Exercício avaliativo - Módulo 3_ Revisão da tentativa

Prévia do material em texto

Iniciado em sábado, 2 nov. 2024, 09:15
Estado Finalizada
Concluída em sábado, 2 nov. 2024, 09:18
Tempo
empregado
3 minutos 11 segundos
Notas 3,00/4,00
Avaliar 22,50 de um máximo de 30,00(75%)
Questão 1
Correto
Atingiu 1,00 de 1,00
Em busca de reduzir os riscos de roubo das credenciais da empresa, Tor quer iniciar um plano de ações de mitigação conforme
orientações do CIS.
Entre as atividades a seguir, qual é a primeira que Tor deverá executar conforme recomenda o CIS?
a. Usar senhas fortes e exclusivas.
b. Desabilitar contas inativas.
c. Estabelecer um inventário de todas as contas da empresa. 
d. Restringir os privilégios de administrador.
e. Centralizar a gestão de contas.
Sua resposta está correta.
Para que Tor consiga aplicar as medidas de segurança recomendadas pelo CIS, será necessário ter visibilidade, realizando um inventário
de todas as contas da empresa. A partir desses dados, Tor conseguirá ser mais assertivo em seu plano de ação. 
A resposta correta é:
Estabelecer um inventário de todas as contas da empresa.
Questão 2
Incorreto
Atingiu 0,00 de 1,00
Após a coleta das contas da empresa, Tor identi�cou a existência de diversas contas com privilégios administrativos, além da dele. Tor
ainda não sabe dos demais usos, mas ele mesmo usa a sua conta com privilégios administrativos para executar as rotinas diárias,
incluindo a navegação pela internet, o acesso aos sistemas internos e para as atividades de suporte técnico.
Entre as medidas de segurança a seguir, qual é a mais recomendada para o contexto de uso da conta conforme citado pelo Tor?
a. Aplicar autenticação com dois (2) fatores. 
b. Restringir o acesso de navegação para sites de jogos.
c. Incrementar a complexidade da sua senha para 14 caracteres.
d. Escolher e usar um gerenciador de senhas.
e. Não usar uma conta com privilégios administrativos para tarefas rotineiras.
Sua resposta está incorreta.
Conforme já mencionado, fazer uso de contas com privilégios administrativos para as tarefas rotineiras, como a navegação na internet
e/ou a leitura de e-mails, deve ser evitado. Lembre-se de que, mesmo com todos os cuidados, podemos inadvertidamente acessar um
site malicioso, ou clicar em um link, e baixar e instalar um malware.
A resposta correta é:
Não usar uma conta com privilégios administrativos para tarefas rotineiras.
Questão 3
Correto
Atingiu 1,00 de 1,00
Tor é analista de segurança de uma pequena empresa da área �nanceira e deseja implementar os Controles do CIS. Tor �cou
responsável pelo cadastro dos novos funcionários da organização no serviço de diretórios e quer seguir as recomendações do CIS.
Tor está com di�culdades com alguns conceitos necessários no momento da criação das credenciais. Com intuito de ajudá-lo, arraste e
solte os conceitos para descrever corretamente a situação apresentada:
Segregação de funções  O Sr. José é responsável por autorizar os pagamentos dos serviços contratados, mas o diretor Sr. Carlos
precisa assinar a ordem de pagamento, garantindo que não haja abuso de privilégios.
Requisito de privacidade  Para cadastrar os novos funcionários no serviço de diretórios, são necessários o nome completo, o
departamento e o ramal. A organização não coleta dados pessoais adicionais para garantir a privacidade dos funcionários.
Necessidade de saber  Um dos novos contratados será responsável pelas análises de faturamento e, portanto, precisa ter
acesso ao sistema da organização para imprimir os relatórios mensais.
Privilégio mínimo  Para conceder acesso à impressão dos relatórios de faturamento no sistema da organização, é
necessário con�gurar permissões especí�cas, limitando o acesso do funcionário somente às funções necessárias para executar a tarefa
de impressão.
Sua resposta está correta.
Relembre cada um dos conceitos:
Necessidade de saber: É a justi�cativa, ou a �nalidade especí�ca, para se ter o acesso a um ativo de informação.
Privilégio mínimo: É a prática de imposição que limita o acesso e o que se pode fazer com esse ativo de informação. É muito
importante que cada usuário tenha apenas a autorização mínima necessária para atender a sua função precípua no momento.
Segregação de funções: É um controle adicional que aborda o potencial de abuso de privilégios autorizados e ajuda a reduzir o risco
de atividades maliciosas sem conluio.
Requisito de privacidade: É o uso e a gestão apropriados dos dados e das informações armazenados e disponibilizados aos usuários.
Estes devem ser gerenciados de maneira adequada em todo o seu ciclo de vida, com o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme sinalizado na LGPD.
A resposta correta é:
Tor é analista de segurança de uma pequena empresa da área �nanceira e deseja implementar os Controles do CIS. Tor �cou
responsável pelo cadastro dos novos funcionários da organização no serviço de diretórios e quer seguir as recomendações do CIS.
Tor está com di�culdades com alguns conceitos necessários no momento da criação das credenciais. Com intuito de ajudá-lo, arraste e
solte os conceitos para descrever corretamente a situação apresentada:
[Segregação de funções] O Sr. José é responsável por autorizar os pagamentos dos serviços contratados, mas o diretor Sr. Carlos
precisa assinar a ordem de pagamento, garantindo que não haja abuso de privilégios.
[Requisito de privacidade] Para cadastrar os novos funcionários no serviço de diretórios, são necessários o nome completo, o
departamento e o ramal. A organização não coleta dados pessoais adicionais para garantir a privacidade dos funcionários.
[Necessidade de saber] Um dos novos contratados será responsável pelas análises de faturamento e, portanto, precisa ter acesso ao
sistema da organização para imprimir os relatórios mensais.
[Privilégio mínimo] Para conceder acesso à impressão dos relatórios de faturamento no sistema da organização, é necessário con�gurar
permissões especí�cas, limitando o acesso do funcionário somente às funções necessárias para executar a tarefa de impressão.
Questão 4
Correto
Atingiu 1,00 de 1,00
Tor sabe que o CIS recomenda o uso do conceito de RBAC para a concessão de privilégios, mas não sabe ao certo o signi�cado da sigla. 
Assinale a alternativa correspondente à sigla. 
a. RBAC - Role Bene�c Access Control
b. RBAC - Role Based Access Control  
c. RBAC - Requirement Based Access Control
d. RBAC - Role Based Access Compliance
Sua resposta está correta.
A concessão de privilégios baseada em função (Role Based Access Control - RBAC) é uma das práticas mais utilizadas e recomendada
pelo CIS, cujo objetivo é mitigar os impactos gerados pelos roubos e/ou pelo mau uso das credenciais.
A resposta correta é:
RBAC - Role Based Access Control