Exercícios Auditoria e Segurança no Desenvolvimento de Aplicações Unidade 2

Prévia do material em texto

Exercícios Auditoria e Segurança no Desenvolvimento de Aplicações
Unidade 2
Deixe seu like !!!
Confiabilidade de Software
1. Os custos relacionados à implementação e à validação de um sistema com a confiança elevada tendem a ampliar significativamente, como pode ser observado na figura abaixo. Analisando o relacionamento entre custo e confiança, referente aos benefícios de melhorias, é possível afirmar que: 
A. Quando o software não é muito confiável, é possível obter melhorias mais significativas com menores investimentos.
2. A dimensão confiança contém algumas propriedades que são utilizadas para definição das especificações de confiança de sistemas. Imagine um sistema cuja função é controlar a venda de passagens de metrô via Internet. Esse sistema exige constantes atualizações com o objetivo de agilizar as transações de compras de tickets, além de manter as transações mais seguras para os usuários. A capacidade de realizar as atualizações sem tirar o sistema de funcionamento se refere a qual propriedade da dimensão confiança?
C. Manutenibilidade.
3. A disponibilidade é uma importante propriedade relacionada à confiança de software e pode ser expressa numericamente. Quando está especificada a disponibilidade de um software de vendas que será comercializado para diferentes clientes, qual é o cuidado que se deve ter?
B.Deve-se ter cuidado com o cenário onde será utilizado o software para especificar a disponibilidade.
4. Existem três métricas de confiabilidade utilizadas para especificar a probabilidade de uma falha de sistema ocorrer. Uma delas permite definir o provável número de falhas de sistema observadas em um determinado período, como, por exemplo, uma hora. Qual é o nome dessa métrica?
A. ROCOF.
5. O desenvolvimento de sistemas críticos, como, por exemplo, um sistema para caixa eletrônico de banco, exige confiabilidade elevada. Um problema como a violação dos dados de clientes do banco afeta a confiabilidade do sistema. Levando em consideração as quatro principais propriedades de confiança, qual dimensão é afetada neste exemplo específico?
D. Proteção.
 Verificação e Auditoria da Configuração
1. 
Por meio da auditoria de configuração de software é possível assegurar que a alteração realizada foi implementada de maneira correta, bem como monitorar baselines estabelecidas e evitar a violação delas. No que se refere à auditoria de configuração de software, é correto afirmar que:
C. 
é possível rastrear as alterações até certo ponto, pois chegam somente até a ordem de mudança.
2. 
Para certas atividades da auditoria de configuração são envolvidas ações que poderiam ser automatizadas por meio de agentes de software, fazendo com que, dessa forma, não houvesse a necessidade de realizar auditoria de forma manual. As etapas da auditoria de software são, respectivamente:
B. 
planejamento, diagnóstico, execução e conclusão.
3. 
A auditoria avalia a política de segurança e controles relacionados utilizados em cada organização. Dentre as melhores práticas do modelo CobiT, pode-se citar:
B. 
mapas de auditoria.
4. 
Em relação à emissão de relatórios de auditoria de sistemas de informação, analise as afirmações:
A. Deverá ser emitido somente nos padrões da empresa realizadora da auditoria.
B. Deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção.
C. Deverá mostrar riscos que a empresa corre em decorrência das deficiências apresentadas.
D. Deverá apresentar prazos para implementações de medidas ou planos de ações.
Quais estão corretas?
C. 
B e D.
5. 
A falta de conformidade aos requisitos do software significa falta de qualidade. Qual o objetivo da revisão técnica?
B. 
Verificar a exatidão técnica do objeto de configuração que foi modificado.
Segurança em TI, Crimes, Conformidade e Continuidade I
1. 
