Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pergunta 1 O planejamento da auditoria de TI envolve duas etapas principais. O primeiro passo é coletar informações e planejar um pouco. O segundo passo é entender a estrutura de controle interno existente. Mais e mais organizações estão adotando uma abordagem de auditoria baseada em riscos, usada para avaliar riscos e ajuda um auditor de TI a decidir se deve executar testes de conformidade ou substantivos. Quais ferramentas você pode usar para controlar a política de auditoria em computadores na sua rede? o Configuração avançada de permissão e Diretiva de Grupo o Segurança Local e Configuração avançada de permissão o Segurança Local e Diretiva de Grupo o Visualizador de Eventos e Configuração avançada de permissão o Visualizador de Eventos e Segurança Local Pergunta 2 Um dos principais objetivos de uma política de segurança é fornecer proteção - proteção para sua organização e seus funcionários. As políticas de segurança protegem as informações críticas/propriedade intelectual de sua organização, descrevendo claramente as responsabilidades dos funcionários com relação a quais informações precisam ser protegidas e por quê. Qual das seguintes opções MELHOR ajuda os proprietários das informações a classificar os dados corretamente? o Treinamento com políticas de segurança o Uso de ferramentas automatizadas de prevenção de vazamento de dados o Treinamento com padrões organizacionais Resposta correta. A alternativa está correta, pois a diretiva de grupo é um recurso que adiciona controles adicionais às contas de usuário e computador. Essas diretivas fornecem configurações centralizadas de sistemas operacionais e de gerenciamento dos ambientes de computação do usuário. Toda a auditoria é local e pode ser realizada através de ferramenta de Segurança Local no computador ou através da Diretiva de Grupo. o Compreensão dos controles técnicos que protegem os dados o Entendendo quais pessoas/setores precisam acessar os dados Pergunta 3 Qualquer coisa que tenha conexão com a Internet está sujeita a ameaças. Essa declaração lança luz sobre o fato de que sempre estamos sujeitos a vulnerabilidades. A menos que não identifiquemos as ameaças pela Internet, não poderemos tomar medidas para proteger nosso sistema de computador contra elas. Qualquer ameaça à IoT é apoiada por um propósito. O objetivo pode diferir dependendo do alvo do invasor. De acordo com o seu conhecimento e com o conteúdo estudado, analise as asserções a seguir e assinale a alternativa correta: I. Como os dispositivos habilitados para IoT são usados e operados por humanos, um invasor pode tentar obter acesso não autorizado ao dispositivo II. Ao obter acesso a dispositivos IoT sem fio, o invasor pode se apossar de informações confidenciais III. III. Os dispositivos de IoT requerem alto gasto de energia e muita capacidade computacional. IV. IV. Dispositivos podem se dar ao luxo de ter protocolos complexos. Portanto, são menos suscetíveis a invasores. o I e II apenas. o II e III apenas. o I e IV apenas. o I e III apenas. o II e IV apenas. Resposta correta. A alternativa está correta, pois em termos de proteção dos dados, os requisitos de dados dos usuários finais são críticos, mas se o proprietário dos dados não entender qual esquema de classificação de dados está em vigor, é provável que o acesso inadequado aos dados sensíveis possa ser concedido para pessoas não autorizadas. Pergunta 4 O uso dos serviços de computação em nuvem parece oferecer vantagens de custo significativas. As empresas iniciantes, em particular, se beneficiam dessas vantagens, pois frequentemente não operam uma infraestrutura de TI interna. Entretanto, uma das maiores preocupações e o que leva algumas empresas a não optarem pela nuvem é o quesito segurança. De fato, confiar os seus dados à um terceiro realmente é preocupante. Quando se trata de segurança, é correto dizer: o A preocupação com a segurança em nuvem deve ser maior que a preocupação com a segurança local, uma vez que os dados estão fora da empresa. o Deve haver um esforço conjunto entre o fornecedor de serviço de nuvem e a empresa contratante para garantir a segurança. o As empresas podem terceirizar a infraestrutura (IaaS), o software (SaaS), alguns