ATIVIDADE 2 SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

Curso20202 - Segurança E Auditoria De Sistemas (ON) 
 TesteATIVIDADE 2 (A2) 
 Iniciado20/10/20 11:39 
 Enviado20/10/20 18:45 
 StatusCompletada 
 Resultado da tentativa7 em 10 pontos 
 Tempo decorrido7 horas, 6 minutosResultados exibidosRespostas enviadas, Respostas 
corretas, Comentários 
• 
• Pergunta 1 
1 em 1 pontos 
 
Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of 
Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um 
determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a 
recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar 
determinados arquivos contendo informações sigilosas da organização, mas lhe é 
permitido. 
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado: 
 
Resposta Selecionada: 
Política de navegação aceitável. 
Resposta Correta: 
Política de navegação aceitável. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois em uma 
organização devem-se definir políticas para indicar quem deve 
ter acesso a determinados tipos de recursos. Isso impossibilita 
que pessoas não autorizadas tenham acesso a arquivos 
confidenciais dela. Aqui, também se define o que os 
empregados podem acessar na rede, limitando os tipos de sites, 
por exemplo sites pornográficos, que pratiquem pirataria etc. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um 
tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar 
algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de 
redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, 
além de alterar configurações no navegador. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva a definição apresentada: 
 
Resposta Selecionada: 
Spyware. 
Resposta Correta: 
Spyware. 
 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois 
um spyware tem como objetivo obter informações confidenciais 
de suas vítimas. Por meio de softwares maliciosos, é possível 
capturar teclas e até prints da tela. Esse tipo de ataque é 
bastante usado para a obtenção de senhas e números de 
cartões de crédito. 
 
• Pergunta 3 
0 em 1 pontos 
 
Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é 
possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal 
dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se 
ativos que são os alvos favoritos de ameaças. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização: 
 
Resposta 
Selecionada: 
 
Pessoas, arquitetura e backup. 
Resposta Correta: 
Propriedade intelectual, dados financeiros e 
disponibilidade. 
Feedback 
da 
resposta: 
Sua resposta está incorreta. A alternativa está incorreta, pois 
uma organização deve se preocupar com ativos que podem 
gerar um maior dano. Por exemplo, uma patente de um míssil 
de longo alcance que é imperceptível a radares. Caso isso caia 
em mãos erradas, pode ser uma ameaça à vida, além do 
prejuízo da pesquisa envolvida. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os 
riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de 
negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, 
pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar 
contramedidas adequadas para se possível eliminar tais vulnerabilidades. 
 
HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual 
deixa o risco assumindo a possibilidade de dano: 
 
Resposta Selecionada: 
Tolerância. 
Resposta Correta: 
Tolerância. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, dentro do 
conceito de segurança da informação, a tolerância ou 
simplesmente a aceitação é quando se aceita o risco como está. 
Essa aceitação ocorre por dois motivos: por ter um custo mais 
 
elevado para se criar uma contramedida ou simplesmente pelo 
risco não apresentar um dano tão severo à segurança da 
informação. 
 
• Pergunta 5 
1 em 1 pontos 
 
Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para 
resolver tal situação. As estratégias podem variar conforme a complexidade e custo do 
risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o 
que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a 
contramedida inviável. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas: 
 
Resposta Selecionada: 
Tolerância, redução e prevenção. 
Resposta Correta: 
Tolerância, redução e prevenção. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, no livro-texto, 
vimos que, uma vez identificado o risco, devemos tomar uma 
contramedida, que, basicamente, podem ser: tolerância 
(aceitar), redução (mitigar) e prevenir (evitar). Note que a 
escolha de qual contramedida tomar está associada ao custo e 
tempo despendidos para a contramedida. 
 
 
• Pergunta 6 
1 em 1 pontos 
 
Vimos os conceitos de evento e incidente. Por exemplo, um empregado pode gerar um erro 
no sistema criando um incidente não desejado, em que se podem abrir oportunidades para 
ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um 
ativo. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . 
São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito de “incidente não 
desejado”: 
 
Resposta Selecionada: 
Ameaça. 
Resposta Correta: 
Ameaça. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois a ameaça é 
quando um incidente não desejável é iniciado. O evento 
(comportamento irregular do ativo) poderá disparar um incidente, 
que é um evento adverso em um sistema de informação e/ou em 
uma rede que representa uma ameaça à segurança do 
computador ou da rede em relação à disponibilidade, integridade 
e confidencialidade. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá 
estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de 
risco adequada, devemos considerar os três requisitos básicos de segurança, que são: 
estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os 
benefícios encontrados ao se utilizar a avaliação de riscos. 
 
Resposta Selecionada: 
Podem-se identificar, priorizar e medir os riscos. 
Resposta Correta: 
Podem-se identificar, priorizar e medir os riscos. 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, durante os 
estudos, você viu que, quando avaliamos os riscos, estamos 
identificando-os de umamelhor forma e ainda priorizando-os de 
acordo com sua gravidade. De posse dessa definição, será a 
partir daí que podemos medi-los para uma efetiva contramedida. 
 
 
• Pergunta 8 
0 em 1 pontos 
 
Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as 
possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é 
necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. 
Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o 
próprio dano em si. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica 
de levantamento: 
 
Resposta Selecionada: 
Contagem de dados. 
Resposta Correta: 
Brainstorming. 
Feedback 
da 
resposta: 
Sua resposta está errada. A alternativa está incorreta, pois, de 
acordo com o que foi estudado no livro-texto, as técnicas 
utilizadas geralmente estão envolvidas com grupos de pessoas, 
especialistas ou não. Nesse momento, esse grupo aproveita 
para discutir sobre os itens e chegar a um consentimento. Para 
compreender melhor quais técnicas são utilizadas, recomenda-
se fortemente que você releia o seu material. 
 
 
• Pergunta 9 
1 em 1 pontos 
 
Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar 
coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. 
Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com 
base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o 
 
grau de importância da organização. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 
27001 e na ISO 27002 . São Paulo: Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de 
gerenciamento de risco: 
Resposta 
Selecionada: 
 
Podem-se utilizar normas específicas da ISO e boas prática 
do PMI (Project Management Institute). 
Resposta 
Correta: 
 
Podem-se utilizar normas específicas da ISO e boas prática 
do PMI (Project Management Institute). 
Feedback 
da 
resposta: 
Resposta correta. A alternativa está correta, pois, de acordo 
com o que foi visto durante os estudos e baseado na citação do 
enunciado, as referências para o gerenciamento de riscos são 
as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse 
modo, por meio dessas boas práticas pode-se gerenciar melhor 
o risco. 
 
 
• Pergunta 10 
0 em 1 pontos 
 
No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar 
ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que 
recebem e-mails oferecendo ofertas encantadoras, produtos com preços abaixo do 
mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado 
a uma conta falsa e, sem saber, acaba sendo vítima de um golpe. 
Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: 
 
Resposta 
Selecionada: 
 
Anunciar preços de acordo com o mercado com 
documentação. 
Resposta 
Correta: 
 
Pedir para a vítima realizar um depósito, como sinal de 
interesse na venda, e logo depois desaparecer. 
Feedback 
da 
resposta: 
Sua resposta está incorreta. A alternativa está incorreta, pois 
opções não demonstram uma formação de golpe, apesar de que 
se deve ter bastante cuidado em expor as nossas informações 
para terceiros, até em sites conhecidos. Recomenda-se 
fortemente que você releia o material e veja exemplos de golpes 
praticados na Internet. 
 
 
Terça-feira, 20 de Outubro de 2020 19h16min50s BRT