Baixe o app para aproveitar ainda mais
Prévia do material em texto
DISCIPL INA:SEGURANÇA E AUDITORIA DE SISTEMAS PTA AS RESPOSTAS CORRETAS ESTÃO DE MARCA TEXTO VERDE PERGUNTA 1 Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o diferencia é seu grande poder de ataque. Existe um tipo de ataque que explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no software (desenvolvedor). HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que descreva o conceito apresentado: Rootkits. Cookies. Spam. Ataques de força bruta. Portas dos fundos (backdoor). PERGUNTA 2 Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques: Varreduras de vulnerabilidades, portas, captura de teclado etc. Gerenciador de riscos, captura de tela, varreduras de portas etc. Discadores, impressão, controle etc. Testes unitários de software, vulnerabilidades, estruturais etc. Revisão ortográfica, farejadores, captura de cliques etc. PERGUNTA 3 Uma medida de repressão é bastante útil quando se identifica uma ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Sem dúvida, prevenir-se contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Sobre medidas de proteção, assinale a alternativa que indique a opção que é mais adequada após uma repressão: Prevenção. Exposição. Correção. Aceitação. Justificação. PERGUNTA 4 Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é possível saber o momento que ela acontece. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que melhor descreva essa outra medida: Segura. Contramedida. Preventiva. Aceitação. Repressão. PERGUNTA 5 Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica de levantamento: Por ameaça. Contagem de dados. Por ataque. Falhas de equipamentos. Brainstorming. PERGUNTA 6 Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco: Cada organização faz seu próprio processo; infelizmente, não há um exemplo de processo a ser seguido ou adaptado. Swebok é a melhor opção para pequenas empresas, em que se pode evoluir e alcançar uma maior maturidade. Um bom processo para se seguir é o do PMP (Project Management Professional). O mais adequado são as metodologias ágeis, pois são dinâmicas. Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). PERGUNTA 7 Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar determinados arquivos contendo informações sigilosas da organização, mas lhe é permitido. HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que descreva o conceito apresentado: Espionagem telefônica. Política de navegação aceitável. Ataques de dicionário. Rootkits. Spywares. PERGUNTA 8 Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições: Vírus. Spam. Cavalo de Troia. Negação de serviço (DoS – Denial of Service). Alterações acidentais sobre os dados. PERGUNTA 9 Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: Teste e aceitação. Aceitação e brainstorming. Delphi e entrevistas. Quantitativa, qualitativa e mitigação. Tolerância, redução e prevenção. PERGUNTA 10 Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, em que se podem abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não desejado”: Preventiva. Aceitação. Qualitativa. Gatilho. Ameaça. DISCIPLINA:SEGURANÇA E AUDITORIA DE SISTEMAS PTA AS RESPOSTAS CORRETAS ESTÃO DE MARCA TEXTO VERDE PERGUNTA 1 PERGUNTA 2 Apesar de existirem inúmeros tipos de ataques, efe PERGUNTA 3 PERGUNTA 4 PERGUNTA 5 PERGUNTA 6 PERGUNTA 7 PERGUNTA 8 PERGUNTA 9 PERGUNTA 10
Compartilhar