questao

Prévia do material em texto

24/10/2020 Grupo Splice
https://logus.provafacilnaweb.com.br/logus/schedule/resultcandidatedetail/2467990/ff645536-9b21-11e8-a7eb-0242ac110014/questions/ 1/5
(/logus/schedule/resultcandidatelist/�645536-
9b21-11e8-a7eb-0242ac110014/)
Lucas Trajano
Pimenta
Matrícula: 12103769
Sair(/logus/logout/)
Aluno: Lucas Trajano Pimenta Matrícula: 12103769
Avaliação: AV2 - Online Pontuação: 30,00 / 60,00
Data: 10/10/2020 08:30
Local: Newton - Filial Buritis / Newton - Buritis 420 / Newton - Buritis I / Newton - Virtual
Acadêmico: npT.ADSIST_V / np2_1810523_80 / npG.AGO.SASI.5 / np|PL|6200|CF|9|T|D|O|1
1) Alinhado com a política de segurança, os processos de segurança e proteção da informação necessitam ter um
planejamento para serem implantados na organização. Nesse sentido, dúvidas surgem quanto ao que deve ser
considerado nesse planejamento. Umas das diretrizes refere-se à identificação de recursos que devem ser utilizados
para Segurança da Informação. 
Dos itens abaixo, qual deles descreve o conteúdo dessa diretriz?
A) O processo de segurança precisa estar alinhado com as características do negócio da organização. Por
exemplo, o negócio de uma universidade pública exige requisitos de segurança diferentes de uma instituição
financeira privada.
B) Centralização ou descentralização da administração do negócio? Distribuição ou concentração de poder? A
forma como a organização trata a sua informação influencia na gestão da sua segurança.
C) Estando definido como a organização se estrutura, deve-se elaborar um planejamento estratégico de
segurança para a organização. É o momento de definir políticas, responsabilidades, escopo dos recursos a
serem protegidos, cenários a serem considerados e outros aspectos que servirão de contexto para o processo
de segurança.
D) Muitas vezes se pensa apenas na aquisição de so�wares e equipamentos. Eles são importantíssimos,
porém muitas vezes é preciso um recurso que é difícil de se comprar: tempo dos usuários. Todas as
organizações necessitam, sem exceção, de tempo para que seus usuários estejam conscientizados em
proteger a informação. Identificar e reservar tempo/esforço é a mais eficaz proteção da informação contra
todas as situações adversas.
E) Com vários tipos de recursos envolvidos e várias plataformas tecnológicas, é fundamental um
mapeamento para a identificação das vulnerabilidades e a definição de prioridades para a implementação de
controles. Dependendo do grau de maturidade da organização em proteção da informação, essa é uma
atividade que a própria organização pode desenvolver. Outra opção é a contratação de empresa de
consultoria com experiência no assunto.
2) Um programa de segurança de informação que, segunda a FISMA, uma agência deve criar, se aplica a qualquer
outra organização que use seus sistemas de TI ou dados. Uma agência deverá proteger os sistemas de TI que
suportem suas operações, mesmo se outra agência ou fornecedor possuir os sistemas. Com base nessas
informações, qual das alternativas abaixo mostra a consequência dessa prática?
A) Essa prática pode ampliar o escopo de FISMA para além de uma agência federal e é importante porque
sistemas e funções de TI são todos terceirizados.
https://logus.provafacilnaweb.com.br/logus/schedule/resultcandidatelist/ff645536-9b21-11e8-a7eb-0242ac110014/
https://logus.provafacilnaweb.com.br/logus/logout/
24/10/2020 Grupo Splice
https://logus.provafacilnaweb.com.br/logus/schedule/resultcandidatedetail/2467990/ff645536-9b21-11e8-a7eb-0242ac110014/questions/ 2/5
B) Essa prática pode ampliar o escopo de FISMA para além de uma agência federal e é importante porque
sistemas e funções de TI frequentemente são terceirizados.
C) Essa prática pode restringir o escopo de FISMA para além de uma agência federal e é importante porque
sistemas e funções de TI frequentemente são terceirizados.
D) Essa prática pode restringir o escopo de FISMA para além de uma agência federal e é importante porque
sistemas e funções de TI não são terceirizados.
E) Essa prática pode ampliar o escopo de FISMA para além de uma agência federal e é importante porque
sistemas e funções de TI não são terceirizados.
3) Durante uma crise, muitas das condições normais, como controles, suporte e processos, podem não estar
disponíveis. Você precisa se adaptar rapidamente para garantir a operação segura de sistemas, incluindo cópias de
segurança e reconciliação de erros. Essa adaptação também poderá ser considerada como realizar as operações da
organização em ambiente diferente do habitual. Portanto, operar em um ambiente alternativo pode ser uma solução
válida. Quanto à operação em um ambiente alternativo, considere os seguintes pontos:
I.    Para evitar novos desastres, não pode ser um local dedicado operado pela própria empresa, como um centro de
processamento secundário. 