serviços e também a segurança. o A preocupação das empresas em confiar seus dados à terceiros é válida, uma vez que eles não assumem, em contrato, responsabilidade pelos dados. o A segurança em nuvem é garantida utilizando firewall de borda, bem como programas de antivírus próprios para este fim. Resposta correta. A alternativa está correta, pois os dispositivos de IoT estão conectados a internet e, como foi visto durante os estudos, qualquer “coisa” conectada a internet é suscetível a invasores. Estes dispositivos se comunicam com um servidor ou broker por meio de conexão wireless (sem fio) ou conexão cabeada. De um modo ou de outro, o atacante pode controlar o dispositivo e, até mesmo, apossar-se das informações confidenciais que, por ventura, este dispositivo (ou conjunto deles) está a produzir. Respostas correta. A resposta está correta, note que deve haver um esforço dos dois lados: o provedor de serviços em nuvem é responsável pela segurança da nuvem e de garantir a disponibilidade, confidencialidade e a integridade dos dados; do outro lado, o cliente é responsável pela segurança na nuvem. Pergunta 5 Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser "alugado" por outras empresas. Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como Serviço)? o Eficiência energética o Transferência do custo de propriedade o Escalabilidade o Elasticidade o Serviço Medido Resposta correta. A alternativa está correta, pois os benefícios da computação em nuvem incluem economia de custos (os departamentos de TI não precisam investir em servidores, armazenamento, instalações licenças etc.). No entanto, as organizações também devem levar em consideração os benefícios de ter uma equipe de TI que possa reagir de maneira mais rápida e eficaz a mudanças e oportunidades de negócios. Logo, todos estes custos são transferidos para o fornecedor do serviço. Pergunta 6 O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, mas agora está conectado aos objetos circundantes, trocando dados e informações. Duas características de um objeto em IoT é que ele possa ser localizado e identificado em qualquer lugar no espaço e no tempo. Em IoT, depois que um dispositivo é identificado e autenticado, o sistema de controle de acesso precisa atribuí-lo a um segmento de rede específico automaticamente. Dentro deste contexto, quais são os três tipos de controle de acesso para um dispositivo IoT em um sistema de informação? o administrativo, físico e técnico o monitoramento, autorização e validação o obrigatório, físico e autorização o identificação, autenticação e autorização o autenticação, autorização e administrativo Resposta correta. A alternativa está correta, pois os controles físicos descrevem qualquer coisa tangível usada para impedir ou detectar acesso não autorizado a áreas, sistemas ou ativos físicos (cercas, portões, biometria, etc). Os controles técnicos (também conhecidos como controles lógicos) incluem mecanismos de hardware ou software usados para proteger ativos (firewall,antivírus). Os controles administrativos referem-se a políticas, procedimentos ou diretrizes que definem práticas de pessoal ou de negócios de acordo com as metas de segurança da organização (treinamento de funcionários, por exemplo). Pergunta 7 A computação em nuvem é a prestação de serviços de computação sob demanda - de aplicativos a capacidade de armazenamento e processamento - geralmente pela Internet e com o pagamento conforme o uso. Em vez de possuir sua própria infraestrutura de computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de aplicativos a armazenamento, de um provedor de serviços em nuvem. Qual das seguintes siglas refere-se a um modelo de distribuição de software no qual um provedor de nuvem gerencia e hospeda um aplicativo que os usuários acessam via Internet? o DaaS o IotaS o SaaS o IaaS o PaaS Resposta correta. A alternativa está correta, pois Software como serviço (SaaS) é a entrega de aplicativos como serviço, provavelmente a versão da computação em nuvem à qual a maioria das pessoas está acostumada no dia a dia. O hardware e o sistema operacional subjacentes são irrelevantes para o usuário final, que acessará o serviço por meio de um navegador ou aplicativo; geralmente é comprado por assento ou