Segurança e Auditoria de Sistemas

Prévia do material em texto

● Pergunta 1 
● 1 em 1 pontos 
● 
 
 Uma variante do ataque de negação de serviço é o ataque de negação 
de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que o
diferencia é seu grande poder de ataque. Existe um tipo de ataque 
que explora alguma vulnerabilidade não intencional no sistema (uma 
falha) ou uma brecha intencional deixa no 
software​ ​(desenvolvedor). 
 
HINTZBERGEN J. ​et al​ ​. ​Fundamentos de segurança da 
informação, com base na ISO 27001 e na ISO 27002​ ​. São Paulo: 
Brasport, 2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito 
apresentado: 
 
 
 
 
 
Resposta Selecionada: ​Portas dos fundos ( 
backdoor​). 
Resposta Correta: ​Portas dos fundos 
(​backdoor​). 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois esse ataque é o de portas dos 
fundos. Enquanto a negação de serviço 
tenta “bater na porta” inúmeras vezes, 
esse ataque visa entrar em uma porta 
(brecha) na qual ninguém está 
acostumado a entrar. Este tipo de brecha 
pode ser algum caminho criado pelo 
desenvolvedor para manutenção do 
sistema, por exemplo, um usuário 
administrador e senha 123456. 
● 
Pergunta 2 
● 1 em 1 pontos 
● 
 
 Uma organização sem o conhecimento de seus riscos nunca estará 
segura, pois poderá estar vulnerável a qualquer tipo de ameaça. 
Sabe-se que, para realizar uma avaliação de risco adequada, 
devemos considerar os três requisitos básicos de segurança, que 
são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de 
negócios. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
Com base na avaliação de risco estudada, assinale a alternativa que 
indique quais são os benefícios encontrados ao se utilizar a avaliação
de riscos. 
 
 
 
 
 
Resposta 
Selecionada: 
 ​Podem-se identificar, priorizar e 
medir os riscos. 
Resposta Correta: ​Podem-se identificar, priorizar e medir
os riscos. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, durante os estudos, você viu que, 
quando avaliamos os riscos, estamos 
identificando-os de uma melhor forma e 
ainda priorizando-os de acordo com sua 
gravidade. De posse dessa definição, 
será a partir daí que podemos medi-los 
para uma efetiva contramedida. 
● 
Pergunta 3 
● 1 em 1 pontos 
● 
 
 Uma organização que reconhece suas vulnerabilidades é capaz de se 
prevenir contra as possíveis ameaças e minimizar seus prejuízos. 
Porém, não é um trabalho fácil, é necessário medir o risco para 
posteriormente, definir prioridade e custo de contramedida. Nem 
sempre é possível minimizar um risco, pois seu valor de 
contramedida pode exceder o próprio dano em si. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
A respeito da análise qualitativa de risco, assinale a alternativa que 
apresente uma técnica de levantamento: 
 
 
 
 
 
Resposta Selecionada: 
Brainstormi
ng​. 
Resposta Correta: 
Brainstormin
g​. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, conforme estudado durante a leitura 
do livro-texto, as principais técnicas 
utilizadas na análise qualitativa são: 
brainstorming​, Delphi, entrevistas, 
discussões etc. Observa-se aqui que são 
exploradas técnicas que envolvem um 
grupo de pessoas. 
● 
Pergunta 4 
● 1 em 1 pontos 
● 
 
 A análise de riscos é a principal atividade a se fazer para conhecer de 
fato quais são os riscos de uma organização. Com base nos 
objetivos, leis/regulamentos e regras de negócios, é possível 
ponderar e priorizar os principais riscos. Por meio de seus objetivos, 
pode-se conhecer os ativos mais importantes. Em consequência, 
deve-se criar contramedidas adequadas para se possível eliminar tais
vulnerabilidades. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de Segurança da Informação, 
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
A respeito das estratégias utilizadas sobre um risco, assinale a 
alternativa que indique qual deixa o risco assumindo a possibilidade 
de dano: 
 
