02GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO - ATIVIDADES - AMB Fácil - Educação

Prévia do material em texto

Usuários
 39
40 posts
 Além de Infraestrutura como Serviço (IaaS), há também o
modelo chamado Software como Serviço (SaaS) e Plataforma
como Serviço (PaaS). Neste tipo de modelo, o PaaS, o cliente
não controla os recursos de infraestrutura da nuvem, mas
controla suas próprias aplicações.
 
Nesse sentido, assinale a alternativa que exemplifica o uso do
modelo SaaS.
Resposta
Selecionada:
Incorreta 
O cliente pode criar sua própria aplicação
(na nuvem).
Resposta Correta: Correta 
O cliente utiliza uma aplicação
proprietária (na nuvem).
Comentário
da resposta:
Sua resposta está incorreta. A alternativa está
incorreta, pois, no modelo SaaS, o cliente
apenas utiliza a aplicação disponibilizada na
nuvem e não tem controle algum sobre os
recursos desta máquina, ou conjunto de
máquinas, como alterar sua capacidade de
armazenamento, da rede, do tipo de antivírus
etc.
 
Pergunta 2
1 em 1 pontos
 
 Utilizada principalmente para garantir a confidencialidade de
uma mensagem trocada entre um emissor e um receptor, a
criptografia utiliza codificação para proteger o conteúdo da
informação. Seja por meio de um par de chaves ou de chave
única, a criptografia envolve o processo de cifragem no
emissor e, no receptor, o processo de decifragem.
 
Em relação à criptografia de chave única, assinale a
alternativa que corresponde a sua principal fragilidade.
Resposta
Selecionada:
Correta 
A troca de chaves entre emissor e
receptor.
Resposta Correta: Correta 
A troca de chaves entre emissor e
receptor.
Comentário
da resposta:
Resposta correta. A alternativa está correta. Uma
vez que a mesma chave é utilizada tanto para
cifrar quanto para decifrar uma mensagem, o
receptor deve receber a chave privada mediante
um meio seguro, ou toda segurança para
garantir a confidencialidade da mensagem estará
comprometida, se a mensagem for interceptada
por um intruso.
 
Pergunta 3
1 em 1 pontos
 
 A computação em nuvem permite que recursos
computacionais como servidores, aplicações e espaço de
armazenamento sejam criados sob demanda, com agilidade,
em um local público ou privado. Um dos modelos de
computação em nuvem é o IaaS, ou Infraestrutura como
Serviço.
 
Nesse sentido, assinale a alternativa que corresponde a esse
modelo.
Resposta
Selecionada:
Correta 
O cliente tem total controle sobre
computadores e suas aplicações.
https://www.ambfacil.com.br/index.php?/profile/2395-lear/reputation/
Resposta Correta: Correta 
O cliente tem total controle sobre
computadores e suas aplicações.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
o controle sobre o recurso é disponibilizado,
permitindo que o cliente instale um sistema
operacional e controle as aplicações que serão
instaladas, como escolher o software antivírus
que desejar, por exemplo.
 
Pergunta 4
1 em 1 pontos
 
 Dispositivos móveis, como os smartphones, estão cada vez
mais inseridos nos processos internos das empresas, seja
executando uma aplicação ou lendo um e-mail corporativo,
por exemplo. Esse novo conceito pode trazer alguns
benefícios, entre eles, o aumento de produtividade e redução
de custos para a empresa, uma vez que o funcionário utiliza
seu próprio equipamento. Contudo, o risco de um incidente de
segurança pode aumentar.
 
Nesse sentido, assinale a alternativa que justifica o aumento
desse risco.
Resposta
Selecionada:
Correta 
Perda do equipamento contendo
informações confidenciais da empresa.
 
Resposta Correta: Correta 
Perda do equipamento contendo
informações confidenciais da empresa.
 
Comentário
da resposta:
Resposta correta. A alternativa está correta,
pois, uma vez que o usuário carrega
informações da empresa em seu aparelho, se
este for roubado ou perdido, informações
confidenciais da empresa podem estar em risco.
O correto é que a Política de Segurança da
Informação da empresa aborde e cite normas
para esse tipo de uso.
 
Pergunta 5
1 em 1 pontos
 
 Uma informação pode ser acessada de diversas maneiras,
seja por meio de um sistema que acessa um banco de dados
ou por meio da leitura de um texto impresso, por exemplo.
Uma das políticas de segurança da informação sugeridas
pela ISO 27002 é a política de Mesa Limpa e Tela Limpa.
 
Nesse sentido, assinale a alternativa que indica o objetivo
dessa política.
Resposta
Selecionada:
Correta 
Instruir os colaboradores quanto à
proteção das informações.
Resposta Correta: Correta 
Instruir os colaboradores quanto à
proteção das informações.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
informações confidenciais anotadas em papéis
ou bilhetes sobre a mesa, por exemplo, podem
conter informações confidenciais que não
deveriam ser expostas para qualquer pessoa.
Além disso, manter o computador desbloqueado
quando se está ausente permite que qualquer
pessoa utilize o equipamento em nome do
colaborador ou, ainda, que pessoas não
autorizadas visualizem informações que não
deveriam ser divulgadas sem autorização.
 
