Colaborar - Av1 - Segurança e Auditoria de Sistemas

Prévia do material em texto

 Segurança e Auditoria de Sistemas (/aluno/ti…
Av1 - Segurança e Auditoria de Sistemas
  
(/notific
Informações Adicionais
Período: 04/08/2025 00:00 à 17/11/2025 23:59
Situação: Cadastrado
Tentativas: 1 / 3
Pontuação: 1500
Protocolo: 1144055823
Avaliar Material
1)
a)
b)
c)
d)
e)
2)
Uma empresa do setor financeiro está em processo de implementação de um Sistema de Gestão de
Segurança da Informação (SGSI) com base na norma ISO/IEC 27001. A organização busca proteger seus
ativos de informação, garantir a conformidade com normas regulatórias e aumentar a confiança de seus
clientes, parceiros e investidores.
Sobre o Sistema de Gestão de Segurança da Informação (SGSI), assinale a alternativa que representa
corretamente um de seus princípios ou práticas fundamentais:
Alternativas:
O SGSI se baseia em um ciclo contínuo de melhoria (PDCA), envolvendo
planejamento, implementação, verificação e ação corretiva sobre os controles de
segurança.
Alternativa assinalada
O SGSI tem como objetivo principal a implementação de antivírus e firewalls, sendo focado
exclusivamente em soluções técnicas de proteção.
O SGSI é uma abordagem pontual para resposta a incidentes de segurança, aplicável apenas após a
ocorrência de uma violação de dados.
O SGSI dispensa a definição de responsabilidades, já que a segurança da informação é uma atribuição
coletiva e informal dentro da organização.
O SGSI deve ser conduzido apenas pela equipe técnica de TI, não sendo necessária a participação da alta
direção da empresa.
https://www.colaboraread.com.br/aluno/timeline/index/3487065106?ofertaDisciplinaId=2462716
https://www.colaboraread.com.br/aluno/timeline/index/3487065106?ofertaDisciplinaId=2462716
https://www.colaboraread.com.br/notificacao/index
https://www.colaboraread.com.br/notificacao/index
https://www.colaboraread.com.br/notificacao/index
javascript:void(0);
a)
b)
c)
d)
e)
3)
Uma empresa de comércio eletrônico percebeu que seu site ficou indisponível por cerca de 40 minutos em
um sábado à tarde, horário de pico de acessos. Após uma investigação, constatou-se que o servidor web
recebeu um volume anormalmente alto de requisições simultâneas, todas vindas de diferentes localidades
ao redor do mundo. A equipe de segurança suspeita que o incidente foi resultado de um ataque malicioso
planejado para sobrecarregar os recursos do sistema.
Com base na situação descrita, qual tipo de ataque ocorreu, e qual é uma característica que o distingue de
outros ataques similares?
Alternativas:
Trata-se de um ataque de negação de serviço (DoS), que explora vulnerabilidades em um único ponto da
aplicação para interromper o serviço.
Trata-se de um ataque de injeção de código, caracterizado pelo envio de comandos maliciosos a partir
de formulários da aplicação.
Trata-se de um ataque de negação de serviço distribuído (DDoS), em que múltiplos
sistemas comprometidos são usados para gerar tráfego excessivo ao servidor.
Alternativa assinalada
Trata-se de um ataque de phishing, pois envolve o redirecionamento de usuários para páginas falsas
durante o horário de pico.
Trata-se de um ataque man-in-the-middle, em que o invasor intercepta as requisições entre o cliente e o
servidor para modificar os dados transmitidos.
Uma organização está reformulando sua política de segurança cibernética após sofrer incidentes
relacionados a acesso não autorizado à rede, tentativas de exploração de vulnerabilidades e detecção de
malwares em estações de trabalho. Para isso, pretende revisar o papel de dispositivos como firewalls,
sistemas de prevenção de intrusão (IPS) e soluções antimalware no ambiente corporativo.
Considerando os mecanismos de defesa mencionados no texto, analise as assertivas abaixo:
I. Firewalls atuam como barreiras de controle de tráfego, permitindo ou bloqueando pacotes com base em
regras predefinidas, sendo eficazes na prevenção de intrusões internas originadas de dispositivos
comprometidos.
II. Um sistema de prevenção de intrusão (IPS) é capaz de identificar e bloquear em tempo real atividades
