INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO - Avaliando Aprendizado 2 - 2023 3

Prévia do material em texto

1a 
 Questão 
Acerto: 0,0 / 0,2 
 
Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: 
 
I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da 
informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários 
remanescentes. 
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser 
retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo 
projeto. 
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser 
controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por 
exemplo, cartão de controle de acesso mais PIN (personal identification number). 
 
Está correto o que se afirma em 
 
 
 
I, II e III. 
 II e III, apenas. 
 I e III, apenas. 
 
III, apenas. 
 
I e II, apenas. 
Respondido em 26/09/2023 14:41:12 
 
Explicação: 
Do ponto de vista de gerenciamento, não faz sentido excluir todos os usuários (o grupo) apenas para revogar o 
acesso de um único usuário que não tenha mais permissão. 
 
 
 
2a 
 Questão 
Acerto: 0,2 / 0,2 
 
(UFES/2014) O termo "Engenharia Social" é comumente utilizado para se referir a técnicas utilizadas por 
pessoas mal-intencionadas que abusam de relações sociais para conseguir informações sigilosas ou 
acesso a sistemas. Dos cenários abaixo, NÃO caracteriza um caso de Engenharia Social o que está 
descrito em 
 
 
 Após fornecer seu endereço de e-mail em um site para se cadastrar, você recebe uma 
mensagem de e-mail desse site pedindo que você clique em um link para confirmar o seu 
cadastro. 
 
Você recebe um e-mail indicando que acaba de ser sorteado com um prêmio e instruindo-o a 
acessar um determinado site e preencher o cadastro para coletar o seu prêmio. 
 
Uma pessoa liga para você, identifica-se como sendo de uma empresa prestadora de serviços 
(ex.: de telefonia), explica que há um problema no seu cadastro e pede que você informe vários 
dados pessoais, como nome completo, endereço, etc. 
 
Em um ambiente de trabalho, uma pessoa liga, identifica-se como administrador dos sistemas da 
empresa e solicita que você siga uma série de passos, incluindo acesso a sites na internet e 
instalação de softwares, para melhorar o desempenho da sua máquina. 
 
Você recebe um e-mail alertando sobre um novo vírus muito perigoso e orientando-o a procurar 
por determinado arquivo em seu sistema e, caso ele exista, excluí-lo imediatamente e repassar a 
mensagem a todos os seus conhecidos. 
Respondido em 26/09/2023 14:40:24 
 
Explicação: 
A Engenharia Social é um método de ataque que utiliza a persuasão para obter dados sigilosos do usuário, seja 
por meios eletrônicos ou não. Normalmente, o atacante se passa por alguém confiável, como uma instituição 
conhecida, como um banco ou empresa. A opção correta mencionada refere-se apenas a um procedimento de 
confirmação, comum quando você se cadastra em um site e recebe uma mensagem para confirmar a validade do 
seu endereço de e-mail. 
 
 
 
3a 
 Questão 
Acerto: 0,2 / 0,2 
 
Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR 
ISO/IEC 27001:2013 por uma organização: 
 
 
 
Oportunidade de identificar e eliminar fraquezas 
 
Fornece segurança a todas as partes interessadas 
 
Participação da gerência na Segurança da Informação 
 
Mecanismo para minimizar o fracasso do sistema 
 Isola recursos com outros sistemas de gerenciamento 
Respondido em 26/09/2023 14:40:04 
 
Explicação: 
A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 
 
 
 
4a 
 Questão 
Acerto: 0,2 / 0,2 
 
O sistema de backup de missão crítica é também chamado de ambiente de: 
 
 
 
Personal Identification Number. 
 
Personal Unblocking Key. 
 Ransomware. 
 Disaster Recovery. 
 
Daily Backup. 
Respondido em 26/09/2023 14:39:35 
 
Explicação: 
A resposta correta é: Disaster Recovery. 
 
 
 
5a 
 Questão 
Acerto: 0,2 / 0,2 
 
O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na entrada dos 
aparelhos, mas essa variação não foi o suficiente para causar danos aos equipamentos de 
computação a eles conectados. 
 
Conforme os termos relacionados à segurança da informação, o que ocorreu pode ser classificado 
como: 
 
 
 
Eletricidade 
 
Variação 
 Evento 
 
Dano 
 
Tensionamento 
Respondido em 26/09/2023 14:39:22 
 
Explicação: 
A resposta correta é: Evento 
 
 
 
6a 
 Questão 
Acerto: 0,2 / 0,2 
 
O Risco é um conceito importante quando se trata do Plano de Continuidade de Negócios (PCN). A 
respeito do Risco, selecione a opção correta: 
 
 
 
Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização. 
 
