AC2_ GT026TSN1 - Segurança e Auditoria de Sistemas de Informação

Prévia do material em texto

AC2
Entrega 26 mai em 23:59
Pontos 10
Perguntas 10
Disponível 20 mai em 0:00 - 26 mai em 23:59
Limite de tempo 60 Minutos
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 31 minutos 9 de 10
 As respostas corretas estarão disponíveis em 27 mai em 0:00.
Pontuação deste teste: 9 de 10
Enviado 22 mai em 21:20
Esta tentativa levou 31 minutos.

Pergunta 1
1 / 1 pts
Prezado Aluno:
Leia com atenção as instruções abaixo antes de realizar a Avaliação AC2:
IMPORTANTE:
Escolha um ambiente adequado para a realização da avaliação, onde você possa se concentrar
e responder às questões sem interrupções;
Você precisará de uma conexão de Internet estável, que esteja ativa durante toda a realização da
avaliação;
Para maior tranquilidade, evite fazer a avaliação a partir do celular ou outros dispositivos móveis,
use um notebook ou computador desktop;
Não se esqueça de clicar no botão "Enviar teste" após responder às perguntas , para confirmar
o seu envio;
Fique atento ao horário limite para realização da avaliação;
Uma vez iniciada, você terá apenas o tempo limite da avaliação para finalizá-la e enviá-la.
Não haverá uma segunda chance para refazê-la.
Boa Prova!
Equipe EAD
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 1/7
https://facens.instructure.com/courses/13415/quizzes/53672/history?version=1
 Atividade de atenuação.
 Mapeamento de rede.
 Teste de vulnerabilidade.
 Reconhecimento.
 Testes de intrusão.
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico
3.1.1, utilizando o mapeamento de rede é possível descobrir nós de uma rede bem como serviços
nela disponíveis e passíveis de ataque.

Pergunta 2
1 / 1 pts
 Questionários, entrevistas e observação.
 Listas de verificação (checklists), testes de segurança e observação.
 Configurações de revisão, observação e testes de segurança.
 Política de revisão, testes de segurança e configurações de revisão.
 Documentação de revisão, listas de verificação (checklists) e questionários.
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.2,
as descrições são dos métodos de coleta de dados de auditoria: listas de verificação (checklists),
Para a criação de um roteiro de testes, não há uma solução única ou perfeita, cada professional de
segurança seguirá seu próprio caminho. Porém, é possível realizar atividades que podem fornecer
uma visão mais completa de toda a segurança do sistema. Entre essas atividades, pode-se citar
uma análise que é realizada por meio de ferramentas para determinar o esquema e os serviços que
estão funcionando nos sistemas e redes da organização. É possível simular um atacante utilizando
pacote ICMP (ping) para descobrir a arquitetura de uma rede, vendo quais vantagens um atacante
poderia obter. Essa análise, que é recomendada que seja incluída em um roteiro de testes, é
conhecida como:
Após o planejamento e posterior execução de uma auditoria, muitos dados são gerados e
necessitam ser coletados. A partir da coleta desses dados, é possível então analisá-los e processá-
los, a fim de produzir informações relevantes para eventuais melhorias. Existem muitas técnicas de
coletas de dados, entre elas, podem-se citar:
I. Documentos que ajudam a garantir que o processo de coleta de informações atinja todas as
áreas, evitando que alguma seja esquecida inadvertidamente.
II. Teste de vulnerabilidade e teste de intrusão devem reunir informações técnicas para determinar
se existem vulnerabilidades nos componentes, nas redes e nos aplicativos de segurança.
III. É importante ver a diferença entre atividades na teoria e como elas são realizadas na prática.
As descrições de tipos de coleta de dados de uma auditoria mencionados também são conhecidas
como, respectivamente?
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 2/7
testes de segurança e observação.

Pergunta 3
1 / 1 pts
 I e II.
 I, II e III.
 Apenas o II.
 Apenas o III.
 I e III.
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1,
todos os pontos citados devem ser utilizados em uma auditoria de controles de segurança.

Pergunta 4
1 / 1 pts
 Gentil.
 Método agilíssimo.
No escopo de segurança dos sistemas de informação, uma auditoria de segurança serve para
verificar se seus sistemas e controles de segurança estão em funcionamento e da maneira para o
qual foram planejados para funcionar, ou seja, se estão funcionando corretamente. Com isso, uma
auditoria deve verificar os seguintes pontos:
I. Se as políticas de segurança são apropriadas para a empresa ou a atividade: deve ser verificado
se as políticas estabelecidas são seguidas e compreendidas, se dão suporte à missão da
organização. A auditoria em si não define novas políticas. Auditores, porém, podem fazer
recomendações com base em experiência ou conhecimento de novas regulamentações.
II. Se as políticas são sustentadas por controles: deve ser verificado se foram colocados em
funcionamento controles que sustentam as políticas. Se um controle não for justificado pela
existência de uma política, ele provavelmente deverá ser removido.
III. Se a implementação e a manutenção de controles são efetivas: na medida que uma organização
cresce e novas ameaças surgem, os controles de segurança devem ser atualizados a fim de
conseguirem atuar contra aquilo para o qual foram projetados.
 
Dos pontos listados a serem verificados por uma auditoria de segurança, qual deles está ou estão
corretos?
Escolha a opção que completa corretamente a frase a seguir:
A coleta de informações sobre um alvo, que representa a primeira fase de um teste de invasão,
recebe o nome de ....
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 3/7
 Footprint.
 Foodprint.
 Liberal conservador.
Correta, essa opção completa corretamente a frase.

