Baixe o app para aproveitar ainda mais
Prévia do material em texto
Considerando que a identificação dos ativos de informação seja uma das fases mais importantes do processo de análise de riscos, qual dos ativos a seguir não possui uma relação direta com a informação, sobretudo em termos de processamento? Escolha uma: a. Computador portátil (laptop). b. Sistema de mensageria instantânea. c. Extintor de incêndio. d. Dados financeiros. Feedback Sua resposta está correta. Computadores portáteis não somente processam dados e informações, como os armazenam. Sistemas de mensagens instantâneas como WhatsApp são utilizados para gerar, processar e enviar dados e informações entre dispositivos móveis. Dados financeiros são ativos de informação porque contêm a informação propriamente dita, e são alvos de mecanismos de proteção. Por outro lado, extintores de incêndio não possuem uma relação direta com a informação. Eles podem ser utilizados para apagar um incêndio em um centro de dados, por exemplo, mas não têm a capacidade de se relacionar diretamente com a informação. Portanto, a resposta “Extintor de incêndio” é a correta). A resposta correta é: Extintor de incêndio.. Questão 2 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Durante o processo de análise de riscos de uma forma geral, uma avaliação das vulnerabilidades depende das avaliações: Escolha uma: a. Do risco e do controle. b. Do ativo e do controle. c. Das ameaças e do ativo. d. Dos controles e dos mecanismos de proteção. Feedback Sua resposta está correta. Quando se avalia as vulnerabilidades em uma análise de riscos, necessariamente as ameaças devem constar da lista de itens avaliados porque é o que mantém correlação direta com a possibilidade de haver algum impacto em decorrência de uma ameaça. Além disso, o item ativo deve fazer parte da lista porque encontram- se vulnerabilidades em ativos de informação. O quesito controle não se aplica nesse caso porque avalia-se ameaças e vulnerabilidades para se criar controles de segurança, e não o contrário (resposta “Das ameaças e do ativo” é a correta). A resposta correta é: Das ameaças e do ativo.. Questão 3 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Levando em consideração os elementos que compõe uma possível comissão de elaboração da política de segurança, um dos elementos abaixo NÃO faz parte dessa lista: Escolha uma: a. Membros de gestão. b. Especialistas. c. Representantes legais. d. Agência Nacional de Telecomunicações. Feedback Sua resposta está correta. De acordo com o material didático, página 2, A Agência Nacional de Telecomunicações não faz parte da lista de elementos que podem compor uma comissão de elaboração de política. De fato, internamente a uma organização, entidades externas não necessariamente precisam fazer parte dessa mesma comissão. A resposta correta é: Agência Nacional de Telecomunicações.. Questão 4 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Das definições possíveis sobre o que é uma política de segurança, assinale a opção que melhor corresponde ao conjunto de procedimentos e/ou fase que deve vir antes da definição da política de segurança propriamente dita: Escolha uma: a. Análise de riscos. b. Plano de continuidade. c. Backup de banco de dados. d. Reinicialização de senhas. Feedback Sua resposta está correta. Dos procedimentos e fases citados nesta questão, o plano de continuidade, o backup de dados e a reinicialização de senhas normalmente são procedimentos e/ou fases que já estão englobadas na própria política de segurança. A análise de riscos é a fase que deve vir antes da definição porque ela é que vai definir e mensurar qualitativa e quantitativamente os ativos de informação, incluindo vulnerabilidades e ameaças. A resposta correta é: Análise de riscos.. Questão 5 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão Diferentemente do perigo, em uma política de segurança lida-se com o termo risco. Das situações, marque a alternativa que melhor corresponde à definição de risco: Escolha uma: a. Vulnerabilidade de acesso remoto. b. Perda de dados. c. Exploit Kit. d. Não aplicar um "patch" de segurança. Feedback Sua resposta está incorreta. Para considerar corretamente cada item, basta efetuar a pergunta: "corre risco de quê?". A alternativa que melhor se encaixa nessa pergunta é a alternativa “perda de dados”, já que a perda de dados não é só uma consequência, como pode ser quantificada em termos de