 
 
 
Resposta Selecionada: 
Tolerân
cia. 
Resposta Correta: 
Tolerânc
a. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, dentro do conceito de segurança da 
informação, a tolerância ou simplesmente
a aceitação é quando se aceita o risco 
como está. Essa aceitação ocorre por 
dois motivos: por ter um custo mais 
elevado para se criar uma contramedida 
ou simplesmente pelo risco não 
apresentar um dano tão severo à 
segurança da informação. 
● 
Pergunta 5 
● 1 em 1 pontos 
● 
 
 
 Vimos os conceitos de evento e incidente. Por exemplo, um empregado 
pode gerar um erro no sistema criando um incidente não desejado, 
em que se podem abrir oportunidades para ataques. Vimos que um 
evento é algo relacionado a um comportamento inesperado de um 
ativo. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que melhor descreve o conceito
de “incidente não desejado”: 
 
 
 
 
 
Resposta Selecionada: 
Amea
ça. 
Resposta Correta: 
Ameaç
a. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois a ameaça é quando um incidente 
não desejável é iniciado. O evento 
(comportamento irregular do ativo) poderá
disparar um incidente, que é um evento 
adverso em um sistema de informação 
e/ou em uma rede que representa uma 
ameaça à segurança do computador ou 
da rede em relação à disponibilidade, 
integridade e confidencialidade. 
● 
Pergunta 6 
● 1 em 1 pontos 
● 
● 
Pergunta 7 
 
 O ataque via cavalo de Troia tem como objetivo esconder-se na 
máquina-alvo e em um tempo oportuno efetuar uma série de coletas 
de informações ou simplesmente causar algum prejuízo. Ele pode 
colher ​cookies​ ​, senhas, números de cartões, informações de redes 
sociais etc. Por meio desse tipo de ataque, é possível se instalar 
novos programas, além de alterar configurações no navegador. 
 
KIM, D.; SOLOMON, M. G. ​Fundamentos de segurança de sistemas 
de informação​ ​. São Paulo: LTC, 2014. 
 
Nesse sentido, assinale a alternativa que descreva a definição 
apresentada: 
 
 
 
 
 
Resposta Selecionada: 
Spywa
re​. 
Resposta Correta: 
Spywar
e​. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois um ​spyware ​tem como objetivo obter 
informações confidenciais de suas 
vítimas. Por meio de softwares 
maliciosos, é possível capturar teclas e 
até ​prints​ da tela. Esse tipo de ataque é 
bastante usado para a obtenção de 
senhas e números de cartões de crédito. 
● 1 em 1 pontos 
● 
● 
Pergunta 8 
● 1 em 1 pontos 
 
 Nem sempre é fácil identificar um risco e muito menos saber sua 
dimensão. Um exemplo é como identificar o dano/prejuízo causado 
sobre um conjunto de dados de uma instituição financeira. Na 
avaliação de riscos, independentemente do modelo de processo 
utilizado temos de saber a dimensão do risco. A partir dele, podemos 
definir custos e estratégias apropriadas. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
De acordo com o conhecimento adquirido durante os estudos, 
assinale a alternativa que identifique as principais formas de se medir
um risco: 
 
 
 
 
 
Resposta Selecionada: ​Quantitativa e 
qualitativa. 
Resposta Correta: ​Quantitativa e 
qualitativa. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, para se medir um risco, utilizam-se 
duas formas básicas: quantitativa e 
qualitativa. Na análise quantitativa, 
consideram-se números tangíveis, como 
custos, quantidade de acesso etc. Já a 
qualitativo não considera números, mas 
sim cálculos sobre a probabilidadeda 
ocorrência do risco. 
● 
● 
Pergunta 9 
● 1 em 1 pontos 
● 
 
