SEGURANÇA E AUDITORIA DE SISTEMAS ATV2

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica de levantamento:
	
	
	
	
		Resposta Selecionada:
	 
Brainstorming.
	Resposta Correta:
	 
Brainstorming.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, conforme estudado durante a leitura do livro-texto, as principais técnicas utilizadas na análise qualitativa são: brainstorming, Delphi, entrevistas, discussões etc. Observa-se aqui que são exploradas técnicas que envolvem um grupo de pessoas.
	
	
	
· Pergunta 2
0 em 1 pontos
	
	
	
	Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização:
	
	
	
	
		Resposta Selecionada:
	 
Pessoas, arquitetura e backup.
	Resposta Correta:
	 
Propriedade intelectual, dados financeiros e disponibilidade.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois uma organização deve se preocupar com ativos que podem gerar um maior dano. Por exemplo, uma patente de um míssil de longo alcance que é imperceptível a radares. Caso isso caia em mãos erradas, pode ser uma ameaça à vida, além do prejuízo da pesquisa envolvida.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, além de alterar configurações no navegador.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva a definição apresentada:
	
	
	
	
		Resposta Selecionada:
	 
Spyware.
	Resposta Correta:
	 
Spyware.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois um spyware tem como objetivo obter informações confidenciais de suas vítimas. Por meio de softwares maliciosos, é possível capturar teclas e até prints da tela. Esse tipo de ataque é bastante usado para a obtenção de senhas e números de cartões de crédito.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco:
	
	
	
	
		Resposta Selecionada:
	 
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Resposta Correta:
	 
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas:
	
	
	
	
		Resposta Selecionada:
	 
Tolerância, redução e prevenção.
	Resposta Correta:
	 
Tolerância, redução e prevenção.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que, uma vez identificado o risco, devemos tomar uma contramedida, que, basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). Note que a escolha de qual contramedida tomar está associada ao custo e tempo despendidos para a contramedida.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar determinados arquivos contendo informações sigilosas da organização, mas lhe é permitido.
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
	
	
	
	
		Resposta Selecionada:
	 
Política de navegação aceitável.
	Resposta Correta:
	 
Política de navegação aceitável.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois em uma organização devem-se definir políticas para indicar quem deve ter acesso a determinados tipos de recursos. Isso impossibilita que pessoas não autorizadas tenham acesso a arquivos confidenciais dela. Aqui, também se define o que os empregados podem acessar na rede, limitando os tipos de sites, por exemplo sites pornográficos, que pratiquem pirataria etc.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente, recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-mails foram considerados desse tipo de ameaça.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
	
	
	
	
		Resposta Selecionada:
	 
Spam.
	Resposta Correta:
	 
Spam.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de seus conteúdos interessantes, as vítimas se sentem atraídas e acabam clicando em algum link e comprando algum produto falso, caindo em golpes bem elaborados. Muitos exemplos disso são de produtos que realizam ações milagrosas, como queda de cabelo etc.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente com o seu número. Isso permite que se observemas tendências dos ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o antivírus, tornou tal ataque menos ineficiente.
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015.
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada ano:
	
	
	
	
		Resposta Selecionada:
	 
Aumentou-se mais de 3000% ataques do tipo Ransomware (criptografa seus dados e exige pagamento).
	Resposta Correta:
	 
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, apesar de existirem as ameaças citadas, elas não vêm crescendo a cada ano. Algumas estão estáveis, enquanto outros decrescem. Esse motivo se dá porque a ameaça deixou de ser eficiente e poucas pessoas caem. Releia seu material e veja quais ameaças aumentaram seu número.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades.
 
HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o risco assumindo a possibilidade de dano:
	
	
	
	
		Resposta Selecionada:
	 
Prevenção.
	Resposta Correta:
	 
Tolerância.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, apesar de ser um tipo de estratégia, a sua resposta não se refere ao enunciado. A tolerância ou aceitação pode ter um alto custo para a segurança da informação. Deve-se reler o material e compreender as três estratégias básicas para definir uma contramedida ao risco.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, em que se podem abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não desejado”:
	
	
	
	
		Resposta Selecionada:
	 
Ameaça.
	Resposta Correta:
	 
Ameaça.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, que é um evento adverso em um sistema de informação e/ou em uma rede que representa uma ameaça à segurança do computador ou da rede em relação à disponibilidade, integridade e confidencialidade.