Exercício avaliativo - Módulo 2 - segurança cibernética - controles 13 a 18

Prévia do material em texto

Questão 1
Correto
Atingiu 1,00 de
1,00
Iniciado em terça-feira, 2 dez. 2025, 15:50
Estado Finalizada
Concluída em terça-feira, 2 dez. 2025, 15:59
Tempo
empregado
8 minutos 21 segundos
Notas 4,00/4,00
Avaliar 35,00 de um máximo de
35,00(100%)
Seguindo as recomendações do Controle 15 do CIS Controls v8, Tor pretende inventariar os prestadores de serviço da sua empresa. Mas está
com uma dúvida se nesta relação entrará somente os prestadores de serviço de Tecnologia da Informação e Comunicação (TIC).
Com base nessa dúvida, responda se a afirmação a seguir é verdadeira ou falsa.
“Como escopo do Controle 15 do CIS Controls v8, inventariar os prestadores de serviço de TIC é suficiente para que a empresa possa mitigar os
riscos de violação de seus dados.”
a. Verdadeira
b. Falsa
Sua resposta está correta.
Para o CIS, em seu Controle 15, é necessário estabelecer, manter e revisar regularmente um inventário de todos os provedores de serviços
conhecidos pela organização. Não somente os prestadores de tecnologia e/ou de uma área específica.
A resposta correta é: Falsa
Questão 2
Correto
Atingiu 1,00 de
1,00
Tor e Grok são servidores públicos em um Órgão da Administração Pública Federal. O Órgão em que trabalham está com uma equipe de TI enxuta
e não está conseguindo conduzir as atividades de segurança da informação (SI) como deveria. Grok, buscando soluções, sugere terceirizar tanto
as atividades operacionais quanto a gestão de segurança da informação para aliviar a carga de trabalho da equipe. Como especialista, Tor é
consultado para ajudar a definir os requisitos para essa terceirização.
Considerando as práticas e normas comuns para a gestão de segurança da informação em órgãos públicos, qual seria a recomendação adequada
de Tor para a proposta de Grok?
a. Tor deve apoiar a proposta de Grok e sugerir que terceirize a gestão de segurança da informação para que a equipe interna possa focar
em outras tarefas.
b. Tor deve recomendar a terceirização apenas das atividades operacionais, mantendo a gestão de segurança da informação interna à
organização.
Sua resposta está correta.
Embora a terceirização de atividades operacionais possa aliviar a carga de trabalho da equipe de TI, a gestão de segurança da informação deve
permanecer sob a responsabilidade interna da organização. A Instrução Normativa SGD/ME no. 94, de 23 de dezembro de 2022, que dispõe sobre
o processo de contratação de soluções de Tecnologia da Informação e Comunicação – TIC, sinaliza que a gestão de segurança da informação não
poderá ser objeto de contratação.
A resposta correta é: Tor deve recomendar a terceirização apenas das atividades operacionais, mantendo a gestão de segurança da informação
interna à organização.
Questão 3
Correto
Atingiu 1,00 de
1,00
Tor está apoiando a equipe de desenvolvimento na definição da arquitetura de uma nova aplicação para a área de contabilidade da sua empresa.
Ele pretende aplicar os princípios de design seguro, conforme as recomendações do Controle 16 do CIS Controls.
Qual das medidas a seguir não faz parte dos princípios de design seguro?
a. Verificar explicitamente os erros para todas as entradas da aplicação.
b. Desativar portas e serviços que estão desprotegidos.
c. Utilizar bibliotecas, componentes ou serviços desatualizados, de origem desconhecida e/ou duvidosa.
d. Remover ou desativar bibliotecas, componentes, programas e/ou arquivos não utilizados pela aplicação.
e. Remover ou renomear contas padrão.
Sua resposta está correta.
No conceito de security by design, os requisitos de segurança da aplicação, incluindo software e hardware, são definidos e tratados na fase de
projeto da aplicação, evitando possíveis lacunas de segurança identificadas posteriormente. Todas as alternativas menos a opção (c) estão
relacionadas a atividades na análise, projeto e arquitetura no desenvolvimento de aplicações segundo os princípios de design seguro. Na fase de
projeto e durante modelagem de ameaças, o uso de bibliotecas, componentes e serviços deve sempre levar em conta a procedência, a
confiabilidade e a atualização contínua dos recursos em questão. Se não for possível deixar de usá-los, eles devem ser inspecionados, testados e
o seus usos apontados como possível risco a ser mitigado. Já a remoção de recursos não utilizados pela aplicação diminui a sua superfície de
ataque. Por exemplo, funções, portas e serviços não utilizadas e possivelmente não testadas podem conter brechas que podem ser exploradas por
um atacante.
A resposta correta é: Utilizar bibliotecas, componentes ou serviços desatualizados, de origem desconhecida e/ou duvidosa.
Questão 4
Correto
Atingiu 1,00 de
1,00
Tor pretende usar uma ferramenta de teste de análise dinâmica para verificar a segurança das aplicações da sua empresa que estão expostas na
internet. Para Tor, essa ferramenta é do tipo DAST e pode ser executada de forma automatizada.
O entendimento do Tor quanto à ferramenta está correta?
a. Sim
b. Não
Sua resposta está correta.
Uma ferramenta do tipo DAST não requer por padrão uma intervenção humana, podendo sua execução ser automatizada, buscando identificar
vulnerabilidades nas aplicações.
A resposta correta é: Sim