As organizações vêm se modernizando à medida que as Tecnologias da Informação sofrem constantes evoluções. Dificilmente, uma empresa moderna sobrevive no mercado sem utilizar recursos tecnológicos na execução de suas tarefas. Contudo, ao mesmo tempo em que ajudam a empresa na sua gestão, as tecnologias podem ser utilizadas por pessoas interessadas em comprometer a segurança das informações organizacionais, tendo como objetivo final o ganho de benefícios indevidos. Em relação à segurança da informação, marque a alternativa CORRETA:
B. 
A segurança da informação está diretamente relacionada com os riscos aos dados, aos sistemas de informação e às redes.
2. 
A segurança da informação e a segurança de redes corporativas não estão relacionadas apenas com o uso de hardwares e softwares para prevenir ou reagir a incidentes. Na verdade, toda e qualquer defesa tecnológica é importante, mas a proteção aos dados e operações das empresas requer uma abordagem mais ampla, envolvendo desde a implementação de procedimentos e políticas de uso dos recursos tecnológicos até a garantia do cumprimento de leis e regulamentações governamentais. Nesse contexto, analise as afirmações a seguir:
I. Os maiores riscos e, consequentemente, os maiores incidentes são causados geralmente pelos próprios funcionários das organizações.
II. As ameaças à segurança da informação acontecem tanto com o uso de alta tecnologia quanto pelos crimes tradicionais, como o roubo de um notebook da empresa, por exemplo.
III. É importante tratar a segurança da informação como uma função isolada na organização, pois assim ela será capaz de auxiliar no alcance dos objetivos estratégicos.
Está CORRETO o que se afirma apenas em:
A. 
I e II.
3. 
A área de segurança da informação utiliza diversos termos técnicos que devem ser bem compreendidos e diferenciados pelos gestores, especialmente aqueles cuja atuação está diretamente relacionada com a proteção dos dados e redes da organização. Esse conhecimento é fundamental para que as ferramentas corretas sejam empregadas em cada situação que envolva a segurança da informação.
Analise os termos apresentados a seguir e relacione-os corretamente a seus conceitos:
I. Risco.
II. Ameaça.
III. Contramedida.
IV. Exploração.
( ) Uso de alguma ferramenta ou técnica com o intuito de obter vantagem de uma vulnerabilidade.
( ) Recurso de segurança adotado para reduzir riscos.
( ) Probabilidade de uma ameaça explorar uma vulnerabilidade.
( ) Situação em que alguém ou algo pode causar danos a um ou vários ativos.
Marque a alternativa que apresenta CORRETAMENTE o relacionamento entre os termos e seus respectivos conceitos.
E. 
4, 3, 1, 2.
4. 
Os Sistemas de Informação (SI) estão sujeitos a sofrer diversas ameaças ocasionadas tanto por agentes internos, como os funcionários, quanto por agentes externos, os cibercriminosos, por exemplo. Normalmente, essas ameaças tentam se aproveitar de vulnerabilidades existentes no ambiente tecnológico da organização. Uma classificação comumente encontrada na área de Segurança da Informação para as ameaças é relacioná-la como intencional ou não intencional, sendo esta última ainda categorizada como erro humano, riscos ambientais ou falhas nos sistemas computadorizados.
Analise as alternativas a seguir e marque aquela que apresenta CORRETAMENTE um exemplo real de ameaça intencional ou não intencional.
A. 
A codificação errada de uma funcionalidade do software, em função do entendimento incorreto pelo programador, é um exemplo de ameaça não intencional.
5. 
Empresas de monitoramento de redes relatam que o número de ataques vem crescendo nos últimos anos, ocasionando consideráveis prejuízos, especialmente financeiros. Normalmente, os ambientes das grandes empresas e dos governos são os que mais sofrem ataques. Como a variedade de ataques é grande, a tarefa de defender o ambiente virtual é muito complexa e nem sempre consegue obter sucesso. Um ataque do tipo DoS (Denial of Service – Negação de Serviço) ocorre quando:
D. 
um servidor ou site recebe um número de solicitações maior do que sua capacidade de resposta, fazendo com que ele falhe.
Segurança em TI, Crimes, Conformidade e Continuidade II
1. 
