Prévia do material em texto
AC2 Entrega 26 mai em 23:59 Pontos 10 Perguntas 10 Disponível 20 mai em 0:00 - 26 mai em 23:59 Limite de tempo 60 Minutos Instruções Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 31 minutos 9 de 10 As respostas corretas estarão disponíveis em 27 mai em 0:00. Pontuação deste teste: 9 de 10 Enviado 22 mai em 21:20 Esta tentativa levou 31 minutos. Pergunta 1 1 / 1 pts Prezado Aluno: Leia com atenção as instruções abaixo antes de realizar a Avaliação AC2: IMPORTANTE: Escolha um ambiente adequado para a realização da avaliação, onde você possa se concentrar e responder às questões sem interrupções; Você precisará de uma conexão de Internet estável, que esteja ativa durante toda a realização da avaliação; Para maior tranquilidade, evite fazer a avaliação a partir do celular ou outros dispositivos móveis, use um notebook ou computador desktop; Não se esqueça de clicar no botão "Enviar teste" após responder às perguntas , para confirmar o seu envio; Fique atento ao horário limite para realização da avaliação; Uma vez iniciada, você terá apenas o tempo limite da avaliação para finalizá-la e enviá-la. Não haverá uma segunda chance para refazê-la. Boa Prova! Equipe EAD 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 1/7 https://facens.instructure.com/courses/13415/quizzes/53672/history?version=1 Atividade de atenuação. Mapeamento de rede. Teste de vulnerabilidade. Reconhecimento. Testes de intrusão. Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 3.1.1, utilizando o mapeamento de rede é possível descobrir nós de uma rede bem como serviços nela disponíveis e passíveis de ataque. Pergunta 2 1 / 1 pts Questionários, entrevistas e observação. Listas de verificação (checklists), testes de segurança e observação. Configurações de revisão, observação e testes de segurança. Política de revisão, testes de segurança e configurações de revisão. Documentação de revisão, listas de verificação (checklists) e questionários. Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.2, as descrições são dos métodos de coleta de dados de auditoria: listas de verificação (checklists), Para a criação de um roteiro de testes, não há uma solução única ou perfeita, cada professional de segurança seguirá seu próprio caminho. Porém, é possível realizar atividades que podem fornecer uma visão mais completa de toda a segurança do sistema. Entre essas atividades, pode-se citar uma análise que é realizada por meio de ferramentas para determinar o esquema e os serviços que estão funcionando nos sistemas e redes da organização. É possível simular um atacante utilizando pacote ICMP (ping) para descobrir a arquitetura de uma rede, vendo quais vantagens um atacante poderia obter. Essa análise, que é recomendada que seja incluída em um roteiro de testes, é conhecida como: Após o planejamento e posterior execução de uma auditoria, muitos dados são gerados e necessitam ser coletados. A partir da coleta desses dados, é possível então analisá-los e processá- los, a fim de produzir informações relevantes para eventuais melhorias. Existem muitas técnicas de coletas de dados, entre elas, podem-se citar: I. Documentos que ajudam a garantir que o processo de coleta de informações atinja todas as áreas, evitando que alguma seja esquecida inadvertidamente. II. Teste de vulnerabilidade e teste de intrusão devem reunir informações técnicas para determinar se existem vulnerabilidades nos componentes, nas redes e nos aplicativos de segurança. III. É importante ver a diferença entre atividades na teoria e como elas são realizadas na prática. As descrições de tipos de coleta de dados de uma auditoria mencionados também são conhecidas como, respectivamente? 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 2/7 testes de segurança e observação. Pergunta 3 1 / 1 pts I e II. I, II e III. Apenas o II. Apenas o III. I e III. Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, todos os pontos citados devem ser utilizados em uma auditoria de controles de segurança. Pergunta 4 1 / 1 pts Gentil. Método agilíssimo. No escopo de segurança dos sistemas de informação, uma auditoria de segurança serve para verificar se seus sistemas e controles de segurança estão em funcionamento e da maneira para o qual foram planejados para funcionar, ou seja, se estão funcionando corretamente. Com isso, uma auditoria deve verificar os seguintes pontos: I. Se as políticas de segurança são apropriadas para a empresa ou a atividade: deve ser verificado se as políticas estabelecidas são seguidas e compreendidas, se dão suporte à missão da organização. A auditoria em si não define novas políticas. Auditores, porém, podem fazer recomendações com base em experiência ou conhecimento de novas regulamentações. II. Se as políticas são sustentadas por controles: deve ser verificado se foram colocados em funcionamento controles que sustentam as políticas. Se um controle não for justificado pela existência de uma política, ele provavelmente deverá ser removido. III. Se a implementação e a manutenção de controles são efetivas: na medida que uma organização cresce e novas ameaças surgem, os controles de segurança devem ser atualizados a fim de conseguirem atuar contra aquilo para o qual foram projetados. Dos pontos listados a serem verificados por uma auditoria de segurança, qual deles está ou estão corretos? Escolha a opção que completa corretamente a frase a seguir: A coleta de informações sobre um alvo, que representa a primeira fase de um teste de invasão, recebe o nome de .... 