NOTA 6 DE 6 - AO2 - Estratégias, Governança e Ferramentas para Segurança

Prévia do material em texto

AO2 (DP/ADAP Março) 
Iniciado: 17 mar em 14:07 
Instruções do teste 
Importante: 
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que 
você clique em "FAZER O QUESTIONÁRIO", no final da página. 
 
Sinalizar pergunta: Pergunta 1 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
Pergunta 10,6 pts 
Leia o texto a seguir: 
Auditoria de sistemas pode detectar problemas em: 
> Fraudes em e-mail; 
> Uso inadequado de hardwares; 
> Fraudes, erros e acidentes; 
> Vazamento de informações; 
> Falta de segurança física (acessos indevidos); 
(...) 
Auditoria em Segurança da Informação: Métodos de autenticação, autorização, 
criptografia, gestão de certificados digitais, segurança de redes, gestão dos usuários, 
configuração de antivírus, atualizações, políticas, normas, manuais operacionais. 
Auditoria de Segurança Física: Avaliação de localidades e riscos ambientais: vidas (capital 
intelectual), furto/roubo, acesso, umidade, temperatura, acidentes, desastres, etc. e as 
proteções: perímetros de segurança, câmeras, sensores, guardas, dispositivos, proteções 
do ambiente. 
Fonte: Auditoria de Sistemas. USP. Disponível em: 
https://edisciplinas.usp.br/mod/resource/view.php?id=1720811. Acesso em: 05 de maio de 2020. 
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre 
elas. 
I - A Auditoria de TI é necessária por uma questão de governança de TI, e assim ter-se 
transparência nos processos e controles. 
PORQUE 
II - A Auditoria de TI em algumas organizações é necessária devida a regulamentação do 
setor ou de onde negociam, como a Lei SOX (Sarbanes-Oxley). 
A respeito dessas asserções, assinale a opção correta: 
Grupo de escolhas da pergunta 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
 
As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
 
Sinalizar pergunta: Pergunta 2 
Pergunta 20,6 pts 
Leia o texto a seguir: 
A ISO 27001 foi elaborada com o intuito de viabilizar um modelo para SGSI – Sistema de 
Gestão de Segurança da Informação. Para isso, a norma padroniza questões de 
implantação, operação, monitoramento, análise, manutenção e melhoria da segurança. 
Assim como acontece com outros padrões ISO, a norma combina as melhores práticas do 
segmento e permite certificação. 
No caso específico da ISO 27001, a certificação garante que a empresa implementou um 
sistema para gerência da segurança da informação, sendo um selo de credibilidade. 
Portanto, a certificação confere confiança à empresa e também parceiros, clientes e 
auditores. Com abrangência e validade internacional, a 1ª versão da ISO 27001, de 2005, 
foi desenvolvida com base na Norma Britânica BS 7799-2. A versão mais recente foi 
publicada em 2013, e seu título completo é ISO/IEC 27001:2013. 
A implementação da ISO 27001 pode ser realizada em qualquer organização – pública ou 
privada -, de qualquer segmento e independente do tamanho. A metodologia pode ser 
aplicada na gestão da segurança e como procedimento para certificação. Como o foco é 
proteger a confidencialidade, integridade e disponibilidade da informação, a ISO 27001 
tem relevância indiscutível. Afinal, cada vez mais, informação é um ativo de extremo 
valor para as empresas, fazendo com que a segurança seja uma necessidade crítica. 
Fonte: CORDEIRO, H. Segurança da Informação e ISO 27001. Disponível em: 
https://blog.daryus.com.br/seguranca-da-informacao-e-iso-27001/. Acesso em: 05 de maio de 2020. 
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre 
elas. 
I - A ISO 27001 descreve os requisitos a serem atendidos por uma organização visando 
estabelecer, implementar, manter e melhorar continuamente a SI. 
 PORQUE 
II - A ISO 27001 atende os princípios da CID (confidencialidade, integridade e 
disponibilidade). 
A respeito dessas asserções, assinale a opção correta: 
Grupo de escolhas da pergunta 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
 
As asserções I e II são proposições falsas. 
 