 No mundo da Internet (ciberespaço), existem diversos tipos de golpes 
que visam enganar ou se aproveitar da inocência de suas vítimas. 
Existem vários casos de pessoas que recebem ​e-mails​ ​oferecendo 
ofertas encantadoras, produtos com preços abaixo do mercado e um 
botão escrito “clique aqui”, e é ele a armadilha. Ao clicar, o usuário é 
levado a uma conta falsa e, sem saber, acaba sendo vítima de um 
golpe. 
Nesse sentido, assinale a alternativa que indique golpes de compra e 
vendas na Internet: 
 
 
 
 
 
Resposta 
Selecion
ada: 
 ​Pedir para a vítima realizar um depósito, 
como sinal de interesse na venda, e logo
depois desaparecer. 
Resposta 
Correta: 
 ​Pedir para a vítima realizar um depósito, 
como sinal de interesse na venda, e logo 
depois desaparecer. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois, a cada dia que passa, percebemos 
que os golpes tendem a evoluir, para 
assim enganar mais gente de forma 
despercebida. Geralmente, os idosos 
caem bastante em golpes, pois confiam 
na palavra e na história contada. 
Resta-nos sempre alertá-los e termos um 
pé atrás em relação a qualquer coisa que 
envolva dinheiro. 
 
● 
Pergunta 10 
● 1 em 1 pontos 
● 
 Um dos ataques mais utilizados na Internet é o de negação de serviço 
(DoS – Denial of Service). Por meio dele, é possível enviar milhares 
de requisições (solicitação) a um determinado serviço. Um outro tipo 
de ameaça é a não definição de políticas de acesso a recursos 
internos e uso da Internet. Por exemplo, um usuário não pode 
acessar determinados arquivos contendo informações sigilosas da 
organização, mas lhe é permitido. 
 
HINTZBERGEN J. ​et al​ ​. ​Fundamentos de segurança da informação, 
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
Nesse sentido, assinale a alternativa que descreva o conceito 
apresentado: 
 
 
 
 
 
Resposta Selecionada: ​Política de navegação 
aceitável. 
Resposta Correta: ​Política de navegação 
aceitável. 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta, 
pois em uma organização devem-se 
definir políticas para indicar quem deve 
ter acesso a determinados tipos de 
recursos. Isso impossibilita que pessoas 
não autorizadas tenham acesso a 
arquivos confidenciais dela. Aqui, também
se define o que os empregados podem 
acessar na rede, limitando os tipos de 
sites, por exemplo sites pornográficos, 
que pratiquem pirataria etc. 
 
 
 Uma avaliação de risco é uma análise completa do seu local de trabalho
para identificar coisas, situações, processos etc. que podem causar 
danos, principalmente às pessoas. Após a identificação, você 
analisa e avalia a probabilidade e a gravidade do risco. Com base 
em um gerenciamento, pode-se priorizá-los e verificar seus custos 
de acordo com o grau de importância da organização. 
 
HINTZBERGEN, J. ​et al​ ​. ​Fundamentos de segurança da informação,
com base na ISO 27001 e na ISO 27002​ ​. São Paulo: Brasport, 
2018. 
 
Nesse sentido, assinale a alternativa que apresenta exemplos de 
processos de gerenciamento de risco: 
 
 
 
 
 
Resposta 
Selecion
ada: 
 ​Podem-se utilizar normas específicas 
da ISO e boas prática do PMI (Project 
Management Institute). 
Resposta 
Correta: 
 ​Podem-se utilizar normas específicas da 
ISO e boas prática do PMI (Project 
Management Institute). 
Feedback
da 
respo
sta: 
Resposta correta. A alternativa está correta,
pois, de acordo com o que foi visto 
durante os estudos e baseado na 
citação do enunciado, as referências 
para o gerenciamento de riscos são as 
ISOs 27001 e 27002, bem como o 
PMBOK da PMI. Desse modo, por meio 
dessas boas práticas pode-se gerenciar 
melhor o risco.