Exercício avaliativo - Módulo 3 - Segurança cibernética controles 1 a 6

Prévia do material em texto

Questão 1
Correto
Atingiu 1,00 de
1,00
Iniciado em terça-feira, 2 dez. 2025, 15:20
Estado Finalizada
Concluída em terça-feira, 2 dez. 2025, 15:26
Tempo
empregado
6 minutos 37 segundos
Notas 4,00/4,00
Avaliar 30,00 de um máximo de
30,00(100%)
Em busca de reduzir os riscos de roubo das credenciais da empresa, Tor quer iniciar um plano de ações de mitigação conforme orientações do
CIS.
Entre as atividades a seguir, qual é a primeira que Tor deverá executar conforme recomenda o CIS?
a. Usar senhas fortes e exclusivas.
b. Desabilitar contas inativas.
c. Estabelecer um inventário de todas as contas da empresa.
d. Restringir os privilégios de administrador.
e. Centralizar a gestão de contas.
Sua resposta está correta.
Para que Tor consiga aplicar as medidas de segurança recomendadas pelo CIS, será necessário ter visibilidade, realizando um inventário de todas
as contas da empresa. A partir desses dados, Tor conseguirá ser mais assertivo em seu plano de ação. 
A resposta correta é:
Estabelecer um inventário de todas as contas da empresa.
Questão 2
Correto
Atingiu 1,00 de
1,00
Após a coleta das contas da empresa, Tor identificou a existência de diversas contas com privilégios administrativos, além da dele. Tor ainda não
sabe dos demais usos, mas ele mesmo usa a sua conta com privilégios administrativos para executar as rotinas diárias, incluindo a navegação
pela internet, o acesso aos sistemas internos e para as atividades de suporte técnico.
Entre as medidas de segurança a seguir, qual é a mais recomendada para o contexto de uso da conta conforme citado pelo Tor?
a. Aplicar autenticação com dois (2) fatores.
b. Restringir o acesso de navegação para sites de jogos.
c. Incrementar a complexidade da sua senha para 14 caracteres.
d. Escolher e usar um gerenciador de senhas.
e. Não usar uma conta com privilégios administrativos para tarefas rotineiras.
Sua resposta está correta.
Conforme já mencionado, fazer uso de contas com privilégios administrativos para as tarefas rotineiras, como a navegação na internet e/ou a
leitura de e-mails, deve ser evitado. Lembre-se de que, mesmo com todos os cuidados, podemos inadvertidamente acessar um site malicioso, ou
clicar em um link, e baixar e instalar um malware.
A resposta correta é:
Não usar uma conta com privilégios administrativos para tarefas rotineiras.
Questão 3
Correto
Atingiu 1,00 de
1,00
Tor é analista de segurança de uma pequena empresa da área financeira e deseja implementar os Controles do CIS. Tor ficou responsável pelo
cadastro dos novos funcionários da organização no serviço de diretórios e quer seguir as recomendações do CIS.
Tor está com dificuldades com alguns conceitos necessários no momento da criação das credenciais. Com intuito de ajudá-lo, arraste e solte os
conceitos para descrever corretamente a situação apresentada:
 O Sr. José é responsável por autorizar os pagamentos dos serviços contratados, mas o diretor Sr. Carlos precisa assinar a ordem de
pagamento, garantindo que não haja abuso de privilégios.
 Para cadastrar os novos funcionários no serviço de diretórios, são necessários o nome completo, o departamento e o ramal. A organização
não coleta dados pessoais adicionais para garantir a privacidade dos funcionários.
 Um dos novos contratados será responsável pelas análises de faturamento e, portanto, precisa ter acesso ao sistema da organização para
imprimir os relatórios mensais.
 Para conceder acesso à impressão dos relatórios de faturamento no sistema da organização, é necessário configurar permissões específicas,
limitando o acesso do funcionário somente às funções necessárias para executar a tarefa de impressão.
Sua resposta está correta.
Relembre cada um dos conceitos:
Necessidade de saber: É a justificativa, ou a finalidade específica, para se ter o acesso a um ativo de informação.
Privilégio mínimo: É a prática de imposição que limita o acesso e o que se pode fazer com esse ativo de informação. É muito importante que
cada usuário tenha apenas a autorização mínima necessária para atender a sua função precípua no momento.
Segregação de funções: É um controle adicional que aborda o potencial de abuso de privilégios autorizados e ajuda a reduzir o risco de
atividades maliciosas sem conluio.
Requisito de privacidade: É o uso e a gestão apropriados dos dados e das informações armazenados e disponibilizados aos usuários. Estes
devem ser gerenciados de maneira adequada em todo o seu ciclo de vida, com o objetivo de proteger os direitos fundamentais de liberdade e
de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme sinalizado na LGPD.
A resposta correta é:
Tor é analista de segurança de uma pequena empresa da área financeira e deseja implementar os Controles do CIS. Tor ficou responsável pelo
cadastro dos novos funcionários da organização no serviço de diretórios e quer seguir as recomendações do CIS.
Tor está com dificuldades com alguns conceitos necessários no momento da criação das credenciais. Com intuito de ajudá-lo, arraste e solte os
conceitos para descrever corretamente a situação apresentada:
[Segregação de funções] O Sr. José é responsável por autorizar os pagamentos dos serviços contratados, mas o diretor Sr. Carlos precisa assinar
a ordem de pagamento, garantindo que não haja abuso de privilégios.
Questão 4
Correto
Atingiu 1,00 de
1,00
[Requisito de privacidade] Para cadastrar os novos funcionários no serviço de diretórios, são necessários o nome completo, o departamento e o
ramal. A organização não coleta dados pessoais adicionais para garantir a privacidade dos funcionários.
[Necessidade de saber] Um dos novos contratados será responsável pelas análises de faturamento e, portanto, precisa ter acesso ao sistema da
organização para imprimir os relatórios mensais.
[Privilégio mínimo] Para conceder acesso à impressão dos relatórios de faturamento no sistema da organização, é necessário configurar
permissões específicas, limitando o acesso do funcionário somente às funções necessárias para executar a tarefa de impressão.
Tor sabe que o CIS recomenda o uso do conceito de RBAC para a concessão de privilégios, mas não sabe ao certo o significado da sigla. 
Assinale a alternativa correspondente à sigla. 
a. RBAC - Role Benefic Access Control
b. RBAC - Role Based Access Control 
c. RBAC - Requirement Based Access Control
d. RBAC - Role Based Access Compliance
Sua resposta está correta.
A concessão de privilégios baseada em função (Role Based Access Control - RBAC) é uma das práticas mais utilizadas e recomendada pelo CIS,
cujo objetivo é mitigar os impactos gerados pelos roubos e/ou pelo mau uso das credenciais.
A resposta correta é:
RBAC - Role Based Access Control