Prova Segurança e Auditoria de Sistemas

Prévia do material em texto

Segurança e Auditoria de Sistemas
Atividade anterior
Próxima atividade
	Iniciado em
	segunda, 10 Jun 2019, 15:13
	Estado
	Finalizada
	Concluída em
	segunda, 10 Jun 2019, 15:24
	Avaliar
	Ainda não avaliado
Parte superior do formulário
Questão 1
Completo
Marcar questão
Texto da questão
Questão A
A produção de informações cresce de maneira exponencial, por isso deve crescer também o cuidado com a gestão segura de dados por parte das organizações. Além dos principais aspectos que sustentam a segurança da informação, a compreensão de alguns conceitos também é importante, como ataque, vulnerabilidade, ameaça e probabilidade.
Nesse contexto, explique o que significa cada um desses termos quando se trata de segurança de sistemas:
Dica: acompanhe o capítulo 1 do livro da disciplina.
Questão B
Fake news é algo com o qual a gente se depara quase todos os dias, fenômeno que pode arranhar a imagem de uma organização. De acordo com o link abaixo, o Google desenvolveu uma ferramenta, que permite verificar a veracidade de uma informação disponível na web.
https://canaltech.com.br/mercado/contra-fake-news-google-traz-nova-ferramenta-de-checagem-de-fatos-91894/
Considerando que dados corporativos precisam ser protegidos para evitar distorções de informação, gerando danos à reputação de uma organização, dê no mínimo 2 (dois) exemplos sobre o uso correto de informações organizacionais, que poderiam evitar fake news no meio corporativo:
Dica: busque informações sobre política de segurança da informação no livro da disciplina.
Questão A
A produção de informações cresce de maneira exponencial, por isso deve crescer também o cuidado com a gestão segura de dados por parte das organizações. Além dos principais aspectos que sustentam a segurança da informação, a compreensão de alguns conceitos também é importante, como ataque, vulnerabilidade, ameaça e probabilidade.
Nesse contexto, explique o que significa cada um desses termos quando se trata de segurança de sistemas:
 
Ataque
À medida que serviços de Tecnologia da Informação surgem nas diversas áreas e ficam disponíveis para melhorar a vida das pessoas, também ficam vulneráveis a ataques cibernéticos das mais diferentes formas.
Estes ataques visam causar a indisponibilidade de sistemas e serviços, obter acesso não autorizado, roubo de dados, propagação de códigos maliciosos em rede de computadores, estes ataques visam causar a indisponibilidade de serviços, acesso não autorizado, propagação de códigos maliciosos em rede, modificação de páginas de web site, protestos, críticas ao governo, alusão a cibercriminosos, ou obtenção de vantagens ilícitas, o que e pode prejudicar os serviços prestados à população e órgãos públicos.
 
Vulnerabilidade
São falha ou fraqueza de um sistema, é algo que permite um ataque ou associa-se a determinado risco. Uma vulnerabilidade surge quando uma ameaça encontra uma fraqueza que ela pode explorar (uma fraqueza é uma falha que ocorre durante a concepção, implementação, configuração ou controle de um sistema), fraquezas podem ser criadas por descuido, ou intencionalmente. Algumas são fáceis de se identificar corrigir ou explorar, enquanto outras requerem algum tempo, esforço e recursos.
 
Ameaça
É um evento ou atitude indesejável que potencialmente remove, desabilita ou destrói um recurso. As ameaças normalmente aproveitam das falhas de segurança da organização. Pode ser relacionada a quebra de sigilo de uma determinada informação permitindo com que sejam expostas informações restritas. pode ocorrer, por exemplo, quando um funcionário ou ex-funcionário está descontente com a organização e pode sim expor informações ao público ou levar informações ao concorrente, danificá-los, contaminá-lo ou, apagar dados importantes.
Probabilidade
Refere-se a probabilidade de uma ocorrência de incidente de segurança (concretização de uma ameaça). Analisa a probabilidade de falha do sistema com base em com base em ameaças e ataques.
Questão B
Fake news é algo com o qual a gente se depara quase todos os dias, fenômeno que pode arranhar a imagem de uma organização. De acordo com o link abaixo, o Google desenvolveu uma ferramenta, que permite verificar a veracidade de uma informação disponível na web.
Considerando que dados corporativos precisam ser protegidos para evitar distorções de informação, gerando danos à reputação de uma organização, dê no mínimo 2 (dois) exemplos sobre o uso correto de informações organizacionais, que poderiam evitar fake news no meio corporativo:
 