probabilidade. Um exploit, uma vulnerabilidade e a não aplicação de um "patch" estão mais para ameaças que podem acarretar uma perda, vazamento ou até mesmo destruição de dados. A resposta correta é: Perda de dados.. Questão 6 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Pode ser utilizado tanto para minimizar riscos como para direcionar as reações de uma forma geral em casos de probabilidade alta de ocorrência de uma ameaça: Escolha uma: a. Criptografia. b. Plano de Continuidade de Negócios (PCN). c. Firewall. d. IDS. Feedback Sua resposta está correta. Exceto a resposta “Plano de continuidade de negócios (PCN)”, que é a resposta correta, os demais itens são considerados dispositivos ou mecanismos de segurança da informação. Um PCN pode ser utilizado para minimizar os riscos porque contém diretrizes gerais de atuação pré e pós-evento. A resposta correta é: Plano de Continuidade de Negócios (PCN).. Questão 7 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão De forma geral, uma vulnerabilidade de segurança é: Escolha uma: a. Uma falha de segurança que pode ser explorada. b. O ato de explorar uma falha. c. Um ativo de informação. d. Efeito da incerteza do risco. Feedback Sua resposta está correta. Em linhas gerais e de acordo com a RFC 2828, uma vulnerabilidade é uma falha geral no projeto de um sistema computacional que pode então violar uma política de segurança ativa. Os demais itens não possuem relação com a definição clássica de uma vulnerabilidade. A resposta correta é: Uma falha de segurança que pode ser explorada.. Questão 8 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Ao contrário de uma vulnerabilidade, uma ameaça é: Escolha uma: a. O potencial, o perigo possível para a violação de uma vulnerabilidade. b. É o resultado final do cálculo do risco. c. Uma falha de segurança computacional. d. Um travamento de tela azul no Windows. Feedback Sua resposta está correta. Ainda de acordo com a RFC 2828, uma ameaça deve representar um perigo real de exploração de uma vulnerabilidade existente. Os demais itens não se encaixam na definição de uma ameaça. A resposta correta é: O potencial, o perigo possível para a violação de uma vulnerabilidade.. Questão 9 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Em relação à condução de uma análise de riscos, um dos itens a seguir não faz parte do escopo de atuação: Escolha uma: a. Definir escopo de abrangência da política. b. Definir valores de importância para cada ativo. c. Determinar o impacto das vulnerabilidades encontradas. d. Criar mecanismos de backup de dados. Feedback Sua resposta está correta. Criar mecanismos de backup de dados, ou ainda assim defini-los, faz parte da política de segurança propriamente dita, e não da fase de análise de riscos. Os demais itens – de acordo com o material didático oficial – são itens que fazem parte do escopo de uma análise de riscos. A resposta correta é: Criar mecanismos de backup de dados.. Questão 10 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Quando da identificação de ativos importantes – ainda na fase da análise de riscos – um dos itens abaixo não necessariamente se encaixa em um ativo de informação: Escolha uma: a. Estação de trabalho. b. Notebook. c. Disco rígido. d. Tomada elétrica em uma parede.Feedback Sua resposta está correta. Por mais que uma tomada de alimentação elétrica possa ser utilizada para prover energia elétrica, a tomada por si só não apresenta nenhuma relação direta com a informação. Se a tomada específica deixar de existir, a informação não será afetada. Já uma estação, um notebook ou um disco rígido podem apresentar problemas e afetar a disponibilidade das informações ou do usuário ou da organização, mesmo que minimamente. A resposta correta é: Tomada elétrica em uma parede.. Questão 11 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Qual dos ativos a seguir pode ser considerado apenas como hardware? Escolha uma: a. Roteador. b. Manual de programa. c. Código-fonte. d. Programas utilitários. Feedback Sua resposta está correta. De todos os itens listados acima, apenas "roteador" se encaixa na categoria de "hardware", que são dispositivos físicos utilizados para o processamento de algum tipo de informação. Os demais itens são parte de software e documentação. A resposta correta é: Roteador.. Questão 12 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Dos diversos tipos de classificações que um dado pode