Sinalizar pergunta: Pergunta 3 
Pergunta 30,6 pts 
Leia o texto a seguir: 
Basicamente existem dois tipos de Cloud no mercado: Cloud Público (nuvem pública) e 
Cloud Privado (nuvem privada). 
A maioria das empresas se encaixa no modelo de nuvem Pública, comumente oferecida 
por gigantes do mercado como Google e Amazon, onde os serviços são alocados em um 
mesmo ambiente comum entre todos os clientes. Existem camadas básicas de segurança, 
mas todos os dados encontram-se em uma rede pública e visível na Internet. Por 
exemplo, se você possuir um servidor Cloud Público na Amazon, compartilhará recursos 
da nuvem com outros milhares de clientes, além de não haver uma estrutura de 
segurança, segmentos de rede e recursos destinados apenas ao seu Cloud. 
Mas existem empresas e negócios que dependem diretamente da exclusividade de 
recursos, e sobretudo, de segurança. Imagine uma instituição financeira que tome a 
decisão por alocar sua infraestrutura na nuvem. Qual escolher? A resposta é: Cloud 
Privado. E é isto mesmo, seu perfil obriga que haja uma nuvem computacional 
totalmente isolada às suas necessidades. 
Fonte: FERNANDES, M. Private Cloud: A elasticidade e a segurança da nuvem privada. TI especialistas. 
22/06/2011. Disponível em: https://www.tiespecialistas.com.br/private-cloud-a-elasticidade-e-a-
seguranca-da-nuvem-privada/. Acesso em: 05 abr. 2020. 
Qual das opções a seguir descreve a correta relação nos contratos entre o 
cliente/contratante e o provedor/fornecedor de serviço em nuvem (cloud), os chamados 
ANSs (Acordos de Nível de Serviço) ou SLAs (Service Level Agreement) que estará 
definido no Cloud Privado contextualizado acima? 
Grupo de escolhas da pergunta 
 
ANSs são exigências exclusivas dos provedores de serviços quanto a detalhes 
administrativos de execução dos contratos firmados. 
 
ANSs reúnem a descrição de todas as características do serviço a ser prestado que não 
podem ser objetivamente medidas. 
 
ANSs descrevem características técnicas do contrato de serviços prestados que são 
passíveis de medir e controlar objetivamente. 
 
ANSs são detalhes administrativos sobre como o cliente deve se comportar em relação 
ao provedor de serviço. 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
 
ANSs são descrições de detalhes jurídicos que devem ser incluídos no corpo dos 
contratos de prestação de serviços. 
 
Sinalizar pergunta: Pergunta 4 
Pergunta 40,6 pts 
Leia o texto a seguir: 
Um programa de segurança da informação efetivo consiste em um conjunto abrangente 
de políticas e procedimentos, base para qualquer programa de proteção de dados. 
(...) 
Computadores e outros dispositivos digitais são essenciais para as empresas, gerando 
benefícios inumeráveis, mas também abrindo as portas para ameaças virtuais. 
Nesse contexto, é necessário criar proteção contra ataques, começando por um bom 
planejamento de segurança da informação 
(...) 
Construir um programa de segurança da informação significa projetar e implementar 
práticas de segurança que protejam processos críticos e ativos de TI e que possam 
amadurecer com o tempo. Esse programa ajudará a definir políticas e procedimentos 
para avaliar riscos, monitorar ameaças e mitigar ataques. 
Fonte: COMPUGRAF. Segurança da Informação minimiza riscos e preserva dados organizacionais. 
Disponível em: https://www.compugraf.com.br/seguranca-da-informacao-minimiza-riscos-e-preserva-dados-organizacionais/. Acesso em: 05 de maio de 2020. Adaptado. 
As ameaças no ambiente de TI têm crescido na medida em que o uso de tecnologia 
aumenta, e podem gerar prejuízos enormes para uma operação. 
Sabemos que todas as organizações precisam de uma política de segurança da 
informação, que deve ser seguida e executada pelos usuários, para mitigar os riscos 
gerados por essas ameaças. 
Considerando as informações apresentadas, avalie as afirmações a seguir: 
I - Ameaças normalmente não podem ser controladas. 
II - Ameaças normalmente aproveitam algum tipo de falha de segurança nos sistemas ou 
na rede de computadores. 
III - Ameaças são sempre facilmente reconhecidas. 
É correto o que se afirma em: 
Grupo de escolhas da pergunta 
 
