Baixe o app para aproveitar ainda mais
Prévia do material em texto
22/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 1/4 Pergunta 1 Resposta Selecionada: Resposta Correta: Feedback da resposta: Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode- se priorizá-los e verificar seus custos de acordo com o grau de importância da organização. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco: Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco. Pergunta 2 Resposta Selecionada: Resposta Correta: Feedback da resposta: Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições: Negação de serviço (DoS – Denial of Service). Negação de serviço (DoS – Denial of Service). Resposta correta. A alternativa está correta, pois a negação de serviço visa indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo. Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que, com esse ataque, usam-se milhares de computadores sequestrados. Pergunta 3 Resposta Selecionada: Resposta Correta: Feedback da resposta: Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização: Propriedade intelectual, dados financeiros e disponibilidade. Propriedade intelectual, dados financeiros e disponibilidade. Resposta correta. A alternativa está correta, pois os principais ativos de uma organização são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos para a definição apropriada de contramedidas. 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 22/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 2/4 Pergunta 4 Resposta Selecionada: Resposta Correta: Feedback da resposta: Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of Service). Por meio dele, é possível enviar milhares de requisições (solicitação) a um determinado serviço. Um outro tipo de ameaça é a não definição de políticas de acesso a recursos internos e uso da Internet. Por exemplo, um usuário não pode acessar determinados arquivos contendo informações sigilosas da organização, mas lhe é permitido. HINTZBERGEN J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Nesse sentido, assinale a alternativa que descreva o conceito apresentado: Política de navegação aceitável. Política de navegação aceitável. Resposta correta. A alternativa está correta, pois em uma organização devem-se definir políticas para indicar quem deve ter acesso a determinados tipos de recursos. Isso impossibilita que pessoas não autorizadas tenham acesso a arquivos confidenciais dela. Aqui, também se define o que os empregados podem acessar na rede, limitando os tipos de sites, por exemplo sites pornográficos, que pratiquem pirataria etc. Pergunta 5 Resposta Selecionada: Resposta Correta: Feedback da resposta: No mundo da Internet (ciberespaço), existem diversos tipos de golpes que visam enganar ou se aproveitar da inocência de suas vítimas. Existem vários casos de pessoas que recebem e- mails oferecendo ofertas encantadoras, produtos com preços abaixo do mercado e um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é levado a uma conta falsa e, sem saber, acaba sendo vítima de um golpe. Nesse sentido, assinale a alternativa que indique golpes de compra e vendas na Internet: Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. Pedir para a vítima realizar um depósito, como sinal de interesse na venda, e logo depois desaparecer. Resposta correta. A alternativa está correta, pois, a cada dia que passa, percebemos que os golpes tendem a evoluir, para assim enganar mais gente de forma despercebida. Geralmente, os idosos caem bastante em golpes, pois confiam na palavra e na história contada. Resta-nos sempre alertá-los e termos um pé atrás em relação a qualquer coisa que envolva dinheiro. Pergunta 6 Resposta Selecionada: Resposta Correta: Feedback da resposta: Uma medida de repressão é bastante útil quando se identifica uma ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Sem dúvida, prevenir-se contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Sobre medidas de proteção, assinale a alternativa que indique a opção que é mais adequada após uma repressão: Correção. Correção. Resposta correta. A alternativa está correta, pois, de acordo com o descrito no livro-texto, veja que a correção, uma medida de proteção de um sistema de informação, está diretamente relacionada à repressão. Pois, em uma repressão ineficiente, necessitará de medidas de segurança corretivas maiores. 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 22/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 3/4 Pergunta 7 Resposta Selecionada: Resposta Correta: Feedback da resposta: Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos. Podem-se identificar, priorizar e medir os riscos. Podem-se identificar, priorizar e medir os riscos. Resposta correta. A alternativa está correta, pois, durante os estudos, você viuque, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida. Pergunta 8 Resposta Selecionada: Resposta Correta: Feedback da resposta: Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos de saber a dimensão do risco. A partir dele, podemos definir custos e estratégias apropriadas. HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. De acordo com o conhecimento adquirido durante os estudos, assinale a alternativa que identifique as principais formas de se medir um risco: Quantitativa e qualitativa. Quantitativa e qualitativa. Resposta correta. A alternativa está correta, pois, para se medir um risco, utilizam-se duas formas básicas: quantitativa e qualitativa. Na análise quantitativa, consideram-se números tangíveis, como custos, quantidade de acesso etc. Já a qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. Pergunta 9 Resposta Selecionada: Resposta Correta: Feedback da resposta: Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux. KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014. Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques: Varreduras de vulnerabilidades, portas, captura de teclado etc. Varreduras de vulnerabilidades, portas, captura de teclado etc. Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida em que se pode identificar suas vulnerabilidades primeiramente. 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 22/10/2020 Blackboard Learn https://anhembi.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller# 4/4 Pergunta 10 Resposta Selecionada: Resposta Correta: Feedback da resposta: A análise de riscos é a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios, é possível ponderar e priorizar os principais riscos. Por meio de seus objetivos, pode-se conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades. HINTZBERGEN, J. et al . Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018. A respeito das estratégias utilizadas sobre um risco, assinale a alternativa que indique qual deixa o risco assumindo a possibilidade de dano: Tolerância. Tolerância. Resposta correta. A alternativa está correta, pois, dentro do conceito de segurança da informação, a tolerância ou simplesmente a aceitação é quando se aceita o risco como está. Essa aceitação ocorre por dois motivos: por ter um custo mais elevado para se criar uma contramedida ou simplesmente pelo risco não apresentar um dano tão severo à segurança da informação. 1 em 1 pontos
Compartilhar