Prova 2

Prévia do material em texto

Pontuação desta tentativa: 18 de 20
Enviado 21 set em 14:57
Esta tentativa levou 61 minutos.
 
Pergunta 1
2 / 2 pts
O trabalho de um auditor de segurança é complexo. Além da própria auditoria em si, sua atividade requer uma análise minuciosa dos dados coletados. Após a coleta, então uma série de atividades devem ser executadas no processamento dos dados, culminando na apresentação dos resultados para os responsáveis de uma organização. Os resultados são apresentados em um relatório que incluem ao menos três seções:
I. Descobertas: geralmente relacionadas por nível de conformidade em relação à referência-padrão utilizada. A comparação com um benchmark gera uma listagem dos pontos nos quais a organização precisa melhorar.
II. Recomendações: auditores recomendam como materializar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização.
III. Acompanhamento: se necessário, auditores podem agendar uma auditoria de acompanhamento (follow-up) para se certificarem de que a organização tenha utilizado de fato as recomendações.
Das três seções apresentadas, qual(is) estão corretas?
  
I e II
 
  
I, II e III
 
  
I e III
 
  
Apenas a II
 
  
Apenas a I
 
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.4, na seção de Recomendações de um relatório de auditoria encontramos que auditores recomendam como mitigar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização. O restante das asserções estão corretas.
 
Pergunta 2
2 / 2 pts
Com relação aos controles de segurança, sabe-se que esses estabelecem limites que podem colocar em risco uma organização, caso não estejam em pleno funcionamento. Esses controles então devem ser revisados com uma frequência regular, inclusive é recomendado que cada controle passe por um ciclo de revisão. Nesse ciclo, constam atividades que apoiam o correto funcionamento de um controle. Uma dessas atividades é o aprimoramento de controles. Posto isso, qual das alternativas abaixo descreve corretamente a atividade de aprimoramento de controles?
  
Uma vez instalados e então monitorados, os controles devem ser passíveis de serem auditados. Confrontando a execução e históricos dos controles, frentes às políticas estabelecidas pela organização, gera-se insumos para o próximo passo.
 
  
Uma vez que os controles foram postos em funcionamento, será necessário observar como os controles executam e se há alguma informação a respeito de alguma brecha de segurança neles.
 
  
Controles de segurança devem ser instalados e devem funcionar conforme foram especificados.
 
  
De posse dos resultados obtidos em uma etapa anterior, é possível propor melhorias e alterações nos controles de segurança para adequação a políticas ou brechas que porventura tenham sido encontradas.
 
  
Quando instalados e devidamente monitorados, os controles devem ser passíveis de serem ampliados. Confrontando a execução e históricos dos controles, frente às políticas estabelecidas pela organização, gera-se insumos para outra atividade.
 
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, a atividade de aprimoramento descreve que uma vez obtidos resultados de uma etapa prévia, é possível propor melhorias e alterações nos controles de segurança para adequação a políticas ou brechas que porventura tenham sido encontradas.
 
IncorretaPergunta 3
0 / 2 pts
Um sistema computacional é auditado para verificar se ele foi executado conforme construído e planejado para uma tarefa em específico. As auditorias checam em dado momento do tempo se a configuração atual de um sistema está em conformidade com padrões. Um sistema pode ser auditado de maneira manual ou ainda automatizada por meio de software. Considerando esse fato, atente-se às seguintes maneiras de se auditar um sistema:
I. Entrevistar seu pessoal.
II. Realizar varreduras de vulnerabilidade.
III. Revisar controles de acesso de aplicativos e de sistema operacional.
IV. Analisar acesso físico aos sistemas.
V. Uso de scripts em lote para testes massivos.
Quais das maneiras de se auditar um sistema são manuais?
  
III, IV e V
 
  
I, II, III e IV
 
  
III e V
 
  
II, III e V
 
  
II, IV e V
 
 
Pergunta 4
2 / 2 pts
No planejamento do escopo de uma auditoria, é necessário definir os limites da análise no início do planejamento. É imprescindível determinar quais as áreas sujeitas a serem auditadas, assim como designar os responsáveis por essas áreas, sistemas e redes. Além disso, tanto o planejamento quanto a execução de auditorias irão demandar um trabalho árduo por parte dos auditores, que ainda executam atividades essenciais para a realização de uma auditoria. Considere as atividades abaixo:
I. Estudar o local: entender o ambiente e como os elementos auditados se relacionam previamente.
II. Analisar documentação: analisar documentação e configurações de sistema no planejamento e durante a auditoria em si.
III. Analisar resultados de análise de riscos: entender classificações de criticidade de sistemas e componentes relacionados para impedir a criação de relatório sobre riscos envolvidos.
IV. Analisar históricos de servidores: pedir históricos de mudanças de sistema para procurar alterações em programas, permissões ou configurações.
V. Analisar históricos de incidentes: analisar históricos de incidentes de segurança para rastrear tendências de problemas.
VI. Analisar resultados de testes de intrusão: analisar relatório dos testes feitos e garantir que a auditoria trate de todos os itens.
Qual ou quais dessas asserções estão descritas corretamente?
  
I, II, IV, V e VI
 
  
III, IV e V.
 
  
I, III, IV, V e VI
 
  
Apenas a V.
 
  
Apenas a VI.
 
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.1, apenas a afirmação III está equivocada, pois o correto seria: entender classificações de criticidade de sistemas e componentes relacionados para facilitar a criação de relatório sobre riscos envolvidos.
 