I apenas 
 
III, apenas 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
 
I, II e III 
 
II e III, apenas 
 
I e II, apenas 
 
Sinalizar pergunta: Pergunta 5 
Pergunta 50,6 pts 
Leia o texto a seguir: 
Simple Network Management Protocol é um dos protocolos mais utilizados para auxiliar 
na gerência de redes e protocolo base do SLAview. Primordialmente neste artigo, 
apresentaremos uma breve introdução ao protocolo SNMP. O protocolo simples de 
gerência de rede (SNMP da siga em Inglês) teve sua origem na RFC 1067 em 1988. 
Conforme necessidades tecnológicas, evoluiu em segurança e performance por algumas 
versões, estando atualmente na versão 3. É um protocolo da camada de aplicação 
(camada sete do modelo OSI) que utiliza usualmente a porta 161 do protocolo de 
transporte UDP. 
Vantagens do Simple Network Management Protocol 
A vantagem de ser um protocolo de camada sete reside no fato da abstração das outras 
camadas da rede. (...) 
Como pôde ser verificado, o SNMP é um protocolo robusto e bem definido. 
Características essas que permitiram a sua larga aceitação por parte dos fabricantes e 
dos gestores da rede. Com uma gerência de redes através deste protocolo é possível 
agilizar a tomada de decisões e antecipar problemas. 
Fonte: O que é SNMP? TELCOMANAGER. Disponível em: 
https://www.telcomanager.com/o-que-e-snmp/. Acesso em: 05 de maio de 2020. 
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre 
elas. 
I - O protocolo SNMP consome poucos recursos da rede e de processamento. 
PORQUE 
II - O protocolo SNMP ajuda a localizar eventuais problemas e falhas na rede de 
computadores. 
A respeito dessas asserções, assinale a opção correta: 
Grupo de escolhas da pergunta 
 
As asserções I e II são proposições falsas. 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
 
Sinalizar pergunta: Pergunta 6 
Pergunta 60,6 pts 
Leia o texto a seguir: 
Por que ter um Plano de Continuidade de Negócios na TI? 
A TI é uma área fundamental dentro das empresas. Por isso, é muito importante saber 
quais processos de TI são essenciais e precisam estar funcionando mesmo em caso de 
problemas graves. 
É aí que entra o Plano de Continuidade de Negócios de TI, que garante que os serviços 
estejam no ar durante a maior parte do tempo possível e que os problemas sejam 
resolvidos no menor tempo possível. 
Como elaborar um Plano de Continuidade de Negócios para a TI? 
Um Plano de Continuidade de Negócios deve conter quando e como o PCN pode ser 
ativado, as pessoas responsáveis por ativá-lo, o procedimento que essa pessoa deve 
adotar ao tomar a decisão e muitas outras coisas! 
 
