Prova auditoria da informação 2023

Prévia do material em texto

<p>Pergunta 1</p><p>3 / 3 pts</p><p>A Segurança da Informação é um processo que protege a informação de ameaças a sua</p><p>integridade, disponibilidade e confidencialidade. Ainda pode ser definida como uma área do</p><p>conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados,</p><p>alterações indevidas ou sua indisponibilidade. Além disso, existem conceitos-chave que estruturam</p><p>sua definição.</p><p>Quais são os conceitos-chave da Segurança da Informação?</p><p>Integridade, Disponibilidade, Complexidade, Legalidade e Autenticidade.</p><p>Integridade, Disponibilidade, Confidencialidade, Lealdade e Autenticidade.</p><p>Integridade, Disponibilidade, Complexidade, Sanidade e Autenticidade.</p><p>Intensidade, Disponibilidade, Confidencialidade, Legalidade e Autenticidade.</p><p>Correto!</p><p>Integridade, Disponibilidade, Confidencialidade, Legalidade e Autenticidade.</p><p>Feedback:</p><p>Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1,</p><p>conceitos-chave da Segurança da Informação são: Integridade, Disponibilidade, Confidencialidade,</p><p>Legalidade e Autenticidade.</p><p>Pergunta 2</p><p>3 / 3 pts</p><p>No domínio da Segurança da Informação, encontramos conceitos-chave que servem de base para</p><p>delinear futuras diretrizes que uma empresa ou um profissional podem adotar no intuito de se</p><p>promover a segurança. Um desses conceitos nos diz que a Segurança da Informação deve ser</p><p>capaz de permitir que somente indivíduos autorizados podem ter acesso à determinada informação,</p><p>estabelecendo proteção de acordo com o grau de sigilo conferido a ela.</p><p>Essa descrição está relacionada com qual conceito-chave da Segurança da Informação?</p><p>Autenticidade.</p><p>Legalidade.</p><p>Integridade.</p><p>Complexidade.</p><p>Confidencialidade.</p><p>Feedback:</p><p>Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1, a</p><p>Confidencialidade é o conceito que diz que somente indivíduos autorizados podem ter acesso à</p><p>determinada informação, estabelecendo proteção de acordo com o grau de sigilo conferido a ela.</p><p>Pergunta 3</p><p>3 / 3 pts</p><p>A política de segurança descreve a filosofia e as regras básicas para o uso do recurso informacional.</p><p>Tudo isso independente do ambiente, seja ele convencional ou de tecnologia. Com a existência da</p><p>política, fica explícito o que cada pessoa da organização deve cumprir no que se refere à proteção</p><p>da informação. Além de um documento principal, a política de segurança da informação pode ser</p><p>também documentada por meio de uma série de documentos adicionais.</p><p>Das alternativas abaixo, qual dos itens NÃO possui tema relacionado à documentação da política de</p><p>Segurança da Informação?</p><p>Correto!</p><p>Os documentos determinam em quais posições hierárquicas os analistas de segurança atuarão</p><p>em uma organização.</p><p>Os documentos definem obrigações, responsabilidade e autoridade.</p><p>Os documentos possibilitam o uso da política em questões legais, como em contratos.</p><p>Os documentos devem declarar e clarificar regras da organização.</p><p>Os documentos devem formalizar os processos e os procedimentos.</p><p>Feedback:</p><p>Conforme visto na unidade 1 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 2,</p><p>os documentos que compõem a política de Segurança da Informação não definem a segregação dos</p><p>analistas de segurança em nenhuma escala hierárquica, pois devem atuar em prol de toda a</p><p>organização.</p><p>Pergunta 4</p><p>3 / 3 pts</p><p>A introdução da tecnologia da informação e da própria Internet trouxe benefícios para todos, tanto</p><p>para indivíduos quanto para organizações. Além dos benefícios, entretanto, também forneceu meios</p><p>para que pessoas de má índole utilizassem a tecnologia para fins nocivos. Pessoas desse tipo são</p><p>conhecidos como piratas virtuais, pois usam seus conhecimentos para violar redes ou sistemas. Sua</p><p>alcunha veio de um termo em inglês que significa “quebra”.</p><p>Como são conhecidos esses piratas virtuais?</p><p>Analistas de segurança.</p><p>Geeks.</p><p>Hackers.</p><p>Drones.rreto!</p><p>Crackers.</p><p>Feedback:</p><p>Segundo o livro de Segurança e Auditoria dos Sistemas de Informação, na unidade 2, tópico 1, o</p><p>termo utilizado para designar piratas virtuais é cracker.</p><p>Pergunta 5</p><p>3 / 3 pts</p><p>O ataque DoS deriva do inglês “Denial of Service”. Esse tipo de incidente de segurança leva ao</p><p>impedimento de acesso aos usuários que possuem permissão de acesso a um determinado sistema</p><p>ou serviço provido por um sistema. É um tipo de atividade que faz com que um computador, mais</p><p>especificamente servidores, execute uma tarefa simples excessivas vezes. O DoS ocorre,</p><p>comumente, de duas maneiras. Uma delas utiliza falhas em software para comprometer a execução</p><p>de servidores remotos. É possível neutralizar esse tipo de ataque atualizando correções</p><p>disponibilizadas pelo fabricante do sistema e o mantendo sempre atualizado.</p><p>A maneira descrita do ataque DoS é conhecida por:</p><p>Ataque primário.</p><p>Correto!</p><p>Ataque lógico.</p><p>Ataque de inundação.</p><p>Ataque de CPU.</p><p>Ataque booleano.</p><p>Feedback:</p><p>Segundo o livro de Segurança e Auditoria dos Sistemas de Informação, na unidade 2, tópico 2.1, um</p><p>ataque DoS que utiliza falhas em software é um ataque lógico.