Pergunta 6
1 em 1 pontos
 
 Uma das maneiras de uma empresa demonstrar que se
preocupa com a segurança das informações que processa é
obter uma certificação. Assim como a ISO 9001 certifica uma
empresa na área de gestão da qualidade, também existe um
framework para a área de segurança da informação.
 
Nesse sentido, assinale a alternativa que apresenta qual é
norma que certifica uma empresa nesta área.
Resposta Selecionada: Correta 
ISO 27001
Resposta Correta: Correta 
ISO 27001
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
a ISO 27001 é a norma que implementa o
Sistema de Gestão de Segurança da Informação
(SGSI), além dos 114 controles sugeridos na
ISO 27002. A conformidade com esta norma é
aferida por auditores credenciados que podem
certificar a empresa.
 
Pergunta 7
1 em 1 pontos
 
 Muitas empresas se beneficiam do uso das mídias sociais,
seja via perfis em redes sociais de relacionamento, criando
mais um canal de interação com os clientes, seja mediante
compartilhamento de peças publicitárias, utilizando fotos,
áudios ou vídeos para expandir seu marketing.
 
Nesse sentido, assinale a alternativa que indica o porquê da
abordagem desse processo pela Política de Segurança da
Informação.
Resposta
Selecionada:
Correta 
Para criar normas sobre o que pode e o que
não se pode publicar nesses meios.
Resposta
Correta:
Correta 
Para criar normas sobre o que pode e o que
não se pode publicar nesses meios.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
o uso incorreto das mídias sociais pode implicar
sobre a reputação da empresa, prejudicando
sua imagem no mercado. Por isso, é preciso
que a Política de Segurança da informação
contenha normas internas que diminuam este
risco.
 
Pergunta 8
1 em 1 pontos
 
 Uma das funções de um firewall corporativo é proteger a rede
local (interna) de uma empresa contra ataques vindos pela
Internet. Para tanto, é necessário que o firewall seja
configurado para filtrar os pacotes de rede, ou seja, permitir
ou bloquear conexões externas que têm como destino algum
dispositivo interno pertencente à rede local protegida, por
exemplo, um computador.
 
Sendo assim, assinale a alternativa correta que indica um
pré-requisito necessário para esse tipo de filtragem de
pacotes.
Resposta
Selecionada:
Correta 
Todas as conexões de rede, internas ou
externas, devem passar pelo firewall.
Resposta
Correta:
Correta 
Todas as conexões de rede, internas ou
externas, devem passar pelo firewall.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
o firewall corporativo funciona como um
estrangulador, ou seja, todas as conexões de
rede, em qualquer sentido, devem passar por
ele. Por exemplo, um computador da rede
interna que puder passar ao largo do firewall não
terá suas conexões filtradas, logo o filtro de
pacotes não servirá para nada, pelo menos para
este computador. 
 
Pergunta 9
1 em 1 pontos
 
 Controles de segurança da informação podem ser entendidos
como mecanismos que ajudam a manteros riscos de uma
empresa em um nível aceitável. O uso de catracas e circuito
interno de televisão, por exemplo, são controles que podem
ser empregados a um tipo de ativo.
 
Assinale a alternativa que indica qual tipo é esse.
Resposta Selecionada: Correta 
Ambiente físico.
Resposta Correta: Correta 
Ambiente físico.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
catracas e circuito interno de televisão são
mecanismos de controle de acesso e
monitoramento que devem ser implementados
em ativos do tipo ambiente ou de infraestrutura
física, como salas, prédios, cofres etc.
 
Pergunta 10
0 em 1 pontos
 
 Autenticação pode ser definida como um processo de
verificação de identidade, seja por meio de um nome de um
usuário e uma senha ou por meio de certificados digitais, por
exemplo. A permissão ou não de acesso à informação se dá
no processo de autorização, após a autenticação.
 
A respeito dos tipos de ativos que necessitam ser
identificados antes de acessarem uma informação, analise as
afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F
para a(s) Falsa(s).
 
