Baixe o app para aproveitar ainda mais
Prévia do material em texto
28/05/2023 19:06 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_31328445_1&course_id=_212777_1&content_id=_954844… 1/4 Revisar envio do teste: Clique aqui para iniciar o QuizSP_GRAD_686299_2302_01 2302-SEGURANÇA E AUDITORIA DE SISTEMAS DE INFORMAÇÃO Quiz REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ Usuário LUANA FERNANDA DEOCLECIO Curso 2302-SEGURANÇA E AUDITORIA DE SISTEMAS DE INFORMAÇÃO Teste Clique aqui para iniciar o Quiz Iniciado 28/05/23 19:00 Enviado 28/05/23 19:06 Data de vencimento 07/06/23 23:59 Status Completada Resultado da tentativa 8 em 10 pontos Tempo decorrido 5 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários Pergunta 1 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Um determinado software recebeu uma quantidade em demasia para um campo de entrada de dados e passou a operar incorretamente. Dizemos que o software sofreu: Um ataque de buffer overflow. Um ataque de um vírus. Uma pane em seu código fonte. Um ataque de buffer overflow. Nenhuma das alternativas anteriores. Alternativa correta c. Um ataque de buffer overflow. Um ataque de buffer overflow consiste no envio de uma massa de dados de tamanho superior àquela que o programa aguarda receber. Ao receber essa massa de dados excessiva, os sistemas armazenam tais informações em uma área de memória denominada buffer. Quando o buffer não possui o tamanho adequado, há um estouro (overflow) do mesmo e o software passa a se comportar de modo anormal. Há casos em que o software, diante de um buffer overflow, executa uma operação incorreta e permite acesso ao sistema pelo invasor. Pergunta 2 Sala de Aula Tutoriais LUANA FERNANDA DEOCLECIO 45 1 em 1 pontos 1 em 1 pontos https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_212777_1 https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_212777_1&content_id=_9548394_1&mode=reset https://www.ead.senac.br/ https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1 https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1 https://senacsp.blackboard.com/webapps/login/?action=logout 28/05/2023 19:06 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_31328445_1&course_id=_212777_1&content_id=_954844… 2/4 Resposta Selecionada: d. Respostas: a. b. c. d. Comentário da resposta: O setor de suporte da empresa recebeu um chamado relatando um erro no software. O analista de suporte ao tratar o chamado acessou o código-fonte do sistema e começou a analisar o código-fonte, para investigar eventuais inconsistências. Porém, este analista não é ligado à área de T.I. e de desenvolvimento de software. Com relação à gestão de segurança da informação, essa permissão está: Incorreta, pois essa ação vai contra o preceituado na norma de que o pessoal de suporte não tenha acesso ao código-fonte dos sistemas. Correta, pois o analista está sendo proativo e tenta auxiliar a equipe de T.I. a buscar a causa raiz do problema que está gerando o incidente. Correta, pois diante de um incidente a organização tem que investigar a real ocorrência, não importando quem faça essa investigação. Incorreta, pois não é responsabilidade do analista fazer essa tarefa. Incorreta, pois essa ação vai contra o preceituado na norma de que o pessoal de suporte não tenha acesso ao código-fonte dos sistemas. Alternativa correta d. Incorreta, pois essa ação vai contra o preceituado na norma que o pessoal de suporte não tenha acesso ao código-fonte dos sistemas. O acesso ao código-fonte dos sistemas deve ser restrito, com o objetivo de prevenir a introdução de funcionalidades não autorizadas e mudanças não intencionais. O ideal é possuir uma biblioteca central de código-fonte e o que for sensível ao negócio fique por meio de bibliotecas compiladas, das quais não é possível interpretar o código. Pergunta 3 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Qual das alternativas a seguir NÃO é uma das fases do processo de gestão de incidentes? Pesquisa de vulnerabilidades. Preparação. Detecção e análise. Pesquisa de vulnerabilidades. Contenção, mitigação e recuperação. Alternativa correta c. Pesquisa de vulnerabilidades. O processo de gestão de incidentes é composto por quatro fases, quais sejam: (i) preparação, (ii) detecção e análise, (iii) contenção, mitigação e recuperação e (iv) ações pós- incidente. Pergunta 4 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Qual é a etapa na gestão de riscos na qual avaliamos qualitativamente e quantitativamente os riscos levantados Mensuração do risco Avaliação dos riscos Mensuração do risco Identificação do risco Apreciação do risco Alternativa D. A apreciação do risco. A apreciação do risco tem por objetivo analisar e avaliar qualitativamente e quantitativamente o risco. Pergunta 5 1 em 1 pontos 0 em 1 pontos 1 em 1 pontos 28/05/2023 19:06 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_31328445_1&course_id=_212777_1&content_id=_954844… 3/4 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: A segurança da informação é repleta de termos. Compreendê-los é um passo fundamental para o bom entendimento da disciplina. Um dos termos indica aquilo que deve ser protegido por uma política de segurança da informação. Que termo é este? Ativos de valor Requisitos de negócio Ativos de valor Processos-chave Segurança da informação Alternativa B. A informação é dita um ativo de valor, que deve ser protegido sob diversos níveis, que variam conforme o valor que esta possui para a organização. Pergunta 6 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: A sua empresa trabalha no desenvolvimento de software e precisa de uma massa de dados para testes. Você simplesmente faz uma cópia dos dados de toda a base da empresa e encaminha por e-mail para o desenvolvedor fazer mais testes. De acordo com as boas práticas de segurança da informação, você agiu: Incorretamente, pois a norma preceitua que alguns dados precisam ser devidamente mascarados antes de serem repassados a terceiros, para preservação de informações confidenciais. Corretamente, pois é preciso testar o software exaustivamente e nada melhor do que dados reais. Incorretamente, pois a empresa necessitava formalizar por escrito este pedido para que depois você enviasse o e- mail. Incorretamente, pois a norma preceitua que alguns dados precisam ser devidamente mascarados antes de serem repassados a terceiros, para preservação de informações confidenciais. Corretamente. Você fez uso de um mecanismo auditável (um e-mail) que garante o registro do pedido e do fornecimento de dados, cumprindo os acordos de nível de serviço estabelecidos. Alternativa correta c. Incorretamente, pois a norma preceitua que alguns dados precisam ser devidamente mascarados antes de serem repassados a terceiros, para preservação de informações confidenciais. Os dados a serem utilizados para testes devem ser selecionados com cuidado, protegidos e controlados. É importante evitar obter dados para testes provenientes de bases de dados que contenham informações de natureza pessoal ou qualquer informação confidencial. Pergunta 7 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Você está lidando com o processo de tratamento de riscos e está diante de um risco que precisa ser tratado adequadamente. Ao final de uma reunião da diretoria, ficou decidido que uma empresa será contratada para fornecer suporte em casos de ocorrência do risco. Qual estratégiade risco foi utilizada para este risco? A empresa decidiu transferir o risco. A empresa decidiu aceitar o risco e conviver com ele. A empresa decidiu transferir o risco. A empresa decidiu ignorar o risco. A empresa implantou o controle de "contratação de partes externas" para mi�gar o risco. Alternativa B. A empresa decidiu transferir o risco. A transferência de risco é uma abordagem na qual a empresa transfere a responsabilidade do risco para outra empresa, normalmente uma seguradora. Pergunta 8 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 28/05/2023 19:06 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_31328445_1&course_id=_212777_1&content_id=_954844… 4/4 Domingo, 28 de Maio de 2023 19h06min15s BRT Resposta Selecionada: a. Respostas: a. b. c. d. Comentário da resposta: Com relação à proteção ambiental, devemos estabelecer controles para a proteção física contra incêndios, terremotos, explosões, perturbação de ordem pública e ______________. Qual termo é o mais adequado para a proteção ambiental? Enchentes. Enchentes. Acesso não autorizado a sistemas via internet. Quebra de um equipamento de proteção de acesso. Grade física de proteção de perímetro. Alternativa A. Enchentes. A proteção ambiental refere-se a problemas do meio ambiente e decorrentes dele. Das alternativas apresentadas, apenas a enchente é algo relacionado ao meio ambiente. Pergunta 9 Resposta Selecionada: d. Respostas: a. b. c. d. Comentário da resposta: Um fornecedor de serviços possui um nome que o identifica perante os controles da norma. Qual é este nome? Contratado Empregado Parceiro de negócios Parte externa Contratado Alternativa C. Parte externa. Normalmente são provedores de serviço, provedores de rede, de telefonia, serviços de apoio e manutenção. Também são definidos como partes externas os clientes, a terceirização de operações e recursos, operação da central de atendimento, consultores em negócio e em gestão, auditores, fornecedores de softwares e sistemas de TI, pessoal de limpeza, dentre outros. Pergunta 10 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Qual é o nome que se dá ao processo de revisão frequente da política de segurança da informação? Análise crí�ca Revisão Melhoria Análise crí�ca Evolução Alternativa C. Análise Crítica. Esse processo inclui a avaliação de oportunidades para a melhoria da política da organização, gerenciando-a em resposta às mudanças no ambiente organizacional, às oportunidades de negócio, às condições legais e ao ambiente técnico. ← OK 0 em 1 pontos 1 em 1 pontos
Compartilhar