</p><p>Pergunta 6</p><p>3 / 3 pts</p><p>Todo e qualquer dispositivo de segurança, incluindo controles de acesso, está sujeito a ameaças</p><p>que tenham por objetivo superá-lo ou eliminá-lo para a obtenção de recursos protegidos. Uma</p><p>dessas ameaças é por meio da exploração de falhas de programação em aplicativos, conhecida</p><p>como estouro de memória. Outra ameaça consiste na instalação de software malicioso por</p><p>atacantes, de maneira que possam obter controle sobre os sistemas.</p><p>De acordo com o texto, quais ameaças foram exemplificadas?</p><p>Reutilizar ou descartar mídia / acesso físico.</p><p>Explorar hardware e software / contornar a segurança.</p><p>Interceptação eletrônica / acessar redes.</p><p>Interceptação por observação / acessar redes.orreto!</p><p>Explorar falhas em aplicativos / explorar hardware e software.</p><p>Pergunta 7</p><p>3 / 3 pts</p><p>No domínio da Segurança da Informação, os controles de acesso são mecanismos utilizados que</p><p>permitem a um analista de segurança ou administrador responsável por fazer a gestão da segurança</p><p>conceder ou restringir o acesso a recursos que exijam proteção. Para a criação de um controle de</p><p>acesso, é necessário que alguns processos sejam utilizados. Um deles é a definição de como quem</p><p>possui acesso pode ter a sua identidade confirmada.</p><p>A esse processo é dado qual nome?</p><p>Digitalização.</p><p>Identificação.</p><p>Autorização.</p><p>Responsabilização.</p><p>Correto!</p><p>Autenticação.</p><p>Feedback:</p><p>Segundo o livro Segurança e Auditoria dos Sistemas de Informação, unidade 3, tópico 1, o processo</p><p>que define como quem possui acesso pode ter a sua identidade confirmada é chamado de</p><p>autenticação.</p><p>Pergunta 8</p><p>3 / 3 pts</p><p>Após o planejamento e posterior execução de uma auditoria, muitos dados são gerados e</p><p>necessitam ser coletados. A partir da coleta desses dados, é possível então analisá-los e processá-</p><p>los, a fim de produzir informações relevantes para eventuais melhorias. Existem muitas técnicas de</p><p>coletas de dados, entre elas, podem-se citar:</p><p>I. Documentos que ajudam a garantir que o processo de coleta de informações atinja todas as áreas,</p><p>evitando que alguma seja esquecida inadvertidamente.</p><p>II. Teste de vulnerabilidade e teste de intrusão devem reunir informações técnicas para determinar</p><p>se existem vulnerabilidades nos componentes, nas redes e nos aplicativos de segurança.</p><p>III. É importante ver a diferença entre atividades na teoria e como elas são realizadas na prática.</p><p>As descrições de tipos de coleta de dados de uma auditoria mencionados também são conhecidas</p><p>como, respectivamente?</p><p>Questionários, entrevistas e observação.</p><p>Configurações de revisão, observação e testes de segurança.</p><p>Política de revisão, testes de segurança e configurações de revisão.Coreto!</p><p>Listas de verificação</p><p>(checklists), testes de segurança e observação.</p><p>Documentação de revisão, listas de verificação (checklists) e questionários.</p><p>Feedback:</p><p>Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.2,</p><p>as descrições são dos métodos de coleta de dados de auditoria: listas de verificação (checklists),</p><p>testes de segurança e observação.</p><p>Pergunta 9</p><p>3 / 3 pts</p><p>O trabalho de um auditor de segurança é complexo. Além da própria auditoria em si, sua atividade</p><p>requer uma análise minuciosa dos dados coletados. Após a coleta, então uma série de atividades</p><p>devem ser executadas no processamento dos dados, culminando na apresentação dos resultados</p><p>para os responsáveis de uma organização. Os resultados são apresentados em um relatório que</p><p>incluem ao menos três seções:</p><p>I. Descobertas: geralmente relacionadas por nível de conformidade em relação à referência-padrão</p><p>utilizada. A comparação com um benchmark gera uma listagem dos pontos nos quais a organização</p><p>precisa melhorar.</p><p>II. Recomendações: auditores recomendam como materializar os riscos apontados e qual a</p><p>consequência do possível descumprimento de uma política ou processo por parte das pessoas da</p><p>organização.</p><p>III. Acompanhamento: se necessário, auditores podem agendar uma auditoria de acompanhamento</p><p>(follow-up) para se certificarem de que a organização tenha utilizado de fato as recomendações.</p><p>Das três seções apresentadas, qual(is) estão corretas?</p><p>Apenas a I</p><p>Apenas a II</p><p>I e II</p><p>Correto!</p><p>I e III</p><p>I, II e III</p><p>Feedback:</p><p>Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.4,</p><p>na seção de Recomendações de um relatório de auditoria encontramos que auditores recomendam</p><p>como mitigar os riscos apontados e qual a consequência do possível descumprimento de uma</p><p>política ou processo por parte das pessoas da organização.</p><p>Pergunta 10</p><p>Não avaliado ainda / 13 pts</p><p>(IADES, 2018) No que tange aos princípios básicos da segurança da informação, a aplicação de um</p><p>controle para proteger a informação de ameaças involuntárias e (ou) intencionais, para que a</p><p>informação não seja modificada, refere-se a qual princípio da segurança da informação?</p><p>Sua Resposta:</p><p>Ao principio da Integridade.</p>