 
I. ( ) Humanos
II. ( ) Tecnologia
III. ( ) Ambiente físico
IV. ( ) Computacionais
 
Assinale a alternativa que apresenta a sequência correta.
Resposta Selecionada: Incorreta 
V, V, V, F
Resposta Correta: Correta 
V, V, F, F
Comentário
da resposta:
Sua resposta está incorreta. A sequência está
incorreta, pois somente as pessoas e os ativos
de tecnologia, por exemplo, um sistema que
acessa outro sistema, é que precisam ser
autenticados e, posteriormente, autorizados para
acessarem um recurso que contém informação.
Um ambiente físico é apenas acessado, ou seja,
não acessa outros recursos, como podem fazer
as pessoas e as tecnologias.
 1
Visitante
Visitantes
Postado October 19, 2021 
Pergunta 1
1 em 1 pontos
 
 VPN (virtual private network) é uma rede virtual que consiste
em interligar duas redes privadas ou uma estação de trabalho
e uma rede privada. Em ambos os casos, a comunicação é
feita através da internet. Como a internet é um meio público
compartilhado, segurança e desempenho devem ser
avaliados.
 
Diante do exposto, assinale a alternativa correta:
Resposta
Selecionada:
Correta 
Todos os pacotes de dados trafegados na VPN
são criptografados por motivos de segurança,
uma vez que utilizam um meio público, com a
internet, para comunicação
Resposta
Correta:
Correta 
Todos os pacotes de dados trafegados na VPN
são criptografados por motivos de segurança,
uma vez que utilizam um meio público, com a
internet, para comunicação
Comentário
da resposta:
Resposta está correta. A alternativa está correta,
pois como a internet é um meio público, todas as
informações trafegadas pela comunicação entre
os dois pontos da VPN podem ser interceptadas
e roubadas por um invasor. A criptografia garante
que, mesmo que informações sejam roubadas
durante a comunicação, não serão
compreendidas pelo invasor.
 
Pergunta 2
1 em 1 pontos
 
 A Política de Segurança da Informação (PSI) de uma
Organização está incluída dentro do Sistema de Gestão de
Segurança da Informação (SGSI) e deve ser apoiada por sua
alta direção para que tenha poder de lei. A PSI é necessária
para sustentar um não, quando é preciso. dizer não,
independente da pessoa ou cargo que exerce dentro da
empresa.
 
Em relação à disponibilidade da PSI, segundo a ISO
27001:2013, Analise as afirmativas a seguir e assinale V para
a(s) verdadeiras e F para a(s) falsas:
 
I. ( ) a PSi deve estar disponível como informação
documentada
II. ( ) a PSI deve ser comunicada dentro da Organização
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=showRepComment&comment=2735
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=3123
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=3123
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=3123
https://www.ambfacil.com.br/index.php?/topic/1146-gest%C3%A3o-de-riscos-em-seguran%C3%A7a-da-informa%C3%A7%C3%A3o/&do=findComment&comment=3123
III. ( ) a PSI deve estar disponível para as partes interessadas
conforme apropriado
IV. ( ) a PSI não deve ser divulgada para parceiros/terceiros
da Organização
V. ( ) a PSI deve ser escrita em um documento único
 
Assinale a alternativa que apresenta a sequência correta:
Resposta Selecionada: Correta 
V,V,V,F,F
 
Resposta Correta: Correta 
V,V,V,F,F
 
Comentário
da resposta:
Resposta está correta. A alternativa está correta,
pois as afirmativas IV e V são falsas. A PSI de
uma empresa deve ser divulgada também para
parceiros ou terceiros de uma Organização, uma
vez que todos, inclusive estagiários, devem
participar do processo de segurança da
informação. Além disso, segundo a ISO
27001:2013, a política de segurança da
informação de uma Organização (PSI) pode ser
escrita em um ou vários documentos.
 
Pergunta 3
1 em 1 pontos
 
 Autenticação e autorização: para autenticar e autorizar
acesso de um usuário para um recurso, é necessário antes
que o este comprove que é quem diz ser, ou seja, é
necessário comprovar a sua identidade. Para tanto, há três
categorias conhecidas para esta comprovação.
Analise as afirmativas a seguir e assinale as verdadeiras em
relação aos meios de autenticação.
 
I. Algo que o usuário tem, como um certificado digital salvo
em um pendrive ;
II. Algo que o usuário sabe, como uma senha gravada na
memória, por exemplo;
III. Algo que o usuário sente, como uma percepção de estar
sendo invadido por um hacker;
IV. Algo que o usuário é, como uma característica física do
mesmo. Uma impressão digital, por exemplo;
 
Está correto o que se afirma em:
Resposta Selecionada: Correta 
I, II e IV apenas.
Resposta Correta: Correta 
I, II e IV apenas.
Comentário
da resposta:
Resposta está correta. A alternativa está correta,
pois há três categorias de autenticação para
comprovar que um usuário é quem diz ser, ou
seja, há três formas de comprovar sua
identidade. São elas: algo que usuário é, algo
que o usuário tem e algo que o usuário sabe.
 
Pergunta 4
1 em 1 pontos
 
 A Segurança da Informação envolve riscos aos dados, aos
sistemas de informação e às redes, por exemplo. A ISO
27001, seja na versão 2005 ou 2013, em seu Anexo A, sugere
uma lista de controles de segurança para proteger os ativos
de informação de uma Organização.