticas para indicar quem deve ter acesso a determinados 
tipos de recursos. Isso impossibilita que pessoas não autorizadas tenham 
acesso a arquivos confidenciais dela. Aqui, também se define o que os 
empregados podem acessar na rede, limitando os tipos de sites, por exemplo 
sites pornográficos, que pratiquem pirataria etc.