Auditoria FAEL AV2

Prévia do material em texto

Questão 1
Marcar questão
Texto da questão
A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
Escolha uma:
a. É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade.
Comentário: É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados. A auditoria de sistemas de informação deve assegurar a validade, confiabilidade, e segurança da informação, garantindo também a integridade dos dados contidos nos sistemas. Fonte: Livro da disciplina capitulo 7, seção 7.3.
b. É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados.
c. É o processo que verifica somente informações da área contábil.
d. É o processo que implementa a teoria da agência.
e. É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estão sendo atendidos.
Feedback
A resposta correta é: É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados..
Questão 2
Marcar questão
Texto da questão
Quais são as cinco fases do Ciclo de Vida de Desenvolvimento de Sistemas, às quais devem ser integradas ao gerenciamento de risco?
Escolha uma:
a. Iniciação, aquisição, implementação, manutenção e caracterização.
b. Caracterização, identificação, analise, determinação e recomendação.
c. Iniciação, desenvolvimento, implementação, caracterização e documentação.
d. Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e Eliminação.
e. Identificação, analise, determinação, recomendação e documentação.
Comentário: Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e Eliminação. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS, sendo que sua implementação auxilia na mitigação de impactos negativos em caso de incidentes de segurança envolvendo os sistemas. Fonte: Livro da disciplina capítulo 6, seção 6.2.1.
Feedback
A resposta correta é: Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e Eliminação..
Questão 3
Marcar questão
Texto da questão
Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica:
Escolha uma:
a. Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia.
Comentário: Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia. A principal característica da criptografia simétrica é o uso de uma mesma chave para cifrar e decifrar a mensagem. Fonte: Livro da disciplina Capitulo 4, seção 4.7.1.
b. É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular para criptografar dados e uma chave pública para descriptografá-los.
c. É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a fim de aumentar a segurança da informação.
d. É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação de uma função matemática unidirecional a uma quantidade de dados arbitrária.
e. É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los.
Feedback
A resposta correta é: Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia..
Questão 4
Marcar questão
Texto da questão
Em relação à classificação quanto à confidencialidade das informações, assinale a alternativa incorreta:
Escolha uma:
a. Informação interna – A divulgação externa deve ser evitada, embora caso aconteça, não incorre em prejuízo significativo para a organização.
b. Informação confidencial – Estas informações devem ter acesso restrito ao ambiente interno da organização. Sua divulgação pode acarretar em perdas financeiras e de competitividade.
c. Informação pública – São informações que não trarão prejuízo caso sejam divulgadas fora da organização.
d. Informação externa – A divulgação externa deve ser realizada, não resultando prejuízo para a organização.
e. Informação secreta – A restrição deve ser exclusivamente ao ambiente interno e de forma muito controlada, somente pessoas específicas devem ter acesso a informação. Sua divulgação trará alto impacto à organização.
Tema: Classificação quanto à confidencialidade das informações. As informações são classificadas em quatro níveis de acesso quanto à confidencialidade: pública, interna, confidencial e secreta. Não existe classificação externa, bem como divulgação obrigatória de informação, sendo esta alternativa incorreta. Fonte: Cap. 1, p. 8
Feedback
A resposta correta é: Informação externa – A divulgação externa deve ser realizada, não resultando prejuízo para a organização..
Questão 5
Marcar questão
Texto da questão
Quanto aos conceitos fundamentais de segurança da informação, analise as sentenças abaixo:
(__) A disponibilidade é a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela.
(__) A autenticação é a garantia de que um usuário é de fato quem alega ser, sendo que a fonte da informação deve ser assegurada.
(__) O não-repúdio ou irretratabilidade é a capacidade de um usuário efetuar determinadas ações de maneira anônima, impossibilitando o relacionamento entre este usuário e suas ações.
(__) A integridade é a propriedade que garante que a informação está de acordo com a legislação pertinente.
Está correto o que consta em:
Escolha uma:
a. I e III, apenas.
b. II,III e IV, apenas.
c. I,II,III,IV.
d. I e II, apenas.
Tema: Pilares de segurança da informação. As alternativas I e II são verdadeiras. A alternativa III é falsa pois o não-repúdio é a capacidade de provar que um usuário foi responsável por determinada ação. A alternativa IV é falsa pois a integridade é a garantia de que a informação armazenada é verdadeira e não está corrompida. Fonte: Cap. 1, p. 4,5
e. I,II e IV, apenas.
Feedback
A resposta correta é: I e II, apenas..
Questão 6
Marcar questão
Texto da questão
Quanto às formas de detecção de um software antivírus, utilizadas para melhorar a eficiência de seu funcionamento, analise as sentenças abaixo:
I. Signature-based detection (detecção baseada em assinatura) é a forma mais comum utilizada pelos softwares antivírus, que verifica todos os arquivos executáveis (.exe), confrontando-os com a lista conhecida de assinaturas de vírus.
II. Heuristic-based detection (detecção baseada em heurística) é uma técnica que auxilia o software antivírus a detectar variantes de um malware, mesmo na ausência das definições de vírus mais recentes.