Fonte: CORREA, R. [Webinar] Plano de Continuidade de Negócios na TI. EUAX. Disponível em: 
https://www.euax.com.br/c/plano-de-continuidade-de-negocios-na-ti/. Acesso em: 05 de maio de 2020. 
Considerando as informações apresentadas, avalie as afirmações a seguir: 
I - O PCN deve ser criado por especialistas, mas testado por equipes multidisciplinares 
periodicamente. 
II - O PCN também segue a linha de melhoria contínua para seu desenvolvimento. 
III - Por ser um documento bem conhecido, o PCN já é um modelo pronto. 
É correto o que se afirma em: 
Grupo de escolhas da pergunta 
 
II e III, apenas. 
 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
I, II e III. 
 
I e II, apenas. 
 
I, apenas. 
 
III, apenas. 
 
Sinalizar pergunta: Pergunta 7 
Pergunta 70,6 pts 
Leia o texto a seguir: 
As etapas de um pentest são fases de preparação, planejamento e execução. Antes de 
iniciar um pentest, é necessário que o cliente esteja a par de todo o processo para que 
não haja nenhuma falha de comunicação entre as partes. É necessário conhecer os 
objetivos do negócio do cliente no que diz respeito ao teste de invasão: se esse é o 
primeiro teste de invasão, o que o levou a procurar esse serviço? Quais as exposições 
que ele mais teme? Existe algum dispositivo frágil com o qual deveremos ter cuidado ao 
efetuar os testes? 
1. Preparação 
Nessa fase é necessário decidir o escopo do teste de invasão: quais endereços de IP 
serão incluídos nos testes e quais não serão, quais tipos de ações o cliente permitirá que 
sejam realizados durante o teste, permissões para desativar potencialmente determinado 
serviço, limitar a avaliação a simplesmente uma análise de vulnerabilidades, etc. O cliente 
pode solicitar que os testes sejam realizados somente em determinados dias e durante 
horários específicos. 
Fonte: AUZAC. Etapas de um Pentest. Disponível em: http://www.auzac.com.br/testes-de-
invasao/etapas-de-um-pentest/. Acesso em: 05 de maio de 2020. 
Considerando as informações apresentadas, avalie as afirmações a seguir: 
I - No Pentest, planeja-se o teste de todos os componentes da rede, com as mesmas 
técnicas dos atacantes, verificando possíveis falhas e portas abertas. 
II - No Pentest, planeja-se o teste da segurança lógica da rede da organização 
vislumbrando as vulnerabilidades. 
III - No Pentest, dependendo do tipo de teste a ser aplicado o planejamento inicial entre 
o pentester (profissional realizador do teste) e a organização será diferente. 
É correto o que se afirma em: 
Grupo de escolhas da pergunta 
 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
I e II, apenas. 
 
III, apenas. 
 
II e III, apenas. 
 
I, II e III. 
 
I, apenas. 
 
Sinalizar pergunta: Pergunta 8 
Pergunta 80,6 pts 
Leia o texto a seguir: 
Segurança de rede consiste nas políticas e práticas adotadas para prevenir e além disso 
monitorar o acesso não autorizado, uso indevido, modificação ou negação de uma rede 
de computadores e recursos acessíveis pela rede. A segurança de rede é um assunto 
complexo. Historicamente, apenas especialistas bem treinados e experientes abordam a 
Segurança de Rede. 
No entanto, à medida que mais e mais pessoas se tornam “conectadas”, um número 
crescente de pessoas precisa entender os conceitos básicos de segurança em um mundo 
conectado por redes. Este documento foi escrito pensando no usuário comum de 
computador e no gerente de sistemas de informação, explicando ainda mais os conceitos 
necessários para entender o assunto, seus riscos e como lidar com eles. 
Além disso, continuamos a considerar o gerenciamento de riscos, ameaças de rede, 
firewalls e os dispositivos de rede seguros para fins especiais. 
(..) 
A segurança de rede combina várias camadas de defesa na borda e na rede. Cada 
camada de segurança de rede implementa políticas e controles. Usuários autorizados 
obtêm acesso aos recursos da rede, mas os agentes mal-intencionados são bloqueados 
de realizar explorações e ameaças. 
Fonte: CESAR, J. Qual é a definição de “segurança de rede”? INFOSEC. Disponível em: 
https://www.infosec.com.br/seguranca-de-rede/. Acesso em: 05 de maio de 2020. Adaptado. 
Considerando as informações apresentadas, avalie asafirmações a seguir: 
I - Segurança de Rede deve envolver a autorização ou não de acesso aos dados da rede 
corporativa da organização. 
II - Segurança de Rede deve envolver a escolha da devida topologia da rede de 
computadores, uma vez que a mesma pode ser pública ou privada. 
III - Segurança de Rede deve envolver a monitoração do tráfego de dados na rede 
corporativa e sua consequente proteção. 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
É correto o que se afirma em: 
Grupo de escolhas da pergunta 
 
