SEGURANÇA E AUDITORIA DE SISTEMAS - Atividade 2

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização:
	
	
	
	
		Resposta Selecionada:
	 
Propriedade intelectual, dados financeiros e disponibilidade.
	Resposta Correta:
	 
Propriedade intelectual, dados financeiros e disponibilidade.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois os principais ativos de uma organização são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos para a definição apropriada de contramedidas.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques:
	
	
	
	
		Resposta Selecionada:
	 
Varreduras de vulnerabilidades, portas, captura de teclado etc.
	Resposta Correta:
	 
Varreduras de vulnerabilidades, portas, captura de teclado etc.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida em que se pode identificar suas vulnerabilidades primeiramente.
	
	
	
· Pergunta 3
0 em 1 pontos
	
	
	
	A cada ano, o número de ameaças cresce. Algumas empresas, como a Symantec (área de segurança), fazem um balanço anual, a fim de conhecer os tipos de ataques juntamente com o seu número. Isso permite que se observem as tendências dos ataques ao longo do tempo. Nota-se que alguns ataques antes famosos deixaram de ser bem-sucedidos, pois o alerta das mídias (TVs, Internet, revistas etc.) e do avanço de contramedidas, como o antivírus, tornou tal ataque menos ineficiente.
 
CLARKE, R. A.; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015.
 
Nesse sentido, assinale a alternativa que indique as ameaças que vêm crescendo a cada ano:
	
	
	
	
		Resposta Selecionada:
	 
Aumentou-se mais de 3000% ataques do tipo Ransomware (criptografa seus dados e exige pagamento).
	Resposta Correta:
	 
Com o uso de scripts PowerShell, aumentou-se 1000% o número de e-mails maliciosos.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, apesar de existirem as ameaças citadas, elas não vêm crescendo a cada ano. Algumas estão estáveis, enquanto outros decrescem. Esse motivo se dá porque a ameaça deixou de ser eficiente e poucas pessoas caem. Releia seu material e veja quais ameaças aumentaram seu número.
	
	
	
· Pergunta 4
0 em 1 pontos
	
	
	
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias apropriadas.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as principais formas de se medir um risco:
	
	
	
	
		Resposta Selecionada:
	 
Uma média qualitativa.
	Resposta Correta:
	 
Quantitativa e qualitativa.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, apesar de considerarmos tanto a probabilidade quanto valores tangíveis, existem nomes específicos para isso, utilizando duas formas básicas. Recomenda-se fortemente que você releia o seu material e reveja o conceito de medida de riscos. Desse modo, o conceito ficará mais evidente.
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, além de alterar configurações no navegador.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva a definição apresentada:
	
	
	
	
		Resposta Selecionada:
	 
Spoofing.
	Resposta Correta:
	 
Spyware.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, apesar de ser muito semelhante ao cavalo de Troia, essa variante visa somente obter informações confidenciais e enviá-las, em um momento oportuno, ao agente ameaçador. Um spyware tem como objetivo obter informações confidenciais de suas vítimas. Nesse tipo de ataque, podem-se obter informações como: número de cartões de crédito, senhas e acesso a redes sociais. Reveja o conteúdo e leia sobre os tipos de ameaças.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Existe também um tipo de ataque que visa divulgar produtos por e-mail . Diariamente, recebemos alguns desses tipos de mensagens, os quais apresentam títulos interessantes para despertar nossa atenção e curiosidade. Estima-se que, em 2018, 55% de todos os e-mails foram considerados desse tipo de ameaça.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
	
	
	
	
		Resposta Selecionada:
	 
Spam.
	Resposta Correta:
	 
Spam.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois o spam é, sem dúvida, um tipo de ataque muito antigo, mas que ainda faz inúmeras vítimas. Por meio de seus conteúdos interessantes, as vítimas se sentem atraídas e acabam clicando em algum link e comprando algum produto falso, caindo em golpes bem elaborados. Muitos exemplos disso são de produtos que realizam ações milagrosas, como queda de cabelo etc.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos.
	
	
	
	
		Resposta Selecionada:
	 
Podem-se identificar, priorizar e medir os riscos.
	Resposta Correta:
	 
Podem-se identificar, priorizar e medir os riscos.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessadefinição, será a partir daí que podemos medi-los para uma efetiva contramedida.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	Uma medida de repressão é bastante útil quando se identifica uma ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Sem dúvida, prevenir-se contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Sobre medidas de proteção, assinale a alternativa que indique a opção que é mais adequada após uma repressão:
	
	
	
	
		Resposta Selecionada:
	 
Prevenção.
	Resposta Correta:
	 
Correção.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, mesmo com medidas de repressão, é necessário reparar algum dano, e esse é o papel da correção. Note que, se a repressão não foi efetiva, será necessário complementar tal ação. Em caso de dúvidas, recomenda-se que você veja o seu material e compreenda melhor o conceito envolvido.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	Avaliação de risco é um termo usado para descrever o processo ou método geral em que você identifica perigos e fatores de risco com potencial para causar danos. Precaver-se de riscos não é uma tarefa fácil; por outro lado, se fosse tão fácil se precaver, poderíamos obter os riscos de outras organizações e aplicá-las à nossa realidade.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Sobre a prevenção de riscos, assinale a alternativa que indique os requisitos básicos que uma organização deve considerar:
	
	
	
	
		Resposta Selecionada:
	 
Funcionais e não funcionais.
	Resposta Correta:
	 
Objetivos e estratégias, leis e regras de negócio.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois uma organização deve levar em consideração, no mínimo, três tipos de requisitos de segurança básicos: estratégia, visão e objetivos. Eles estão diretamente envolvidos com o negócio dela. Recomenda-se fortemente que você releia o material e compreenda melhor esses requisitos.
	
	
	
· Pergunta 10
0 em 1 pontos
	
	
	
	A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades.
 
HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o risco assumindo a possibilidade de dano:
	
	
	
	
		Resposta Selecionada:
	 
Prevenção.
	Resposta Correta:
	 
Tolerância.
	Feedback da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, apesar de ser um tipo de estratégia, a sua resposta não se refere ao enunciado. A tolerância ou aceitação pode ter um alto custo para a segurança da informação. Deve-se reler o material e compreender as três estratégias básicas para definir uma contramedida ao risco.
	
	
	
Domingo, 21 de Junho de 2020 23h17min53s BRT