por usuário. Pergunta 8 Com o avanço das tecnologias, surgem ameaças relacionadas a ela. Dizem que nada é perfeito no mundo da tecnologia, nada está completamente seguro. Portanto, com o crescimento da IoT, há desafios para conter as ameaças relacionadas à IoT, a fim de alcançar todos os seus benefícios. De posse destas informações e do conteúdo estudado, analise as técnicas disponíveis a seguir e associe-as com suas respectivas características. I. Injeção SQL. II. DDoS. III. Rastreamento. IV. Força bruta. V. Phishing ( ) Este ataque envia e-mails que parecem ser de fontes confiáveis, com o objetivo de obter informações pessoais. ( ) Este ataque captura cada movimento do usuário usando o UID do dispositivo IoT. ( ) Este ataque usa uma abordagem aleatória tentando senhas diferentes e esperando que uma funcione. ( ) Este ataque sobrecarrega os recursos de um sistema para que ele não possa responder às solicitações de serviço. ( ) Este ataque executa uma consulta no banco de dados por meio dos dados de entrada do cliente para o servidor. Agora, assinale a alternativa que apresenta a sequência correta: o V, II, IV, III, I. o II, III, IV, V, I. o IV, V, III, II, I. o II, IV, III, I, V. o V, III, IV, II, I. Pergunta 9 Uma empresa possui um sensor IoT que envia dados para um servidor físico que está em uma nuvem privada. Criminosos acessam o servidor de banco de dados e criptografam os arquivos e dados pessoais da empresa, inclusive os dados enviados pelo sensor. O usuário não pode acessar esses dados, a menos que pague aos criminosos para descriptografar os arquivos. Assinale a alternativa que denomina qual é essa prática: o Ransomware o Phishing o Spam o Botnet o Engenharia social Resposta correta. A alternativa está correta, pois a injeção SQL (1) executa comandos SQL os quais são inseridos na entrada do banco de dados para executar comandos predefinidos. DDoS (2) ou ataque de inundação, é um ataque aos recursos do sistema com o objetivo de deixa-lo indisponível. Rastreamento (3) é um tipo de ataque que monitora a localização do dispositivo de IoT no espaço e no tempo, fornecendo uma localização precisa. No ataque de força bruta (4), um algoritmo tenta de forma ininterrupta descobrir a senha almejada. O ataque de phishing (5) visa levar a vítima ao erro, tentando enganá-la com o objetivo de obter informações relevantes. Resposta correta. A alternativa está correta, pois a ideia por trás do ransomware, uma forma de software malicioso, é simples: bloqueie e criptografe os dados do computador ou do dispositivo da vítima e, em seguida, exija um resgate para restaurar o acesso. Em muitos casos, a vítima deve pagar ao cibercriminoso dentro de um determinado período de tempo ou correr o risco de perder o acesso para sempre. Pergunta 10 Com a computação em nuvem, em vez de possuir sua própria infraestrutura de computação ou data centers, as empresas podem alugar acesso a qualquer coisa, de aplicativos a armazenamento, de um provedor de serviços em nuvem. Um benefício do uso de serviços de computação em nuvem é que as empresas podem evitar o custo inicial e a complexidade de possuir e manter sua própria infraestrutura de TI e, em vez disso, simplesmente pagar pelo que usam, quando a usam. Qual das seguintes alternativas é verdadeira sobre a computação em nuvem: o Como poucas empresas fornecem os serviços em nuvem, o empreendimento torna-se arriscado. o Em todos os casos, a computação em nuvem será mais segura do que a computação local. o Você pode acessar seus dados de qualquer lugar do mundo, desde que tenha uma conexão com a internet. o A computação em nuvem pode ser dividida em dois modelos: Serviço e Comodato. o Nuvem pública e nuvem privada diferenciam-se pelo nível de segurança, a primeira é mais segunda que a segunda pois utiliza criptografia assimétrica. Resposta correta. A alternativa está correta, pois uma grande vantagem da computação em nuvem é o fato de você poder acessar os seus arquivos, dados e aplicações de qualquer lugar e a partir de qualquer computador, desde que conectado à internet. Deste modo, na nuvem você terá uma grande capacidade de armazenamento, sem se preocupar com a atualização do seu hardware, comprar mais discos ou mais memória para o computador.
Compartilhar