GESTAO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Curso
	GRA0538 GESTÃO DE SEGURANÇA DA INFORMAÇÃO GR1462202 - 202020.ead-6184.04
	Teste
	ATIVIDADE 2 (A2)
	Iniciado
	18/08/20 12:18
	Enviado
	01/10/20 13:50
	Status
	Completada
	Resultado da tentativa
	5 em 10 pontos  
	Tempo decorrido
	1057 horas, 32 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
0 em 1 pontos
	
	
	
	Definir políticas de riscos de acordo com alinhamento estratégico da organização, incluindo e critérios de mudança de senhas em combinação de diferentes tipos de autenticação não garantirá nenhuma segurança caso o usuário não tome certos tipos de cuidados.  Como exemplo, deixar agentes ameaçadores terem acesso a locais físicos, descarte de mídias/documentos de forma inapropriada, interceptação eletrônica etc. Muitas das vezes usuários acabam não se preocupam (ou desconhecem) com as informações/ações que tem acesso nas organizações. Talvez por descuido um usuário pode inserir informações vitais em quadros, papéis, como: dados/senhas que em mãos erradas trarão um grande prejuízo para a empresa. Logo, esse tipo de ação deve ser constantemente observado. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Com base no contexto anterior e com o material estudado informe o nome dado a essa ação realizada por um agente ameaçador.
	
	
	
	
		Resposta Selecionada:
	 
Invasão lógica.
	Resposta Correta:
	 
Interceptação por observação.
	Feedback da resposta:
	Sua resposta está incorreta. A informação em uma organização sem dúvida é um dos seus maiores ativos. Por exemplo, imagine uma instituição de ensino que possua milhares de alunos ligados aos seus respectivos cursos. Caso um agente ameaçador se adentre fisicamente a área de TI e perceba alguma anotação importante, como a senha do banco de dados sobre uma mesa, com certeza poderá causar um grande dano.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Em uma instituição, para que todos trabalhem em sinergia, deve-se definir um processo organizacional a qual em cada nível possa definir diretrizes para toda a organização. Essas ações devem ser elaboradas pela alta gestão e desdobradas em toda a organização, até o empregado com atividade mais simples. Quando se determina um processo organizacional deve-se ter em mente que o todos os próximos passos da instituição serão definidos. Isso assegura um norte para toda a organização. Esse alinhamento estratégico é essencial para manter a unidade e competividade da organização. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Conforme o contexto discutido anteriormente, selecione a alternativa que melhor represente os níveis organizacionais de uma instituição.
	
	
	
	
		Resposta Selecionada:
	 
Estratégico, tático e operacional.
	Resposta Correta:
	 
Estratégico, tático e operacional.
	Feedback da resposta:
	Resposta correta. Basicamente, os níveis de uma organização são estratégico, tático e operacional. Na ponta, onde tudo é definido tem-se o estratégico, em seguida, tem-se o tático, que visa aplicar/monitorar em grupos menores. Por fim, o operacional, onde tudo é executado.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Em um acesso lógico, autenticar em um sistema garantirá que apenas temos o acesso ao mesmo. Pode-se fazer um comparativo da mesma forma de se entrar em um edifício. Onde, acessar cada sala (funções/ação) deve ser definida a partir do proprietário ou pessoas especialistas autorizadas. Geralmente, as permissões, a fim de facilitar o controle, são feitas para grupos de pessoas que assumem um determinado tipo de papel (função ou alta gestão). Em um controle de acesso a autorização pode ser definida pelo proprietário, delegada a terceiros ou definidas para o administrador de segurança. Saber escolher qual opção é mais adequada com certeza garantirá a segurança das informações. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Com base no contexto de autorização marque a opção que demonstra as diferentes estratégias de definição de privilégios.
	
	
	
	
		Resposta Selecionada:
	 
Discricionário, obrigatório, não-discricionário e baseado em regra.
	Resposta Correta:
	 
Discricionário, obrigatório, não-discricionário e baseado em regra.
	Feedback da resposta:
	Resposta correta. Pode-se controlar o que cada usuário poderá acessar por meio de uma série de modelos. Eles podem ser: discricionário, obrigatório, não-discricionário e baseado em regra. A preocupação desses modelos visa definir quem será o responsável em dirigir o acesso de casa usuário ou grupo.
	