II.    Pode ser uma instalação alugada comercialmente, como um site quente (hot site) ou uma instalação móvel. 
III.    A operação pode ser realizada por meio de acordo de uso de uma instalação interna ou externa. Provedores
comerciais externos oferecem serviços a muitas organizações. Isso significa que, se houver um desastre, muitos
clientes de um provedor comercial poderão ser afetados.
Diante dos pontos apresentados, pode-se afirmar o seguinte quanto à veracidade deles:
A) O ponto II é falso, porque instalações móveis não são recomendadas como ambiente alternativos, dada a
sua falta de segurança.
B) O ponto III é falso, pois contar com provedores externos pode propiciar o vazamento de informações
sigilosas da empresa.
C) O ponto I é falso, pois a empresa pode sim considerar um centro de processamento secundário próprio em
casos emergenciais.
D) Os pontos I, II e III são verdadeiros, pois apresentam situações inerentes ao uso de ambientes alternativos.
E) O ponto II é falso, pois é inviável alugar uma instalação em meio a um desastre.
4) Além de incidentes que podem trazer brechas de segurança indesejadas, existem ainda diversos outros desafios
relacionados à segurança que devem ser observados. Em linhas gerais, esses desafios confrontam o comportamento
do usuário frente à utilização de recursos oferecidos pela Internet. Considere as brechas de segurança abaixo:
I.    Spam:  é uma mensagem de correio eletrônico (e-mail) ou mensagens de aplicativos indesejadas. A maior parte
dessas mensagens são de conteúdo comercial e são de teor duvidoso, com os mais diversos temas.
II.    Hoaxes: são arquivos de texto utilizados para navegadores web para armazenar informações sobre endereços de
sites web e portais visitados no computador do usuário. Essas informações podem ser resultado de uma pesquisa,
links clicados e demais dados digitados, como número de cartão de crédito.
III.    Cookies: são mensagens, enviadas por e-mail ou publicadas em redes sociais, que tem por objetivo enganar seu
receptor. Não necessariamente infectam sistemas, como vírus e afins, porém é possível perder um tempo valioso no
tratamento deles, respondendo e até acreditando nessas mensagens.
Qual das alternativas abaixo indica as brechas de segurança que estão corretamente descritas?
24/10/2020 Grupo Splice
https://logus.provafacilnaweb.com.br/logus/schedule/resultcandidatedetail/2467990/ff645536-9b21-11e8-a7eb-0242ac110014/questions/ 3/5
A) I, II e III.
B) Apenas a III.
C) I e III.
D) Apenas a I.
E) Apenas a II.
5) No contexto de redes de computadores, você encontra diferentes modelos e propostas de arquiteturas,
dependendo da necessidade de uma organização. Tendo isso em vista, considere as seguintes asserções:
I.    A internet é exemplo de uma WAN.
II.    Em uma WAN, é difícil garantir a privacidade dos dados uma vez transmitidos.
III.    Uma LAN possui um escopo amplo.
IV.    A segurança interna dos sistemas que a formam ganha uma atenção maior em uma LAN.
Qual ou quais das asserções apresentadas são verdadeiras?
A) I, II e III.
B) Apenas a III.
C) II, III e IV.
D) I, II e IV.
E) I e III.
6) Como em muitos aspectos da vida de uma organização, planejar suas ações é sempre um pontoessencial a ser
considerado para se obter sucesso e uma existência perene no mercado. Uma das questões-chave a serem
planejadas é a Segurança da Informação. Um item importante desse planejamento é o que se refere à definição de
níveis de segurança.  
Em relação a essa diretriz, qual dos itens abaixo descreve como a definição dos níveis de segurança podem ajudar no
planejamento da Segurança da Informação?
A) Centralização ou descentralização da administração do negócio? Distribuição ou concentração de poder? A
forma como a organização trata a sua informação influencia na gestão da sua segurança.
B) Estando definido como a organização se estrutura, deve-se elaborar um planejamento estratégico de
segurança para a organização. É o momento de definir políticas, responsabilidades, escopo dos recursos a
serem protegidos, cenários a serem considerados e outros aspectos que servirão de contexto para o processo
de segurança.
C) O processo de segurança precisa estar alinhado com as características do negócio da organização. Por
exemplo, o negócio de uma universidade pública exige requisitos de segurança diferentes de uma instituição
financeira privada.
