03 SEGURANÇA E AUDITORIA DE SISTEMAS - Página 3 - ATIVIDADES - AMB Fácil - Educação

Prévia do material em texto

Pergunta 1
1 em 1 pontos
   
 Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente,
recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes
para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-
mails foram considerados desse tipo de ameaça.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação .
São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
Resposta Selecionada: Correta 
Spam.
Resposta Correta: Correta 
Spam.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um
tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de
seus conteúdos interessantes, as vítimas se sentem atraídas e acabam
clicando em algum link e comprando algum produto falso, caindo em golpes
bem elaborados. Muitos exemplos disso são de produtos que realizam ações
milagrosas, como queda de cabelo etc.
 
Pergunta 2
1 em 1 pontos
   
 Uma variante do ataque de negação de serviço é o ataque de negação de serviço
distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de
ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no
sistema (uma falha) ou uma brecha intencional deixa no
software (desenvolvedor).
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO
27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
Resposta Selecionada: Correta 
Portas dos fundos ( backdoor).
Resposta Correta: Correta 
Portas dos fundos (backdoor).
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois esse ataque é o de portas
dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras
vezes, esse ataque visa entrar em uma porta (brecha) na qual ninguém está
acostumado a entrar. Este tipo de brecha pode ser algum caminho criado pelo
desenvolvedor para manutenção do sistema, por exemplo, um usuário
administrador e senha 123456.
 
Pergunta 3
1 em 1 pontos
   
 Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá
estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de
risco adequada, devemos considerar os três requisitos básicos de segurança, que são:
estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO
27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os
benefícios encontrados ao se utilizar a avaliação de riscos.
Resposta Selecionada: Correta 
Podem-se identificar, priorizar e medir os riscos.
Resposta Correta: Correta 
Podem-se identificar, priorizar e medir os riscos.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, durante os estudos, você
viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor
forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa
definição, será a partir daí que podemos medi-los para uma efetiva
contramedida.
 
Pergunta 4
1 em 1 pontos
   
 Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para
resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco.
Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que
esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a
contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO
27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas:
Resposta Selecionada: Correta 
Tolerância, redução e prevenção.
Resposta Correta: Correta 
Tolerância, redução e prevenção.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que,
uma vez identificado o risco, devemos tomar uma contramedida, que,
basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir
(evitar). Note que a escolha de qual contramedida tomar está associada ao
custo e tempo despendidos para a contramedida.
 
Pergunta 5
1 em 1 pontos
   
 A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de
segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente
com o seu número. Isso permite que se observem as tendências dos ataques ao longo do
tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o
alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o
antivírus, tornou tal ataque menos ineficiente.
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que
fazer. São Paulo: Brasport, 2015.
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada
ano:
Resposta
Selecionada:
Correta 
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-
mails maliciosos.
Resposta Correta: Correta 
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-
mails maliciosos.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, apesar de ser um ataque
bem antigo, a ameaça por e-mails trouxe uma abordagem nova, na qual se
usa todo o poder do PowerShell (comandos de linha de comando para
automatizar tarefas e processos dentro de sistemas operacionais). Com isso,
os ataques podem gerar mais prejuízos.
 
Pergunta 6
1 em 1 pontos
   
 Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é
como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição
financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado
temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias
apropriadas.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO
27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que
identifique as principais formas de se medir um risco:
Resposta Selecionada: Correta 
Quantitativa e qualitativa.
Resposta Correta: Correta 
Quantitativa e qualitativa.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, para se medir um risco,
utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise
quantitativa, consideram-se números tangíveis, como custos, quantidade de
acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre a
probabilidade da ocorrência do risco.
 
Pergunta 7
1 em 1 pontos
   
 Há também um tipo de ataque de que visa obter informações sobre uma determinada
organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca
explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação .
São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que represente tal conceito:
Resposta Selecionada: Correta 
Engenharia social.
Resposta Correta: Correta 
Engenharia social.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a engenharia social é, sem
dúvida, um meio de ataque muito poderoso. Ele visa obter informações de
pessoas novatas ou que não conhecem a importância da informação. Por
meio dela, dados sigilosos/importantes podem ser obtidos com uma boa
conversa e um sorriso no rosto.
 
Pergunta 8
1 em 1 pontos
   
 Avaliação de risco é um termo usado para descrever o processo ou método geral em que
você identifica perigos e fatores de risco com potencial para causar danos. Precaver-se de
riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se precaver,poderíamos obter
os riscos de outras organizações e aplicá-las à nossa realidade.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação .
São Paulo: LTC, 2014.
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos que
uma organização deve considerar:
Resposta Selecionada: Correta 
Objetivos e estratégias, leis e regras de negócio.
Resposta Correta: Correta 
Objetivos e estratégias, leis e regras de negócio.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, de acordo com o que vimos
durante nossos estudos, para se conhecer e levantar bem os riscos de uma
organização deve-se considerar pelo menos os três requisitos básicos, que
são: estratégia, visão e objetivos; leis/regulamentos; e, por fim, regras de
negócio/manipulação de dados.
 
Pergunta 9
1 em 1 pontos
   
 Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de
medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por
meio de um software de monitoramento, é possível saber o momento que ela acontece.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO
27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal
objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que
melhor descreva essa outra medida:
Resposta Selecionada: Correta 
Repressão.
Resposta Correta: Correta 
Repressão.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a medida de repressão é
executada quando uma ameaça é detectada e deve-se resolver/reduzir os
danos causados pelo incidente. Se houve a detecção de uma invasão a uma
rede da organização, deve-se o mais rápido possível realizar medidas de
repressão para reduzir o dano causado. Com essa medida, pode-se apenas
invadir, mas, com ações adequadas, pode-se bloquear o agente causador
antes de obter qualquer informação.
 
Pergunta 10
1 em 1 pontos
   
 Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar
coisas, situações, processos etc. que podem causar danos, principalmente às pessoas.
Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base
em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de
importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO
27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de
gerenciamento de risco:
Resposta
Selecionada:
Correta 
Podem-se utilizar normas específicas da ISO e boas prática do PMI
(Project Management Institute).
Resposta Correta: Correta 
Podem-se utilizar normas específicas da ISO e boas prática do PMI
(Project Management Institute).
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois, de acordo com o que foi
visto durante os estudos e baseado na citação do enunciado, as referências
para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o
PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se
gerenciar melhor o risco.