	
	
· Pergunta 4
0 em 1 pontos
	
	
	
	A grande maioria dos sistemas/sites disponíveis não possuem uma integração entre si. Logo, é necessário que o próprio usuário gerencie seus logins e senhas. Caso esse número aumente o usuário terá bastante dificuldade em memorizar cada senha. E para complicar, uma boa política de criação de senha exige que o usuário crie diferentes senhas para cada tipo de sistema/serviço usado, dificultando a quebra da senha, caso algum agente ameaçador tenha acesso a um de seus logins. Uma das técnicas mais respeitadas de autenticação é por meio de características do usuário (impressões digitais, retina, assinatura, desenhos etc.). Pois, por meio dela não é necessário que os usuários decorem ou digitem uma senha ou tenham que carregar sempre consigo algum dispositivo, como token, crachá etc. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
De acordo com a autenticação por características a mesma possui duas estratégias. Selecione a opção que as aponte.
	
	
	
	
		Resposta Selecionada:
	 
Monolítica e pluralística.
	Resposta Correta:
	 
Estática e dinâmica.
	Feedback da resposta:
	Sua resposta está incorreta. A autenticação em questão necessita da presença física do usuário. Apesar de ser a autenticação que exige um menor esforço do usuário ela possui alguns preconceitos por parte dos usuários sobre certos tipos de leitura biométrica, como leitura de íris.
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	Um erro, por parte de um empregado, pode desencadear uma série de consequências, dentre elas resultar em falhas/incidentes. De forma tentadora, o empregado pode simplesmente tentar negar a ação. Porém, a maioria dos sistemas é capaz de registrar com precisão o que certo usuário realizou/alterou. É importante notar que ter o registro do que um usuário realizou não é uma prova definitiva, pois o próprio usuário pode ter sido uma vítima, ao definir uma senha fraca ou simplesmente perdê-la. Um usuário ao se autenticar (biometria, senha, cartão etc.) adentrar dentro de um sistema terá acesso as funções/ações definidas ou por seu grupo (cargo) ou por tipo de autoridade. Mas, independente do poder de acesso/permissão, de cada indivíduo, deve-se poder auditar/monitorar e investigar o que cada usuário realizou no sistema/serviço. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Com base no contexto anterior e com o material estudado indique a sentença que melhor descreva a etapa de controle de acesso.
	
	
	
	
		Resposta Selecionada:
	 
Integração.
	Resposta Correta:
	 
Responsabilização.
	Feedback da resposta:
	Sua resposta está incorreta. Essa á última etapa de um controle de acesso. Nesse momento é quando o usuário já efetuou o acesso e está dentro de um sistema ou serviço. Nessa etapa tem-se diferentes formas de monitorar o usuário, tal ação permitirá encontrar o usuário que realizou alguma operação ilegal ou que tenha gerado algum tipo de erro.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	É muito comum vermos nos noticiários pessoas que tiveram seus dispositivos eletrônicos invadidos/roubados e em consequência terem suas informações pessoaiscapturadas. Um agente ameaçador, tendo êxito em capturar informações pessoais poderá se passar pelo usuário real, onde por meio de senhas poderá ter acesso aos seus cartões, ou contas em sites de compra. Quanto mais importante for a informação/serviço deve-se garantir meios seguros para que seus usuários usem/confiem. Em um ambiente organizacional, podemos ampliar/dificultar o controle de acesso para garantirmos um nível maior de segurança. Como exemplo, tal medida pode ser o fruto do controle de acesso em dois níveis. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Com base no texto selecione a melhor opção que descreva os níveis de controle de acesso.
	
	
	
	
		Resposta Selecionada:
	 
Físico e lógico.
	Resposta Correta:
	 
Físico e lógico.
	Feedback da resposta:
	Resposta correta. Toda a organização deve-se preocupar tanto com o acesso físico (edificações) como também pelo meio lógico (sistemas/serviços). Ao se restringir o acesso de um indivíduo fisicamente pode-se dificultar o acesso do mesmo a equipamentos/informações, por meio de engenharia social. Consequentemente, o meio lógico também deve possuir uma série de seguranças.
	
	
	
· Pergunta 7
0 em 1 pontos
	
	
	
	Além de políticas de segurança lógicas e físicas, uma organização deve se preocupar com políticas que visam prevenir ameaças da natureza, como incêndios, alagamento, terremotos, etc. Geralmente, para se prevenir contra essas ameaças, sistemas de backup ficam em localizações diferentes. Caso ocorra algum problema, não destrua todas as informações, pois é muito improvável que ações na natureza ocorram de forma simultânea em locais diferentes. Esse tipo de política de segurança está além da definição física ou lógica. Visto que, tais eventos podem ter resultados catastróficos, logo medidas de contenção devem ser elaboradas a fim de minimizar os danos. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
De acordo com o texto anterior e com o material estudado escolha a opção que descreva esse tipo de política de segurança.
	