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 3/7 Footprint. Foodprint. Liberal conservador. Correta, essa opção completa corretamente a frase. Pergunta 5 1 / 1 pts Evento. Vulnerabilidade Possibilidade. Impacto. Ameaça. Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.1, a descrição colocada na questão refere-se ao conceito de impacto. IncorretaPergunta 6 0 / 1 pts A afirmação II é falsa, pois DRPs são feitos para curto prazo, para uma resposta imediata aos desastres. A afirmação III é falsa porque o DRP permite a tomada de decisões críticas de maneira emergencial. No que tange à área de segurança da informação, a definição de risco é aquela que vê o risco sob a perspectiva de uma ameaça ou perigo. Porém, existem outros conceitos importantes que devem ser observados. Por exemplo, há um conceito que se refere à extensão do dano que pode ser causado por uma ameaça que explorou uma vulnerabilidade. Por exemplo, se um sistema for infectado por um vírus, poderá afetar todos os dados. Qual é o nome do conceito exemplificado? Quando se trata de recuperação, após a ocorrência de alguma eventualidade em uma organização, o plano de recuperação de desastre (da sigla em inglês DRP, Disaster Recovery Plan) é vital para a abordagem da situação. Considerando um DRP, atente-se às seguintes asserções: I. Por meio de um DRP, um gerente devidamente designado deverá declarar que um incidente se tornou um desastre. II. DRPs são projetos de longo prazo, demorados e caros. III. DRP permite que você tome decisões críticas com antecedência. Diante dessas asserções, é correto afirmar que: 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 4/7 As afirmações I, II e III são verdadeiras, pois no DRP é possível a declaração de um gerente sobre desastres, é de longo prazo e caro e permite tomadas de decisões críticas com antecedência.A afirmação II é falsa, pois DRPs são baratos. A afirmação I é falsa pois um desastre não é declarado, é percebido por toda uma organização. Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 3, é possível conferir que todas as afirmações são verdadeiras Pergunta 7 1 / 1 pts dado em dado. dado original em dado cifrado. dado cifrado em dado cifrado. dado cifrado em dado original. dado original em dado original. Correta, essa opção completa corretamente a frase. Pergunta 8 1 / 1 pts Escolha a alternativa que completa a frase a seguir corretamente: O processo de cifragem consiste na transformação do dado original em dado cifrado ou criptografado. O processo de decifragem consiste na transformação do ...: A criptografia exerce um papel fundamental nos negócios de uma organização. Ela exerce esse papel tanto do ponto de vista interno, dentro da organização, quanto do posto de vista externo, com foco no relacionamento entre organizações. Com relação ao apoio interno, a criptografia pode atender aos seguintes objetivos de segurança: I. Privacidade: significa conceder permissão a alguém para realizar uma tarefa específica ou acessar certos dados. II. Integridade: garante que ninguém altere ou exclua dados. III. Autorização: permite que somente pessoas autorizadas possam ler as informações e mantém dados sensíveis longe de quem não tem autorização para acessá-los. IV. Controle de acesso: Controle de acesso envolve restringir informações às pessoas certas. Por exemplo, você pode armazenar planos salariais em um gabinete de arquivo onde somente funcionários de RH tenham a chave. Com relação aos objetivos apresentados, quais estão corretos? 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 5/7 II e IV. I, III e IV. III e IV. I, II e III. I e III. Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 2, as opções que contém descrições corretas são a II e IV. Pergunta 9 1 / 1 pts KWG IG RNYTQTLNG. FSO HO TNXSPSKNO. IVE HE QMXSPSKME. JWF IF RNYTQTLNF. KXG JG SOZURUMOG. Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 3.1.1.1, a cifra de César “right 5” seria o equivalente a deslocar para a direita cada letra 5 vezes. No caso, a letra A seria F na cifra. Portanto, a resposta correta é JWF IF RNYTQTLNF. Pergunta 10 1 / 1 pts Não Repúdio e Integridade. A Cifra de César é um dos métodos mais simples e comuns de encriptação. Essa cifra é conhecida por esse nome porque era utilizada por Júlio César em suas correspondências. Nessa cifra, cada letra da mensagem é substituída por uma letra do alfabeto deslocado por um número fixo. Considerando uma Cifra de César ”right 5”, qual seria a mensagem cifrada para a seguinte frase: ERA DA MITOLOGIA. Para que seja utilizada como uma ferramenta eficaz para os Sistemas de Informação, a criptografia atende a requisitos específicos da disciplina da segurança da informação. Um desses requisitos é a capacidade de impedir que uma declaração prévia seja negada posteriormente. Outro requisito importante atendido pela criptografia é a capacidade de se confirmar a identidade, por exemplo, de um emissor de informação. Baseando-se nos exemplos fornecidos, quais requisitos foram descritos respectivamente? 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 6/7 Repúdio e Autenticação. Repúdio e Confidencialidade. Não Repúdio e Confidencialidade. Não Repúdio e Autenticação. Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1.2, pelo texto fornecido, os requisitos de segurança da informação descritos são Não Repúdio e Autenticação. Pontuação do teste: 9 de 10 22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação https://facens.instructure.com/courses/13415/quizzes/53672 7/7