Pergunta 5
1 / 1 pts
 Evento.
 Vulnerabilidade
 Possibilidade.
 Impacto.
 Ameaça.
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.1, a descrição
colocada na questão refere-se ao conceito de impacto.

IncorretaPergunta 6
0 / 1 pts
 A afirmação II é falsa, pois DRPs são feitos para curto prazo, para uma resposta imediata aos desastres.
 A afirmação III é falsa porque o DRP permite a tomada de decisões críticas de maneira emergencial.
No que tange à área de segurança da informação, a definição de risco é aquela que vê o risco sob a
perspectiva de uma ameaça ou perigo. Porém, existem outros conceitos importantes que devem ser
observados. Por exemplo, há um conceito que se refere à extensão do dano que pode ser causado
por uma ameaça que explorou uma vulnerabilidade. Por exemplo, se um sistema for infectado por
um vírus, poderá afetar todos os dados. Qual é o nome do conceito exemplificado?
Quando se trata de recuperação, após a ocorrência de alguma eventualidade em uma organização,
o plano de recuperação de desastre (da sigla em inglês DRP, Disaster Recovery Plan) é vital para a
abordagem da situação. Considerando um DRP, atente-se às seguintes asserções:
 
I. Por meio de um DRP, um gerente devidamente designado deverá declarar que um incidente se
tornou um desastre.
II. DRPs são projetos de longo prazo, demorados e caros.
III. DRP permite que você tome decisões críticas com antecedência.
 
Diante dessas asserções, é correto afirmar que:
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 4/7
 
As afirmações I, II e III são verdadeiras, pois no DRP é possível a declaração de um gerente sobre desastres, é de
longo prazo e caro e permite tomadas de decisões críticas com antecedência.A afirmação II é falsa, pois DRPs são baratos.
 A afirmação I é falsa pois um desastre não é declarado, é percebido por toda uma organização.
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 3, é possível
conferir que todas as afirmações são verdadeiras

Pergunta 7
1 / 1 pts
 dado em dado.
 dado original em dado cifrado.
 dado cifrado em dado cifrado.
 dado cifrado em dado original.
 dado original em dado original.
Correta, essa opção completa corretamente a frase.

Pergunta 8
1 / 1 pts
Escolha a alternativa que completa a frase a seguir corretamente:
O processo de cifragem consiste na transformação do dado original em dado cifrado ou
criptografado. O processo de decifragem consiste na transformação do ...:
A criptografia exerce um papel fundamental nos negócios de uma organização. Ela exerce esse
papel tanto do ponto de vista interno, dentro da organização, quanto do posto de vista externo, com
foco no relacionamento entre organizações. Com relação ao apoio interno, a criptografia pode
atender aos seguintes objetivos de segurança:
I. Privacidade: significa conceder permissão a alguém para realizar uma tarefa específica ou
acessar certos dados.
II. Integridade: garante que ninguém altere ou exclua dados.
III. Autorização: permite que somente pessoas autorizadas possam ler as informações e mantém
dados sensíveis longe de quem não tem autorização para acessá-los.
IV. Controle de acesso: Controle de acesso envolve restringir informações às pessoas certas. Por
exemplo, você pode armazenar planos salariais em um gabinete de arquivo onde somente
funcionários de RH tenham a chave.
Com relação aos objetivos apresentados, quais estão corretos?
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 5/7
 II e IV.
 I, III e IV.
 III e IV.
 I, II e III.
 I e III.
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 2, as opções
que contém descrições corretas são a II e IV.

Pergunta 9
1 / 1 pts
 KWG IG RNYTQTLNG.
 FSO HO TNXSPSKNO.
 IVE HE QMXSPSKME.
 JWF IF RNYTQTLNF.
 KXG JG SOZURUMOG.
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 3.1.1.1, a cifra
de César “right 5” seria o equivalente a deslocar para a direita cada letra 5 vezes. No caso, a letra A
seria F na cifra. Portanto, a resposta correta é JWF IF RNYTQTLNF.

Pergunta 10
1 / 1 pts
 Não Repúdio e Integridade.
A Cifra de César é um dos métodos mais simples e comuns de encriptação. Essa cifra é conhecida
por esse nome porque era utilizada por Júlio César em suas correspondências. Nessa cifra, cada
letra da mensagem é substituída por uma letra do alfabeto deslocado por um número fixo.
Considerando uma Cifra de César ”right 5”, qual seria a mensagem cifrada para a seguinte frase:
 
ERA DA MITOLOGIA.
Para que seja utilizada como uma ferramenta eficaz para os Sistemas de Informação, a criptografia
atende a requisitos específicos da disciplina da segurança da informação. Um desses requisitos é a
capacidade de impedir que uma declaração prévia seja negada posteriormente. Outro requisito
importante atendido pela criptografia é a capacidade de se confirmar a identidade, por exemplo, de
um emissor de informação.
Baseando-se nos exemplos fornecidos, quais requisitos foram descritos respectivamente?
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 6/7
 Repúdio e Autenticação.
 Repúdio e Confidencialidade.
 Não Repúdio e Confidencialidade.
 Não Repúdio e Autenticação.
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1.2, pelo texto
fornecido, os requisitos de segurança da informação descritos são Não Repúdio e Autenticação.
Pontuação do teste: 9 de 10
22/05/2024, 21:20 AC2: GT026TSN1 - Segurança e Auditoria de Sistemas de Informação
https://facens.instructure.com/courses/13415/quizzes/53672 7/7