Normalmente não podem ser controlados. 
 
É um conceito abstrato e com baixa chance de se transformar em um desastre. 
 Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos. 
 
Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente. 
Respondido em 26/09/2023 14:38:56 
 
Explicação: 
A resposta correta é: Possível evento que pode causar perdas ou danos, ou dificultar o 
atingimento de objetivos. 
 
 
 
7a 
 Questão 
Acerto: 0,2 / 0,2 
 
O crescimento das redes abertas fez com que surgissem vários problemas de segurança, que vão desde 
o roubo de senhas e interrupção de serviços até problemas de personificação, em que uma pessoa faz-
se passar por outra para obter acesso privilegiado. Com isso, surgiu a necessidade de verificação da 
identidade tanto dos usuários quanto dos sistemas e processos. Dentro desse contexto, esse ato de 
verificação é chamado: 
 
 
 
confiabilidade. 
 
acessibilidade. 
 
configuração. 
 
cadastro. 
 autenticação. 
Respondido em 26/09/2023 14:38:31 
 
Explicação: 
A resposta correta é: Autenticação. 
 
 
 
8a 
 Questão 
Acerto: 0,0 / 0,2 
 
Considere que uma equipe esteja trabalhando num software web com severas restrições de 
segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais 
especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a 
revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um 
revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade: 
 
 
 
Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de 
código vulnerável. 
 Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja 
resolvido. 
 
Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer 
correção. 
 
Corrigir o problema e relatar a vulnerabilidade à equipe de segurança. 
 Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade 
imediatamente. 
Respondido em 26/09/2023 14:38:02 
 
Explicação: 
A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança para que o 
problema seja resolvido. 
 
 
 
9a 
 Questão 
Acerto: 0,2 / 0,2 
 
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 
6.1.3 Tratamento de riscos de segurança da informação 
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: 
 
(...) 
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da 
informação. 
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, 
sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. 
Uma empresa que está se preparando parasofrer uma auditoria checou que não constam na Declaração 
de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles 
constantes na norma. 
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"? 
 
 
 
Indica uma simples observação a ser feita 
 
Falta informação nessa checagem para classificar 
 
Não se aplica a esta norma 
 
Não 
 Sim 
Respondido em 26/09/2023 14:41:19 
 
Explicação: 
A resposta correta é: Sim. 
 
 
 
10a 
 Questão 
Acerto: 0,2 / 0,2 
 
O processo de proteção de dados é um conjunto de ações que têm como objetivo garantir a segurança e 
a privacidade das informações armazenadas por uma organização ou indivíduo. Esse processo envolve 
a implementação de medidas técnicas, organizacionais e legais que visam prevenir o acesso, o uso, a 
alteração, a destruição ou a divulgação não autorizada de dados sensíveis. Nesse sentido, qual das 
opções abaixo é uma razão válida para justificar a importância de se realizar backups regularmente 
como medida de segurança da informação? 
 
 
 
Backup é um desperdício de tempo e recursos, uma vez que as informações raramente são 
perdidas ou corrompidas. 
 
Os backups são úteis apenas para fins de auditoria e conformidade regulatória, e não têm 
relação direta com a segurança da informação. 
 
Realizar backups permite que você se livre de dados antigos e desnecessários, liberando espaço 
de armazenamento valioso. 
 Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware ou 
erros humanos, um backup recente pode ser restaurado, garantindo a continuidade das 
operações. 
 
Os backups são importantes apenas para grandes empresas que precisam proteger grandes 
quantidades de dados confidenciais. 
Respondido em 26/09/2023 14:35:38 
 
Explicação: 
Caso as informações sejam perdidas ou corrompidas devido a falhas de hardware, malware ou erros humanos, 
um backup recente pode ser restaurado, garantindo a continuidade das operações. Realizar backups 
regularmente é uma medida fundamental de segurança da informação, pois permite que, em caso de perda, 
corrupção ou inacessibilidade de dados, uma cópia recente e íntegra possa ser restaurada, minimizando os 
prejuízos para a organização. Falhas de hardware, ataques de malware e erros humanos são comuns e podem 
resultar na perda de dados importantes. Portanto, é crucial que backups sejam realizados regularmente e que 
sejam armazenados em locais seguros e protegidos contra ameaças físicas e lógicas. Além disso, backups 
também podem ser úteis em situações de desastres naturais, como incêndios, inundações e terremotos, que 
podem destruir completamente os dados armazenados em um único local.