Normalmente, os crimes são categorizadoscomo violentos e não violentos. Um exemplo comum de crime não violento é a fraude, pois os fraudadores usam truques e ilusão como “armas”. Os crimes são cometidos pelos fraudadores a partir do abuso de poder de sua posição ou do uso indevido da confiança conquistada junto às vítimas. A fraude ocupacional pode ser entendida como o uso deliberado dos recursos e ativos organizacionais visando a obtenção de vantagens pessoais. Considerando os diversos tipos de fraude existentes, o suborno é caracterizado quando alguém.
D. 
utiliza a posição de poder ou o dinheiro para influenciar outras pessoas.
2. 
As práticas de gestão de segurança da informação nas organizações visam proteger os dados, aplicações de software, hardwares e redes. Existem várias estratégias que podem ser utilizadas, mas as empresas necessitam, inicialmente, definir o que precisa ser defendido e fazer uma análise do custo-benefício desta proteção. , Analise as afirmativas a seguir que tratam a respeito dos principais objetivos das estratégias de defesa.
I. A detecção de problemas de segurança da informação deve ser realizada com a maior rapidez possível, facilitando o combate ao problema e, até mesmo, reduzindo os danos causados.
II. Um plano de recuperação deve ser montado para reparar os componentes que apresentarem problemas.
III. A correção de problemas deve projetar e configurar corretamente o ambiente tecnológico para se evitar a ocorrência de erros.
Está CORRETO o que se afirma somente em:
A. 
I.
3. 
A proteção do ambiente tecnológico da empresa precisa considerar tanto aspectos da segurança física, como o acesso e manuseio dos equipamentos, quanto a segurança lógica, relacionada diretamente ao uso dos softwares, dos dados e das redes. O controle de acesso consiste no gerenciamento das pessoas autorizadas (ou não) a utilizarem equipamentos e softwares da empresa. Isso é feito por meio de processos de autorização (possuir o direito de acessar determinado recurso) e autenticação (comprovar que o usuário realmente é quem ele diz ser). Atualmente, os controles biométricos são bastante utilizados como métodos de autenticação, sendo entendidos como um(a):
D. 
forma automatizada de verificar e confirmar a identidade de uma pessoa por meio da análise de características físicas ou comportamentais.
4. 
O diretor de Segurança da Informação da Beta S.A., organização atuante no ramo de venda de pacotes turísticos via web, recebeu a informação de que a rede interna sofreu várias ameaças de invasão nos últimos dois dias. Todas essas tentativas de acesso vieram de agentes localizados em redes externas à da organização.Sendo assim, ele solicitou à equipe técnica a instalação de um Firewall para aumentar a segurança da rede e reduzir a probabilidade de acessos externos indevidos na rede interna da empresa.
Analise as afrmativas a seguir sobre Firewall.
I. A partir do momento em que um Firewall é instalado e devidamente configurado, todo o tráfego da internet que chega à rede interna da empresa passa pela sua verificação.
II. O Firewall é uma ferramenta que se localiza na terceira camada de defesa dos ambientes tecnológicos.
III. O Firewall é um sistema utilizado para criar uma barreira segura entre determinada rede interna (uma intranet, por exemplo) e a internet.
Está CORRETO o que se afirma somente em:
C. 
III.
5. 
A criação de mecanismos de controle é fundamental para que as organizações gerenciem corretamente os acontecimentos em seu ambiente. Nesse sentido, as auditorias exercem papel de grande importância para o sistema de controle da organização, pois atuam como uma camada extra dos outros controles. Na prática, as auditorias ainda podem funcionar como obstáculos a ações criminosas, especialmente aquelas realizadas pelos próprios funcionários da empresa.
Analise as afirmativas a seguir relacionadas com as características básicas da auditoria e marque a CORRETA.
E. 
Uma auditoria bem definida e executada é aquela que apresenta isenção e imparcialidade em suas análises e conclusões.