Usar criptografia para proteger a informação, fazendo com que o apenas o emissor e o receptor consigam compreendê-las.
Controle de acesso de à usuários para não de ocorrer vazamento de informações.
Segurança física e do ambiente restringir o acesso aos locais de servidores e maquinas para apenas funcionários autorizados.
Manutenção do sistema para manter a segurança e integridade do sistema.
Relacionamento com fornecedor mantendo sigilo contratual.
Questão 2
Correto
Marcar questão
Texto da questão
O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI. Assinale a alternativa que apresenta o órgão responsável por este guia:
Escolha uma:
a. INTOSAI
b. ISSO
c. TCU
d. ISACA
Tema: ISACA,opção (C). A ISACA disponibiliza alguns guias importantes entre eles o IT Assurance Guide. O título pode ser traduzido como Guia de Avaliação de TI. Focado na avaliação dos controles internos de TI descritos no COBIT. No título é usado o termo Assurance, ou avaliação este termo é mais abrangente do que o termo auditoria, no entanto a auditoria é um tipo de avaliação. Fonte: Cap 8 pag. 13
e. INMETRO.
Feedback
A resposta correta é: ISACA.
Questão 3
Correto
Marcar questão
Texto da questão
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa:
Escolha uma:
a. O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local.
b. O auditor adquire os dados para o projeto.
c. Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado.
Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de verificar a integridade dos dados é através da comparação entre os totais numéricos obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8
d. O auditor informa ao software ACL como ler e interpretar os dados que ele contém.
e. Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca as declarações dos objetivos do projeto.
Feedback
A resposta correta é: Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado..
Questão 4
Correto
Marcar questão
Texto da questão
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar:
Escolha uma:
a. Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é único.
b. A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados.
Tema: Engenharia Social.E etapa de relação de confiança é a fase imediatamente após a fase de levantamento de informações (coleta), onde o atacante procura ganhar a confiança da vítima. Fonte: Cap 5, pag. 2,3
c. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação obtida para fins ilícitos.
d. A etapa de manipulação psicológica é o primeiro passo em um ataque de engenharia social.
e. A etapa de manipulação psicológica é a etapa de levantamento de informações sobre o(s) alvo(s) e o ambiente circunvizinho a este.
Feedback
A resposta correta é: A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveisalvos foram enumerados..
Questão 5
Correto
Marcar questão
Texto da questão
Quanto à segurança em datacenter, é correto afirmar que:
Escolha uma:
a. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a necessidade de uso de datacenter.
b. A segurança em datacenter é regida pela norma BS7799.
c. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente.
Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser seguidos para garantia da segurança das informações que os datacenters armazenam. Fonte: Cap 3, pag. 3,4
d. Não é necessário o investimento maciço em segurança de datacenter, visto que as aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes para garantia da segurança da informação.
e. A instalação de um firewall é suficiente para garantia de segurança em datacenter.
Feedback
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, manutenção periódica, prostração contra danos e refrigeração do ambiente..
Questão 6
Correto
Marcar questão
Texto da questão
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente:
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu a necessidade de melhorar os seus serviços de TI.
É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.
A ITIL organiza os processos para o gerenciamento dos serviços de TI por meio de um ciclo de vida de serviços.
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias complementares e guias de gestão e governança de TI.
Escolha uma:
a. F,V,V,F
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias complementares. Fonte: Cap 2, pag. 16
b. V,F,V,F
c. V,V,F,F
d. F,V,F,V
e. V,V,V,F
Feedback
A resposta correta é: F,V,V,F.
Parte inferior do formulário