Pergunta 5
2 / 2 pts
O gerenciamento de risco pode ser considerado um fator determinante para o sucesso ou o fracasso de uma organização. Com isso, a principal tarefa do profissional de segurança será trabalhar com sua equipe na identificação de riscos e soluções que possam minimizar esses riscos. Com isso em mente, qual das alternativas abaixo apresenta corretamente um dos princípios do gerenciamento de risco?
  
Uma medida de proteção, uma contramedida, sem possuir um risco atrelado, terá seu custo sempre justificado.
 
  
O valor utilizado para proteger um ativo deve ser maior do que o valor dele próprio.
 
  
Uma medida de proteção, uma contramedida, com um risco atrelado, jamais justificará seu custo.
 
  
O valor utilizado para proteger um ativo não deve ser nulo em relação ao valor dele próprio.
 
  
Uma medida de proteção, uma contramedida, sem possuir um risco atrelado, jamais justificará seu custo.
 
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1, você pode conferir que um dos princípios do gerenciamento de risco é: Uma medida de proteção, uma contramedida, sem possuir um risco atrelado, jamais justificará seu custo.
 
Pergunta 6
2 / 2 pts
Na medida em que se desenvolvem estratégias para o gerenciamento de risco, registrar, documentar e disponibilizar informações quanto às respostas mais comuns encontradas pode ajudar na redução, transferência e aceitação dos riscos, evitando-os. Considere as seguintes abordagens para tratamento dos riscos:
I. Atenuação (redução) de risco: essa abordagem utiliza diversos controles para atenuar ou reduzir riscos que foram identificados.
II. Atribuição (transferência) de risco: essa abordagem possibilita que a organização mantenha o risco na própria entidade. Fazer um seguro de algum ativo é um modo comum de reduzir risco.
III. Aceitação de risco: essa abordagem, em linhas gerais, é decidir não assumir um risco.Uma organização pode decidir não entrar em uma linha de negócios se o nível de risco for muito alto.
IV. Impedimento de risco: permite que uma organização aceite riscos. Considere que o risco existe e decidiu-se que o custo de reduzi-lo é mais alto que o da perda. Isso pode incluir um seguro próprio ou usar uma franquia.
Qual(ais) das abordagens apresentadas está(ão) correta(s)?
 
  
Apenas a III
 
  
II, III e IV.
 
  
II e IV.
 
  
Apenas a I
 
  
Apenas a IV
 
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.3, a única descrição de abordagem correta é a I, portanto as demais são incorretas.
 
Pergunta 7
2 / 2 pts
No que tange à área de segurança da informação, a definição de risco é aquela que vê o risco sob a perspectiva de uma ameaça ou perigo. Porém, existem outros conceitos importantes que devem ser observados. Por exemplo, há um conceito que se refere à extensão do dano que pode ser causado por uma ameaça que explorou uma vulnerabilidade. Por exemplo, se um sistema for infectado por um vírus, poderá afetar todos os dados. Qual é o nome do conceito exemplificado?
  
Impacto.
 
  
Possibilidade.
 
  
Ameaça.
 
  
Vulnerabilidade.
 
  
Evento.
 
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.1, a descrição colocada na questão refere-se ao conceito de impacto.
 
Pergunta 8
2 / 2 pts
Dado o mundo em que vivemos, repleto de tecnologia em toda a nossa volta, a criptografia exerce um papel fundamental. Esse papel nos leva diretamente a como nossas informações podem ser protegidas. Em relação à segurança dos sistemas de informação, a criptografia pode satisfazer uma série de requisitos.
Quais são esses requisitos?
  
Conformidade, Integridade, Autenticação e Repúdio.
 
  
Confidencialidade, Integridade, Autenticação e Repúdio.
 
  
Confidencialidade, Integridade, Digitalização e Repúdio.
 
  
Confidencialidade, Integridade, Autenticação e Não Repúdio.
 
  
Conformidade, Integridade, Autenticação e Não Repúdio.
 
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1.2, os requisitos que são satisfeitos pela criptografia são: Confidencialidade, Integridade, Autenticação e Não Repúdio.
 
Pergunta 9
2 / 2 pts
Para que seja utilizada como uma ferramenta eficaz para os Sistemas de Informação, a criptografia atende a requisitos específicos da disciplina da segurança da informação. Um desses requisitos é a capacidade de impedir que uma declaração prévia seja negada posteriormente. Outro requisito importante atendido pela criptografia é a capacidade de se confirmar a identidade, por exemplo, de um emissor de informação.
Baseando-se nos exemplos fornecidos, quais requisitos foram descritos respectivamente?
  
Repúdio e Confidencialidade.
 
  
Repúdio e Autenticação.
 
  
Não Repúdio e Integridade.
 
  
Não Repúdio e Confidencialidade.
 
  
Não Repúdio e Autenticação.
 
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1.2, pelo texto fornecido, os requisitos de segurança da informação descritos são Não Repúdio e Autenticação.
 
Pergunta 10
2 / 2 pts
A palavra criptografia nasceu da junção de duas palavras gregas, kriptós (secreto, escondido) e gráfein (escrita), e significa o uso de técnicas para transformar texto ou dados legíveis em informação ilegível, que não possa ser compreendida. Com relação à criptografia, considere as seguintes afirmações:
I. Não apareceu após o surgimento da Internet;
II. Há referência de criptografia na cultura egípcia com os hieróglifos;
III. Os hebreus também utilizaram a criptografia, na forma de cifras monoalfabéticas.
Qual ou quais asserções estão corretas?
 
  
Apenas a I.
 
  
Apenas a III.
 
  
I, II e III.
 
  
Apenas a II.
 
  
II e III.
 
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1, todas as afirmações estão corretas.
Pontuação do teste: 18 de 20