Atividade 2 - Segurança e Auditoria de Sistemas

Prévia do material em texto

22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 1/4
Pergunta 1
Resposta
Selecionada:
Resposta
Correta:
Feedback
da
resposta:
Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas,
situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação,
você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-
se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e
na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de
risco:
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project
Management Institute).
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project
Management Institute).
Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante
os estudos e baseado na citação do enunciado, as referências para o gerenciamento de
riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio
dessas boas práticas pode-se gerenciar melhor o risco.
Pergunta 2
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões,
é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de
diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço
(por exemplo, de um site) enviando milhares de requisições. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo:
LTC, 2014.
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar
algum serviço enviando milhares de requisições:
Negação de serviço (DoS – Denial of Service).
Negação de serviço (DoS – Denial of Service).
Resposta correta. A alternativa está correta, pois a negação de serviço visa
indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível
sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo.
Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que,
com esse ataque, usam-se milhares de computadores sequestrados.
Pergunta 3
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível
definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está
diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos
favoritos de ameaças.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo:
LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização:
Propriedade intelectual, dados financeiros e disponibilidade.
Propriedade intelectual, dados financeiros e disponibilidade.
Resposta correta. A alternativa está correta, pois os principais ativos de uma organização
são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e
disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos
para a definição apropriada de contramedidas.
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 2/4
Pergunta 4
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of Service). Por
meio dele, é possível enviar milhares de requisições (solicitação) a um determinado serviço. Um outro
tipo de ameaça é a não definição de políticas de acesso a recursos internos e uso da Internet. Por
exemplo, um usuário não pode acessar determinados arquivos contendo informações sigilosas da
organização, mas lhe é permitido.
 
HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na
ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que descreva o conceito apresentado:
Política de navegação aceitável.
Política de navegação aceitável.
Resposta correta. A alternativa está correta, pois em uma organização devem-se definir
políticas para indicar quem deve ter acesso a determinados tipos de recursos. Isso
impossibilita que pessoas não autorizadas tenham acesso a arquivos confidenciais dela.
Aqui, também se define o que os empregados podem acessar na rede, limitando os tipos
de sites, por exemplo sites pornográficos, que pratiquem pirataria etc.
Pergunta 5
Resposta
Selecionada:
Resposta
Correta:
Feedback
da
resposta:
No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar ou se
aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que recebem e-
mails oferecendo ofertas encantadoras, produtos com preços abaixo do mercado e um botão escrito
“clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado a uma conta falsa e, sem saber, acaba
sendo vítima de um golpe.
Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet:
Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo
depois desaparecer.
Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo
depois desaparecer.
Resposta correta. A alternativa está correta, pois, a cada dia que passa, percebemos que
os golpes tendem a evoluir, para assim enganar mais gente de forma despercebida.
Geralmente, os idosos caem bastante em golpes, pois confiam na palavra e na história
contada. Resta-nos sempre alertá-los e termos um pé atrás em relação a qualquer coisa
que envolva dinheiro.
Pergunta 6
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Uma medida de repressão é bastante útil quando se identifica uma ameaça. Devem-se criar
estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Sem dúvida,
prevenir-se contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e
na ISO 27002 . São Paulo: Brasport, 2018.
 
Sobre medidas de proteção, assinale a alternativa que indique a opção que é mais adequada após
uma repressão:
Correção.
Correção.
Resposta correta. A alternativa está correta, pois, de acordo com o descrito no livro-texto,
veja que a correção, uma medida de proteção de um sistema de informação, está
diretamente relacionada à repressão. Pois, em uma repressão ineficiente, necessitará de
medidas de segurança corretivas maiores.
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 3/4
Pergunta 7
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar
vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada,
devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos,
regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e
na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios
encontrados ao se utilizar a avaliação de riscos.
Podem-se identificar, priorizar e medir os riscos.
Podem-se identificar, priorizar e medir os riscos.
Resposta correta. A alternativa está correta, pois, durante os estudos, você viuque,
quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda
priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí
que podemos medi-los para uma efetiva contramedida.
Pergunta 8
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como
identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na
avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão
do risco. A partir dele, podemos definir custos e estratégias apropriadas.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e
na ISO 27002 . São Paulo: Brasport, 2018.
 
De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as
principais formas de se medir um risco:
Quantitativa e qualitativa.
Quantitativa e qualitativa.
Resposta correta. A alternativa está correta, pois, para se medir um risco, utilizam-se
duas formas básicas: quantitativa e qualitativa. Na análise quantitativa, consideram-se
números tangíveis, como custos, quantidade de acesso etc. Já a qualitativo não
considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco.
Pergunta 9
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida,
dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que
visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo
desse tipo de ferramenta é o Kali do Linux.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo:
LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques:
Varreduras de vulnerabilidades, portas, captura de teclado etc.
Varreduras de vulnerabilidades, portas, captura de teclado etc.
Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos
fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é
possível ver se um determinado sistema possui brecha para SQL Injection, senhas
comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida
em que se pode identificar suas vulnerabilidades primeiramente.
1 em 1 pontos
1 em 1 pontos
1 em 1 pontos
22/10/2020 Blackboard Learn
https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 4/4
Pergunta 10
Resposta Selecionada: 
Resposta Correta: 
Feedback
da
resposta:
A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma
organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e
priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais
importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais
vulnerabilidades.
 
HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e
na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o
risco assumindo a possibilidade de dano:
Tolerância.
Tolerância.
Resposta correta. A alternativa está correta, pois, dentro do conceito de segurança da
informação, a tolerância ou simplesmente a aceitação é quando se aceita o risco como
está. Essa aceitação ocorre por dois motivos: por ter um custo mais elevado para se criar
uma contramedida ou simplesmente pelo risco não apresentar um dano tão severo à
segurança da informação.
1 em 1 pontos