Baixe o app para aproveitar ainda mais
Prévia do material em texto
Curso20202 - Segurança E Auditoria De Sistemas (ON) TesteATIVIDADE 2 (A2) Iniciado20/10/20 11:39 Enviado20/10/20 18:45 StatusCompletada Resultado da tentativa7 em 10 pontos Tempo decorrido7 horas, 6 minutosResultados exibidosRespostas enviadas, Respostas corretas, Comentários • • Pergunta 1 1 em 1 pontos Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar determinados arquivos contendo informações sigilosas da organização, mas lhe é permitido. HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que descreva o conceito apresentado: Resposta Selecionada: Política de navegação aceitável. Resposta Correta: Política de navegação aceitável. Feedback da resposta: Resposta correta. A alternativa está correta, pois em uma organização devem-se definir políticas para indicar quem deve ter acesso a determinados tipos de recursos. Isso impossibilita que pessoas não autorizadas tenham acesso a arquivos confidenciais dela. Aqui, também se define o que os empregados podem acessar na rede, limitando os tipos de sites, por exemplo sites pornográficos, que pratiquem pirataria etc. • Pergunta 2 1 em 1 pontos O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, além de alterar configurações no navegador. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que descreva a definição apresentada: Resposta Selecionada: Spyware. Resposta Correta: Spyware. Feedback da resposta: Resposta correta. A alternativa está correta, pois um spyware tem como objetivo obter informações confidenciais de suas vítimas. Por meio de softwares maliciosos, é possível capturar teclas e até prints da tela. Esse tipo de ataque é bastante usado para a obtenção de senhas e números de cartões de crédito. • Pergunta 3 0 em 1 pontos Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização: Resposta Selecionada: Pessoas, arquitetura e backup. Resposta Correta: Propriedade intelectual, dados financeiros e disponibilidade. Feedback da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois uma organização deve se preocupar com ativos que podem gerar um maior dano. Por exemplo, uma patente de um míssil de longo alcance que é imperceptível a radares. Caso isso caia em mãos erradas, pode ser uma ameaça à vida, além do prejuízo da pesquisa envolvida. • Pergunta 4 1 em 1 pontos A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades. HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o risco assumindo a possibilidade de dano: Resposta Selecionada: Tolerância. Resposta Correta: Tolerância. Feedback da resposta: Resposta correta. A alternativa está correta, pois, dentro do conceito de segurança da informação, a tolerância ou simplesmente a aceitação é quando se aceita o risco como está. Essa aceitação ocorre por dois motivos: por ter um custo mais elevado para se criar uma contramedida ou simplesmente pelo risco não apresentar um dano tão severo à segurança da informação. • Pergunta 5 1 em 1 pontos Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: Resposta Selecionada: Tolerância, redução e prevenção. Resposta Correta: Tolerância, redução e prevenção. Feedback da resposta: Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que, uma vez identificado o risco, devemos tomar uma contramedida, que, basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). Note que a escolha de qual contramedida tomar está associada ao custo e tempo despendidos para a contramedida. • Pergunta 6 1 em 1 pontos Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, em que se podem abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não desejado”: Resposta Selecionada: Ameaça. Resposta Correta: Ameaça. Feedback da resposta: Resposta correta. A alternativa está correta, pois a ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, que é um evento adverso em um sistema de informação e/ou em uma rede que representa uma ameaça à segurança do computador ou da rede em relação à disponibilidade, integridade e confidencialidade. • Pergunta 7 1 em 1 pontos Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos. Resposta Selecionada: Podem-se identificar, priorizar e medir os riscos. Resposta Correta: Podem-se identificar, priorizar e medir os riscos. Feedback da resposta: Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de umamelhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida. • Pergunta 8 0 em 1 pontos Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica de levantamento: Resposta Selecionada: Contagem de dados. Resposta Correta: Brainstorming. Feedback da resposta: Sua resposta está errada. A alternativa está incorreta, pois, de acordo com o que foi estudado no livro-texto, as técnicas utilizadas geralmente estão envolvidas com grupos de pessoas, especialistas ou não. Nesse momento, esse grupo aproveita para discutir sobre os itens e chegar a um consentimento. Para compreender melhor quais técnicas são utilizadas, recomenda- se fortemente que você releia o seu material. • Pergunta 9 1 em 1 pontos Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco: Resposta Selecionada: Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). Resposta Correta: Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). Feedback da resposta: Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco. • Pergunta 10 0 em 1 pontos No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que recebem e-mails oferecendo ofertas encantadoras, produtos com preços abaixo do mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado a uma conta falsa e, sem saber, acaba sendo vítima de um golpe. Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: Resposta Selecionada: Anunciar preços de acordo com o mercado com documentação. Resposta Correta: Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. Feedback da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois opções não demonstram uma formação de golpe, apesar de que se deve ter bastante cuidado em expor as nossas informações para terceiros, até em sites conhecidos. Recomenda-se fortemente que você releia o material e veja exemplos de golpes praticados na Internet. Terça-feira, 20 de Outubro de 2020 19h16min50s BRT
Compartilhar