III. Behavioral-based detection (detecção baseada em comportamentos) é uma técnica que caracteriza-se por focar mais na detecção das características conhecidas que um programa malicioso realiza durante a sua execução.
Está correto o que consta em:
Escolha uma:
a. I, apenas.
b. III, apenas.
c. I e III, apenas.
d. II, apenas.
e. I,II e III.
Tema: Software malicioso. Todas as alternativas estão corretas pois apresentam os conceitos de forma de detecção de um software antivírus. Fonte: Cap. 4, p. 4
Feedback
A resposta correta é: I,II e III..
Questão 7
Incorreto
Marcar questão
Texto da questão
Quanto à ferramenta ACL para auditoria de sistemas de informação, analise as sentenças abaixo:
I. O software permite analisardados em quase qualquer formato de praticamente qualquer plataforma, mesmo quando trata-se de grande quantidade de dados.
II. Via de regra, um projeto de auditoria desenvolvido no software ACL envolve três fases: planejar, verificar integridade e reportar.
III. Pode ser um componente utilizado na integração de sistemas, de modo a permitir criar uma visão comum de dados em arquivos diferentes e analisá-lo como se existisse em um só arquivo.
Está correto o que consta em:
Escolha uma:
a. III, somente
b. I e II, somente.
Tema: Ferramentas de auditoria de sistemas de informação. As alternativas I e III são verdadeiras. A alternativa II é falsa pois o projeto desenvolvido no software ACL envolve seis fases: planejar, adquirir os dados, acessar os dados, verificar integridade, analisar e reportar. Fonte: Cap. 10 p. 4
c. I e III, somente
d. I, II, III.
e. II e III, somente.
Feedback
A resposta correta é: I e III, somente.
Questão 8
Correto
Marcar questão
Texto da questão
Sobre as técnicas de engenharia social, analise as sentenças abaixo:
I. A técnica de vasculhar o lixo (dumpster diving) possui pouca eficácia, visto que informações sensíveis dificilmente são jogadas fora dentro de uma organização.
II. O phishing é um método de engenharia social realizado pessoalmente, para obter informações enquanto a vítima está executando alguma ação que envolve o uso explícito de informações sensíveis e visíveis.
III. O cavalo de tróia (trojan horse) é um ataque no qual um invasor convence o alvo de que ele tem um problema ou pode ter um certo problema no futuro e que o atacante está pronto para ajudar a resolvê-lo.
IV. Uma das principais armas de um engenheiro social é assumir um papel, em uma técnica denominada role playing.
Está correto o que consta em:
Escolha uma:
a. I e III, apenas.
b. II, III, IV, apenas.
c. II e IV, apenas.
d. I, apenas.
e. IV, apenas.
Tema: Engenharia Social. A alternativas IV é verdadeira. A alternativa I é falsa pois a técnica de vasculhar o lixo pode ter eficácia, visto que muitas organizações não possuem política de descarte seguro. A alternativa II é falsa pois o phishing é uma forma de fraude na qual o invasor tenta capturar informações sensíveis como credenciais de login ou informações da conta do usuário, fazendo-se passar como uma entidade ou pessoa respeitável. A alternativa III é falsa pois o cavalo de tróia (trojan horse) é um dos métodos mais utilizados atualmente por hackers que procuram enganar as vítimas, induzindo-as a baixar um arquivo contendo software malicioso. Fonte: Cap. 5, p. 5,6
Feedback
A resposta correta é: IV, apenas..
Questão 9
Correto
Marcar questão
Texto da questão
Sobre os IPS (Intrusion Prevention System), considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
I.Concedem ou rejeitam o acesso a fluxos de tráfego entre uma zona não confiável e uma zona confiável.
II.É uma evolução do IDS (Intrusion Detection System).
III.Pode ser configurado para que, ao perceber uma tentativa de invasão, uma ação seja tomada automaticamente.
Escolha uma:
a. F,F,V
b. V,F,V
c. F,V,V
Tema: Sistema de prevenção de intrusão (IPS). A alternativas II e III são verdadeiras. A alternativa I é falsa pois o conceito descrito na alternativa corresponde ao conceito de firewall. Fonte: Cap. 3, p. 10
d. V,V,V
e. F,F,F
Feedback
A resposta correta é: F,V,V.
Questão 10
Correto
Marcar questão
Texto da questão
Quanto aos tipos de ataques a ambientes lógicos, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
I.O ataque de DoS (negação de serviço) consiste na utilização de um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
II.O scan é uma varredura em redes de computadores, com o objetivo de identificar vulnerabilidades.
III.O ataque a páginas Web só pode ser realizado a partir de rede interna.
Escolha uma:
a. V,F,V
b. V,V,V
c. V,V,F
Tema: Segurança no ambiente lógico. A alternativas I e II são verdadeiras. A alternativa III é falsa pois o ataque a páginas Web pode ser realizado tanto a partir da rede interna como a partir da rede externa, sendo este último mais comum. Fonte: Cap. 3, p. 5
d. F,V,F
e. F,F,F
Feedback
A resposta correta é: V,V,F.