assumir, qual dos tipos a seguir melhor se relaciona diretamente com extratos bancários? Escolha uma: a. Administrativo. b. Pesquisa. c. Financeiro. d. Clientes. Feedback Sua resposta está correta. Dados financeiros são todos aqueles relacionados com dados bancários, cartões de crédito, transações bancárias, dados bancários primários como conta e agência, além de identificadores financeiros. Dados de pesquisa e administrativos não se encaixam ou se relacionam com extratos bancários. Dados de clientes podem se relacionar com extratos bancários dentro de um contexto bem definido, mas a questão deixou claro qual deles "melhor" se relaciona. A resposta correta é: Financeiro.. Questão 13 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Na valoração simples utilizada para mensurar ativos de informação, um dos valores a seguir não pode ser representado seguindo essa mesma diretriz: Escolha uma: a. Baixo. b. Médio. c. Alto. d. Crítico. Feedback Sua resposta está correta. O termo crítico é essencialmente utilizado em tabelas de criticidade dos ativos, e não em valorações. Um ativo pode ou não ter valor em termos financeiros. Um ativo que tem valoração alta, por exemplo, é quantitativamente importante porque pode se traduzir em uma perda financeira alta caso haja algum impacto. A resposta correta é: Crítico.. Questão 14 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A criticidade de um ativo está ligada normalmente à probabilidade de um impacto alto para a organização. Qual dos valores críticos a seguir poderia ser atribuído por exemplo a uma tabela de salários de empregados em um banco de dados privado? Escolha uma: a. Criticidade alta. b. Criticidade média. c. Criticidade baixa. d. Sem criticidade, mas de alto impacto para a organização em caso de ameaça real. Feedback Sua resposta está correta. Quaisquer dados financeiros são de criticidade alta, não só pela criticidade em si, mas pela importância da informação que ela representa. Em alguns casos, o sigilo financeiro é resguardado por lei (assim como fiscal). Sabe-se, no entanto, que boa parte dos ganhos mensais de servidores públicos hoje são informações públicas. A resposta correta é: Criticidade alta.. Questão 15 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Acerca dos conceitos de ameaças de todo tipo, assinale a única opção que corresponde a uma ameaça ligada ao fator humano: Escolha uma: a. Raios. b. Curto-circuito. c. Engenharia social. d. DDoS. Feedback Sua resposta está correta. A engenharia social é um tipo abrangente de ameaças que corresponde a tentativas de phishing, spear phishing, BEC Scam, entre outros tipos. Ela normalmente se aproveita da falta de preparo e da curiosidade inata das pessoas em saber o que está se passando. Raios, curto-circuitos e ataques DDoS são de natureza física ou tecnológica. A resposta correta é: Engenharia social.. Questão 16 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Quando se fala em vulnerabilidades considerando o fator humano, a falta de preparo para lidar com as ameaças recentes é um dos mais importantes tópicos em qualquer política de segurança corporativa. Nesse sentido, marque a alternativa que contenha ao menos um tipo de ataque em que os usuários precisam ser ludibriados a clicarem em arquivos e links suspeitos: Escolha uma: a. Phishing. b. SQL Injection. c. Buffer Overflow. d. Remote Code Execution (RCE). Feedback Sua resposta está correta. O único tipo de ameaça/ataque em que os usuários precisam ter uma interação direta e voluntária é o ataque de phishing. Os demais ataques não necessariamente precisam de uma interação direta do usuário porque o atacante tem a possibilidade de executá-los remotamente sem a intervenção humana. A resposta correta é: Phishing.. Questão 17 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão É um tipo de ameaça onde um recurso computacional, como por exemplo, um link de internet, sofre interrupção e o acesso à internet fica indisponível: Escolha uma: a. DDoS. b. Phishing. c. Deface. d. XSS. Feedback Sua resposta está correta. Ataques de negação de serviço distribuídos estão entre uma das ameaças mais efetivas em termos de indisponibilidade de recursos computacionais. Ataques DDoS ainda são uma grande ameaça para quem depende exclusivamente da internet para prover serviços de alguma forma. Os demais exemplos não se encaixam na descrição de interrupção de serviços, sobretudo no exemplo de link de