D) Com vários tipos de recursos envolvidos e várias plataformas tecnológicas, é fundamental um
mapeamento para a identificação das vulnerabilidades e a definição de prioridades para a implementação de
controles. Dependendo do grau de maturidade da organização em proteção da informação, essa é uma
atividade que a própria organização pode desenvolver. Outra opção é a contratação de empresa de
consultoria com experiência no assunto.
E) Em segurança, normalmente, após uma série de melhorias é necessário mudar de patamar. Por exemplo:
pode-se ter a melhor gestão de autenticação de usuário por meio de senha. Para melhorar esse nível, apenas
mudando de patamar de controle com a utilização, por exemplo, de autenticação biométrica. Cada
organização tem que definir que patamar de segurança é compatível com o seu negócio.
24/10/2020 Grupo Splice
https://logus.provafacilnaweb.com.br/logus/schedule/resultcandidatedetail/2467990/ff645536-9b21-11e8-a7eb-0242ac110014/questions/ 4/5
7) Uma das principais ferramentas utilizada para segurança em redes é o firewall. Um firewall gerencia o fluxo de
tráfego, impedindo que tráfego de rede não autorizado entre ou saia dela. Você pode colocar um firewall entre uma
rede interna e o mundo exterior ou dentro da rede interna para controlar que somente usuários autorizados tenham
acesso a determinados ativos corporativos. Sobre firewalls, é correto afirmar que:
A) Um Next Generation Firewall possui, além de recursos próprios de um firewall, recursos adicionais como
antivírus, e até servidores proxys.
B) Um firewall UTM possui capacidade de inspeção de tráfego superior aos demais tipos de firewall.
C) Um firewall UTM é produto direcionado a empresas com com tráfego intenso de dados .
D) O Next Generation Firewall surgiu para suprir uma deficiência referente ao desempenho dos firewalls UTM.
E) O firewall de filtragem de pacotes possui recursos avançados para analisar aplicativos em cada ponta da
comunicação.
8) Um ataque é bem-sucedido quando explora alguma brecha ou ponto vulnerável de um sistema ou rede de uma
organização. O leque de opções utilizadas por atacantes como os crackers é vasto. Vão desde a utilização de
ferramentas fabricadas, interceptações, interrupções e modificações em dados não autorizados. Veja a descrição de
dois tipos de ataque:
a)    Conhecido também como spoofing, acontece quando um atacante tenta enganar uma rede, configurando um
computador externo a essa como se fosse interno, a fim de acessar recursos dessa rede.
b)    Envolve a captura de pacote em uma transmissão, e seu posterior reenvio para causar algum dano ou
indisponibilidade de um sistema.
Respectivamente, essas descrições de ataques também são conhecidas como:
A) Engenharia social e Pharming.
B) Phreaking e ataque de dicionário.
C) Falsificação de endereço e ataque de retransmissão.
D) Ataques de homem do meio e Phishing.
E) Sequestro e falsificação de endereço.
9) Realizar o reconhecimento de uma rede significa extrair informações de uma rede para uso em futuros ataques.
Veja, em suposto ataque de um exército a um País, esse exército deve possuir informações sobre terreno, localização
de estradas, pontos fracos no perímetro do inimigo, entre outros dados. De maneira análoga, um atacante de rede
vai precisar de informações antes de atacar. Sejam as seguintes informações:
I.    Endereços IP usados na rede;
II.    Tipos de firewalls e outros sistemas de segurança;
III.    Procedimentos de acesso local;
IV.    Deficiências em sistemas de rede.
V.    Números de série de interfaces de rede
Qual das opções abaixo possuem apenas informações relevantes para um atacante de rede?
A) I, II e IV.
B) II, III e V.
C) II, III e IV.
D) I, II e III
E) I, II, e V.
24/10/2020 Grupo Splice
https://logus.provafacilnaweb.com.br/logus/schedule/resultcandidatedetail/2467990/ff645536-9b21-11e8-a7eb-0242ac110014/questions/ 5/5
10) A figura a seguir apresenta o infográfico da revisão da segurança. A utilização do ciclo de revisão de segurança
estabelece um fluxo de atividades para melhor gestão da segurança.
No tocante ao escopo da auditoria, é necessário definir os limites da análise no início do planejamento. É
imprescindível determinar quais as áreas sujeitas a serem auditadas, assim como designar os responsáveis por essas
áreas, sistemas e redes. Um ponto a se considerar é tornar a auditoria conhecida somente pelos envolvidos
selecionados a fim de os demais usuários não mudarem seu comportamento frente a uma possível avaliação
modificando o resultado da auditoria.
Descreva três atividades que deverão ser executadas no planejamento ou execução de auditorias de segurança de
sistemas de informação: