ATIVIDADE 2 (A2) SEGURANCA E AUDITORIA DE SISTEMAS

Prévia do material em texto

● Pergunta 1 
● 1 em 1 pontos 
● 
● 
Pergunta 2 
● 1 em 1 pontos 
● 
 
 Uma medida de repressão é bastante útil quando se identifica uma 
ameaça. Devem-se criar estratégias eficientes para bloquear/reduzir
os prejuízos causados pelo incidente. Sem dúvida, prevenir-se 
contra uma ameaça é a melhor opção, mas infelizmente nem tudo 
sai como esperado. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação,
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
Sobre medidas de proteção, assinale a alternativa que indique a 
opção que é mais adequada após uma repressão: 
 
 
 
 
 
Resposta Selecionada: 
Correç
ão. 
Resposta Correta: 
Correçã
o. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, de acordo com o descrito no 
livro-texto, veja que a correção, uma 
medida de proteção de um sistema de 
informação, está diretamente relacionada 
à repressão. Pois, em uma repressão 
ineficiente, necessitará de medidas de 
segurança corretivas maiores. 
● 
Pergunta 3 
● 1 em 1 pontos 
● 
 
 Uma avaliação de risco é uma análise completa do seu local de trabalho
para identificar coisas, situações, processos etc. que podem causar 
danos, principalmente às pessoas. Após a identificação, você 
analisa e avalia a probabilidade e a gravidade do risco. Com base 
em um gerenciamento, pode-se priorizá-los e verificar seus custos 
de acordo com o grau de importância da organização. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação,
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
Nesse sentido, assinale a alternativa que apresenta exemplos de 
processos de gerenciamento de risco: 
 
 
 
 
 
Resposta 
Selecion
ada: 
 ​Podem-se utilizar normas específicas da 
ISO e boas prática do PMI (Project 
Management Institute). 
Resposta 
Correta: 
 ​Podem-se utilizar normas específicas da ISO 
e boas prática do PMI (Project Management 
Institute). 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, de acordo com o que foi visto 
durante os estudos e baseado na citação 
do enunciado, as referências para o 
gerenciamento de riscos são as ISOs 
27001 e 27002, bem como o PMBOK da 
PMI. Desse modo, por meio dessas boas 
práticas pode-se gerenciar melhor o risco.
 
● 
Pergunta 4 
● 1 em 1 pontos 
● 
 Uma organização que reconhece suas vulnerabilidades é capaz de se 
prevenir contra as possíveis ameaças e minimizar seus prejuízos. 
Porém, não é um trabalho fácil, é necessário medir o risco para 
posteriormente, definir prioridade e custo de contramedida. Nem 
sempre é possível minimizar um risco, pois seu valor de 
contramedida pode exceder o próprio dano em si. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação,
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
A respeito da análise qualitativa de risco, assinale a alternativa que 
apresente uma técnica de levantamento: 
 
 
 
 
 
Resposta Selecionada: 
Brainstormi
ng​. 
Resposta Correta: 
Brainstormin
g​. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, conforme estudado durante a leitura 
do livro-texto, as principais técnicas 
utilizadas na análise qualitativa são: 
brainstorming​, Delphi, entrevistas, 
discussões etc. Observa-se aqui que são 
exploradas técnicas que envolvem um 
grupo de pessoas. 
 
● 
Pergunta 5 
● 1 em 1 pontos 
● 
 Avaliação de risco é um termo usado para descrever o processo ou 
método geral em que você identifica perigos e fatores de risco com 
potencial para causar danos. Precaver-se de riscos não é uma 
tarefa fácil; por outro lado, se fosse tão fácil se precaver, 
poderíamos obter os riscos de outras organizações e aplicá-las à 
nossa realidade. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
Sobre a prevenção de riscos, assinale a alternativa que indique os 
requisitos básicos que uma organização deve considerar: 
 
 
 
 
 
Resposta 
Selecionada: 
 ​Objetivos e estratégias, leis e 
regras de negócio. 
Resposta Correta: ​Objetivos e estratégias, leis e regras 
de negócio. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, de acordo com o que vimos durante 
nossos estudos, para se conhecer e 
levantar bem os riscos de uma 
organização deve-se considerar pelo 
menos os três requisitos básicos, que 
são: estratégia, visão e objetivos; 
leis/regulamentos; e, por fim, regras de 
negócio/manipulação de dados. 
 
● 
Pergunta 6 
● 1 em 1 pontos 
● 
 Existe também um tipo de ataque que visa divulgar produtos por ​e-mail​ ​.
Diariamente, recebemos alguns desses tipos de mensagens, os 
quais apresentam títulos interessantes para despertar nossa 
atenção e curiosidade. Estima-se que, em 2018, 55% de todos os 
e-mails foram considerados desse tipo de ameaça. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva o conceito 
apresentado: 
 
 
 
 
 
Resposta Selecionada: 
Spa
m. 
Resposta Correta: 
Spa
m. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois o spam é, sem dúvida, um tipo de 
ataque muito antigo, mas que ainda faz 
inúmeras vítimas. Por meio de seus 
conteúdos interessantes, as vítimas se 
sentem atraídas e acabam clicando em 
algum link e comprando algum produto 
falso, caindo em golpes bem elaborados. 
Muitos exemplos disso são de produtos 
que realizam ações milagrosas, como 
queda de cabelo etc. 
 
● 
Pergunta 7 
● 1 em 1 pontos 
● 
 Com um gerenciamento de risco bem definido em uma organização, 
com base em normas e padrões, é possível identificar e priorizar os 
principais ativos de uma organização. Dentre o universo de 
diferentes tipos de ataques, existe um, que é muito comum e que 
visa sobrecarregar algum serviço (por exemplo, de um site) 
enviando milhares de requisições. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
A respeito dos tipos de ataque, assinale a alternativa que identifique 
a ameaça que visa sobrecarregar algum serviço enviando milhares 
de requisições: 
 
 
 
 
 
Resposta 
Selecionada: 
 ​Negação de serviço (DoS – Denial
of Service). 
Resposta Correta: ​Negação de serviço (DoS – Denial of 
Service). 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois a negação de serviço visa 
indisponibilizar as operações oferecidas. 
Por meio de inúmeras requisições, é 
possível sobrecarregar o servidor e 
desligar, ou torná-lo tão lento que não 
será viável operá-lo. Existe uma variante 
dele, que é a negação de serviço 
distribuída. A sua diferença é que, com 
esse ataque, usam-se milhares de 
computadores sequestrados. 
 
● 
Pergunta 8 
● 1 em 1 pontos 
● 
 Uma organização sem o conhecimento de seus riscos nunca estará 
segura, pois poderá estar vulnerável a qualquer tipo de ameaça. 
Sabe-se que, para realizar uma avaliação de risco adequada, 
devemos considerar os três requisitos básicos de segurança, que 
são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de
negócios. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação,
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
Com base na avaliação de risco estudada, assinale a alternativa que
indique quais são os benefícios encontrados ao se utilizar a 
avaliação de riscos. 
 
 
 
 
 
Resposta 
Selecionada: 
 ​Podem-se identificar, priorizar e 
medir os riscos. 
Resposta Correta: ​Podem-se identificar, priorizar e medir
os riscos. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, durante os estudos, você viu que, 
quando avaliamos os riscos, estamos 
identificando-os de uma melhor forma e 
ainda priorizando-os deacordo com sua 
gravidade. De posse dessa definição, 
será a partir daí que podemos medi-los 
para uma efetiva contramedida. 
 
● 
Pergunta 9 
● 1 em 1 pontos 
● 
 Vimos os conceitos de evento e incidente. Por exemplo, um empregado 
pode gerar um erro no sistema criando um incidente não desejado, 
em que se podem abrir oportunidades para ataques. Vimos que um 
evento é algo relacionado a um comportamento inesperado de um 
ativo. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que melhor descreve o 
conceito de “incidente não desejado”: 
 
 
 
 
 
Resposta Selecionada: 
Amea
ça. 
Resposta Correta: 
Ameaç
a. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois a ameaça é quando um incidente 
não desejável é iniciado. O evento 
(comportamento irregular do ativo) poderá
disparar um incidente, que é um evento 
adverso em um sistema de informação 
e/ou em uma rede que representa uma 
ameaça à segurança do computador ou 
da rede em relação à disponibilidade, 
integridade e confidencialidade. 
 
● 
Pergunta 10 
● 1 em 1 pontos 
● 
 Uma organização deve conhecer bem as suas ameaças. Por meio da 
identificação delas, é possível definir contramedidas que podem 
resolver, amenizar ou simplesmente aceitar tal dano. Isso está 
diretamente ligado aos ativos da organização. Em uma organização,
têm-se ativos que são os alvos favoritos de ameaças. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que indique os principais ativos
de uma organização: 
 
 
 
 
 
Resposta 
Selecionada: 
 ​Propriedade intelectual, dados 
financeiros e disponibilidade. 
Resposta 
Correta: 
 ​Propriedade intelectual, dados 
financeiros e disponibilidade. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois os principais ativos de uma 
organização são a infraestrutura de TI e 
rede, propriedade intelectual, dados 
financeiros e disponibilidade. Cada 
organização deve gerenciar os riscos, a 
fim de priorizar seus riscos para a 
definição apropriada de contramedidas. 
 
 No mundo da Internet (ciberespaço), existem diversos tipos de golpes 
que visam enganar ou se aproveitar da inocência de suas vítimas. 
Existem vários casos de pessoas que recebem ​e-mails​ ​oferecendo 
ofertas encantadoras, produtos com preços abaixo do mercado e 
um botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o 
usuário é levado a uma conta falsa e, sem saber, acaba sendo 
vítima de um golpe. 
 
 
Nesse sentido, assinale a alternativa que indique golpes de compra e 
vendas na Internet: 
 
 
 
 
Resposta 
Selecion
ada: 
 ​Pedir para a vítima realizar um depósito
como sinal de interesse na venda, e 
logo depois desaparecer. 
Resposta 
Correta: 
 ​Pedir para a vítima realizar um depósito, 
como sinal de interesse na venda, e logo 
depois desaparecer. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta,
pois, a cada dia que passa, percebemos
que os golpes tendem a evoluir, para 
assim enganar mais gente de forma 
despercebida. Geralmente, os idosos 
caem bastante em golpes, pois confiam 
na palavra e na história contada. 
Resta-nos sempre alertá-los e termos 
um pé atrás em relação a qualquer coisa
que envolva dinheiro.