internet. A resposta correta é: DDoS.. Questão 18 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão Dos métodos a seguir, apenas um deles pode ser utilizado em uma análise de riscos quando se visa identificar vulnerabilidades no ambiente computacional: Escolha uma: a. Teste de invasão. b. Phishing. c. Firewall. d. Buffer Overflow. Feedback Sua resposta está correta. Testes de invasão são medidas efetivas para se descobrir e verificar o nível de aplicabilidade da exploração de vulnerabilidades. Dos vários tipos de teste de invasão, um deles pode ser utilizado inclusive para explorar vulnerabilidades como se fosse um ataque real, mostrando com clareza o nível de comprometimento que o atacante pode acarretar se o mesmo ataque fosse executado do ponto de vista "real". A resposta correta é: Teste de invasão.. Questão 19 Correto Atingiu 1,00 de 1,00 Marcar questão Texto da questão A política de segurança de uma empresa pode ser também considerada como um conjunto de regras que visa controlar a utilização dos recursos de informática da organização/empresa. Em relação a essa temática, assinale a alternativa correta. Escolha uma: a. Orientações quanto ao acesso aos recursos e a utilização de senhas não precisam fazer parte dessa política de segurança. b. As obrigações dos usuários quanto à utilização dos recursos de tecnologia da informação (TI) não precisam fazer parte da política de informação de uma empresa. c. Não há necessidade de negar ou restringir o acesso dos funcionários de uma empresa aos diversos sistemas ou serviços de TI, pois eles são considerados confiáveis. d. É fundamental que processos de auditoria de segurança sejam definidos nessa política, já que auditoria é um passo importante para verificar se a política está sendo seguida ou não. Feedback Sua resposta está correta. De fato, processos de auditoria de segurança fazem parte de uma política de segurança. Garantir que a política de segurança esteja sendo seguida é de vital importância, porque sem essa garantia, de nada adianta implantar uma política sem saberos resultados dela. A resposta correta é: É fundamental que processos de auditoria de segurança sejam definidos nessa política, já que auditoria é um passo importante para verificar se a política está sendo seguida ou não.. Questão 20 Incorreto Atingiu 0,00 de 1,00 Marcar questão Texto da questão A política de segurança da informação define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza. É um importante mecanismo de segurança, tanto para as organizações como para os usuários. São conceitos, princípios e/ou cuidados coerentes com critérios adequados de segurança da informação: Escolha uma: a. É importante que atitudes abusivas ou incidentes de segurança sejam notificados. Para encontrar os responsáveis por uma rede, deve-se consultar servidores WHOIS, no qual são mantidas as bases de dados sobre os responsáveis por cada bloco de números IP existentes. b. Algumas ações que geralmente são consideradas de uso abusivo (não aceitável) incluem: compartilhar senhas; manter sigilo sobre informações confidenciais; usar programas contra spam e códigos maliciosos; enviar mensagens com o objetivo de caluniar ou ameaçar alguém. c. Para ser considerado um incidente de segurança, o evento adverso deve estar confirmado e ser relacionado à rede de computadores. d. Somente pessoas autorizadas devem ser notificadas quando incidentes de segurança acontecem. Essas pessoas devem ser ligadas à organização e são: os responsáveis pelo computador que originou o incidente, os responsáveis pela rede que originou o incidente e uma pessoa da diretoria ou presidência que responde juridicamente pela organização. Feedback Sua resposta está incorreta. É uma boa prática reportar incidentes de segurança e utilizar servidores whois como forma de identificar ao menos a origem do incidente. Usar programas contra códigos maliciosos e manter sigilo sobre informações sigilosas não são ações abusivas, e sim necessárias. Um incidente de segurança não precisa estar confirmado. A notificação de incidentes normalmente não precisa ir para a diretoria ou presidência da organização. A resposta correta é: É importante que atitudes abusivas ou incidentes de segurança sejam notificados. Para encontrar os responsáveis por uma rede, deve- se consultar servidores WHOIS, no qual são mantidas as bases de dados sobre os responsáveis por cada bloco de números IP existentes..
Compartilhar