	
	
	
		Resposta Selecionada:
	 
Política de segurança externa.
	Resposta Correta:
	 
Política de segurança ambiental.
	Feedback da resposta:
	Sua resposta está incorreta. O negligenciamento de políticas de contensão sobre eventos da natureza pode acabar resultando em grandes perdas. Geralmente, os danos são catastróficos, em consequência pode-se ocorrer prejuízos não só materiais, mas também risco de morte.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	Em uma organização é essencial que o controle de acesso seja feito por meio de níveis. Em especial, dois níveis: o lógico (através de serviços/sistemas) e o físico (construções). No primeiro nível tem-se o controle de acesso físico para adentar ao local, por exemplo, acessar fisicamente um aeroporto. Tento a autorização de acesso, que foi definida previamente por meio de uma política interna, você terá que passar para segundo nível, onde o usuário terá que acessar algum terminal para efetuar o acesso lógico e posteriormente acessar o serviço. Já vimos em muitos filmes/vida real que uma invasão pode ser originada através de um acesso físico a um local não autorizado. Além disso, caso o acesso físico não consiga barrar um agente ameaçador o segundo nível terá que fazê-lo. As organizações devem definir políticas de controle de acesso bem definidas, respeitando os quatro elementos de controle básicos. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Conforme o texto anterior aponte os elementos que melhor descreva o assunto.
	
	
	
	
		Resposta Selecionada:
	 
Usuários, recursos, ações e relacionamentos.
	Resposta Correta:
	 
Usuários, recursos, ações e relacionamentos.
	Feedback da resposta:
	Resposta correta. Deve-se levar em consideração os usuários (pessoas que acessam o sistema). Além disso, quais recursos eles possuem (arquivos/dados) e que tipo de acesso/ações (atividades) e relacionamento (recursos adicionais entre o usuário e recurso, como leitura, escrita etc).
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Em um ambiente organizacional, se preocupar com o descarte de informações é um fator bastante crítico. Pois, descartar informações (relatórios, equipamentos de armazenamento) sem um devido tratamento pode acarretar em uma espionagem. Onde, um agente ameaçador pode vascular as informações descartadas a fim de obter algum tipo de vantagem sobre o sistema. Vimos todas as etapas de um controle de acesso, entretanto pode-se negligenciar essa segurança no momento de seu descarte. Esse tipo de ação é definido nas políticas de riscos de uma organização. Ao se ter acesso a esses dados, mesmo que desatualizado, é possível ter uma visão maior do todo, colhendo informações importantes/vitais. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
De acordo com o contexto de descarte de informações selecione uma sentença que apresente itens que devem ser observados durante o descarte.
	
	
	
	
		Resposta Selecionada:
	 
Hardware e papeis.
	Resposta Correta:
	 
Hardware e papeis.
	Feedback da resposta:
	Resposta correta. Documentos confidenciais, relatórios, dispositivos de armazenamento de maneira nenhuma podem ser jogados diretamente no lixo. Deve-se picotá-los por meio de uma máquina, tornando difícil a junção. Por outro lado, tem-se as mídias digitais que também devem ser desmagnetizadas.
	
	
	
· Pergunta 10
0 em 1 pontos
	
	
	
	Toda organização está focada em criar produtos/serviços de maneira eficiente e com baixo custo. Não é de se admirar que novas técnicas de mapeamento de processos vem surgindo. Por meio dessas técnicas é possível conhecer todas as atividades de uma organização de ponta-a-ponta, cruzando diversos departamentos. Uma vez mapeado o processo há a possibilidade de melhorá-lo, removendo gargalos (atividades que atrasam o andamento do negócio) e atividades desnecessárias. Uma modelagem bem conhecida é a BPMN – Business Process Model and Notation (Modelo e Notação de Processos de Negócio). Atualmente, ela é bem aceita no mercado e visa estreitar a comunicação entre setores e pessoas por meio da modelagem de negócio (como o negócio da organização funciona). (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Dentro da modelagem BPMN, podemos modelar o processo de forma gráfica, por meio de diagramas. Esse diagrama lembra um pouco os itens do fluxograma. Com base nisso, escolha a melhor opção para o nome dado a esse diagrama.
	
	
	
	
		Resposta Selecionada:
	 
BMPD.
	Resposta Correta:
	 
BPD.
	Feedback da resposta:
	Sua resposta está incorreta. Esse nível seguirá as definições criadas no nível superior, onde deverá quebrar tais ações em atividades menores de curto à médio prazo. Apesar de realizarem tarefas diferentes, toda a organização trabalha complementando um ao outro.