III, apenas. 
 
I e II, apenas. 
 
I, apenas. 
 
I, II e III. 
 
II e III, apenas. 
 
Sinalizar pergunta: Pergunta 9 
Pergunta 90,6 pts 
Leia o texto a seguir: 
Segurança da Informação é um processo contínuo, diário, constante para a devida gestão 
de riscos da organização, que pode afetar os pilares básicos da mesma. Ainda por cima 
porque Segurança da Informação envolve pessoas, recursos, processos de TI e de 
negócios, em diferentes graus para garantir ao máximo o menor risco possível para a 
organização e consequentemente garantir a segurança e proteção dos dados sob sua 
custódia e/ou responsabilidade, dependendo do caso, com acesso limitado e legítimo à 
informação. E isto independe do tamanho da empresa, pois atualmente, por exemplo, 
existem startups com 3 funcionários que manipulam um volume enorme de dados, por 
exemplo. E Segurança da Informação continua valendo e sendo aplicável 
para todas as organizações, independente do porte e do segmento em que atua. 
Qual das opções abaixo refere-se a um dos pilares básicos da Segurança da Informação 
referenciado e sugerido no contexto acima? 
Grupo de escolhas da pergunta 
 
Vulnerabilidade. 
 
Disponibilidade. 
 
Confidencialidade. 
 
Integridade. 
 
Privacidade. 
https://famonline.instructure.com/courses/27531/quizzes/128226/take
 
Sinalizar pergunta: Pergunta 10 
Pergunta 100,6 pts 
Leia o texto a seguir: 
Com as soluções de segurança inundando o mercado e as respectivas ameaças 
proliferando diariamente, as empresas estão priorizando as maneiras de orientar o 
processo decisório na administração do risco de segurança da informação. O desafio é 
planejar e implantar controles que sejam proporcionais aos riscos. Porém, como estimar 
o risco? E qual a melhor maneira de tratar as questões empresariais como o 
estabelecimento de controles básicos (baseline), e achar o equilíbrio entre segurança e 
benefícios para usuários finais? Os serviços de Avaliação de Segurança das Informações 
ajudam os clientes a tomarem decisões sobre suas necessidades de proteger as 
informações. A posso de ativos de informações dentro de um ambiente de TI apresenta 
riscos. 
Fonte: Avaliação da Segurança das Informações. KPMG. Disponível em: 
http://www.kpmg.com.br/publicacoes/advisory/ras/irm/SAI_site.pdf. Acesso em: 05 de maio de 2020. 
Adaptado. 
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre 
elas. 
I - A análise de risco não diz respeito a decisões futuras, mas sim ao futuro de decisões 
que devem ser realizadas e tomadas proativamente antes que os incidentes ocorram. 
PORQUE 
II - O cenário de risco é muito amplo e complexo e sua identificação e tratamento deve 
ser claramente limitado, definido pela própria organização pensando sempre na 
criticidade e eficácia a que se quer chegar. 
A respeito dessas asserções, assinale a opção correta: 
Grupo de escolhas da pergunta 
 
As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
 
https://famonline.instructure.com/courses/27531/quizzes/128226/take