maliciosas, como varreduras de porta ou tentativas de exploração de vulnerabilidades.
III. Soluções antimalware são eficazes apenas contra vírus conhecidos e não possuem mecanismos para
detectar comportamentos suspeitos ou variantes desconhecidas.
IV. Firewalls de próxima geração (NGFW) podem integrar funcionalidades de inspeção profunda de pacotes,
detecção de intrusões e filtragem baseada em aplicações.
V. Enquanto o IPS analisa o tráfego em tempo real para bloquear ataques, o IDS apenas monitora e emite
alertas, sem impedir a ação maliciosa.
Assinale a alternativa correta:
a)
b)
c)
d)
e)
4)
a)
b)
c)
d)
e)
5)
Alternativas:
Apenas as assertivas I, II e III estão corretas.
Apenas as assertivas II, IV e V estão corretas. Alternativa assinalada
Apenas as assertivas I, IV e V estão corretas.
Apenas as assertivas II, III, IV e V estão corretas.
Apenas as assertivas III, IV e V estão corretas.
Em uma organização de médio porte, a equipe de segurança da informação identificou que, apesar da
existência de políticas formais sobre privacidade de dados e segurança digital, muitos colaboradores ainda
compartilham senhas por e-mail, utilizam dispositivos pessoais sem controle ou enviam informações
sensíveis por aplicativos de mensagens não corporativos. A direção da empresa reconhece que, além de
controles técnicos, é necessário promover uma mudança de comportamento e conscientização entre os
funcionários.
Com base na situação apresentada, assinale a alternativa que melhor representa uma prática eficaz para o
fortalecimento da cultura de segurança e privacidade em ambientes organizacionais:
Alternativas:
Reforçar o monitoramento técnico dos dispositivos da empresa, substituindo campanhas de
conscientização, que são pouco efetivas.
Aplicar sanções disciplinares imediatas a todos os funcionários que violarem qualquer diretriz de
segurança, como forma de impor respeito às normas.
Garantir que todas as ferramentas tecnológicas estejam atualizadas, já que a cultura de segurança
depende exclusivamente de soluções automatizadas.
Estabelecer treinamentos contínuos, campanhas educativas e envolvimento da
liderança para fomentar atitudes proativas de proteção à informação.
Alternativa assinalada
Incentivar a informalidade na comunicação para promover um ambiente mais ágil, mesmo que isso
implique riscos pontuais à privacidade dos dados.
Uma empresa brasileira do setor educacional coleta dados de seus alunos por meio de plataformas
digitais e armazena essas informações em um ambiente de nuvem pública gerenciado por um provedor
estrangeiro. Após a entrada em vigor da LGPD, a equipe de tecnologia passou a revisar os processos de
tratamento de dados e os controles de segurança aplicados, a fim de garantir a conformidade legal e mitigar
riscos associados ao uso de serviços em nuvem.
Com base na Lei Geral de Proteção de Dados (LGPD) e nas boas práticas de segurança da informação no
tratamento de dados pessoais em ambientes em nuvem, analise as afirmativas a seguir:
I. O uso de provedores em nuvem estrangeiros é proibido pela LGPD, visto que os dados devem
obrigatoriamente permanecer em território nacional.
II. A empresa deve garantir que o provedor em nuvem adote medidas de segurança técnicas e
administrativas compatíveis com os requisitos da LGPD.
a)
b)
c)
d)
e)
III. O controlador de dados continua sendo responsável pelo tratamento de dados pessoais, mesmo quando
este ocorre por meio de operadores terceirizados, como provedores em nuvem.
IV. O armazenamento de dados pessoais em nuvem exige a implementação de medidas como criptografia,
controle de acesso e políticas de backup.
V. Caso o provedor de nuvem atue como operador de dados, ele também pode responder diretamente
perante a ANPD se houver descumprimento das obrigações legais.
Assinale a alternativa correta:
Alternativas:
Apenas as afirmativas II, III e IV estão corretas.
Apenas as afirmativas II, IV e V estão corretas. Alternativa assinaladaApenas as afirmativas I, III e V estão corretas.
Apenas as afirmativas III, IV e V estão corretas.
Apenas as afirmativas IV e V estão corretas.