TESTE I DE GESTÃO DE SEGURANÇA DE TI

Prévia do material em texto

TESTE I DE GESTÃO DE SEGURANÇA DE TI
1. O gerenciamento de acesso do usuário:
visa garantir o acesso dos usuários somente ao que os gestores da informação definiram, ao mesmo tempo em que se previne o acesso autorizado a recursos dos quais o usuário não possui privilégios.
cria procedimentos exclusivos para o controle da distribuição de direitos de acesso de usuários em apenas dois momentos: na contratação e no desligamento.
cuida da autorização de um usuário (confirmação de que o usuário é quem diz ser) usando um ID ou login name e uma senha durante o processo de logon no sistema.
com base em 2FA, combina algo que o usuário sabe (something he knows) com algo que ele tem (something he has).
2. O nível de segurança adequado no uso de senhas é obtido quando o usuário:
busca armazená-la em arquivos ou memória de dispositivos móveis, como em agenda de celulares.
procura memorizar a senha, mas para o caso de esquecê-la, mantém um registro em papel ou preserva a fonte de onde a recebeu.
mesmo sem indícios de comprometimento da senha, sempre a altera com regularidade.
compartilha sua senha apenas com pessoas de sua confiança.
3. Um usuário experiente, buscando preservar a segurança de sua senha, deve
evitar criar senhas distintas para sistemas distintos ou optar por fazer um rodízio das mesmas senhas a cada ano.
usar longas combinações de letras e números, usando pelo menos 20 caracteres sem repeti-los.
utilizar perguntas com respostas únicas que o ajudem a lembrar da senha rapidamente (como qual é a placa do meu carro?).
evitar sequências como QWERT, LKJHGF, QAZWSX.
4. Uma vez que um usuário tenha feito o login bem-sucedido, o sistema de segurança deve garantir que ele não tenha acesso aos dados de outros usuários. O sistema deve permitir, também, que apenas o administrador do sistema possa instalar novos módulos ou fazer manutenção do sistema.
Essa situação envolve os aspectos de segurança da informação:
Integridade e não repúdio.
Autenticação e autorização.
Confidencialidade e autenticação.
Disponibilidade e integridade.
5.   Você, como um profissional de segurança de uma empresa, observa que HÁ ERRO em apenas um dos cuidados, qual seja:
Procedimentos de manutenção em equipamentos, sistemas elétricos, sistema de refrigeração ou qualquer sistema que suporte a operação da empresa devem ter sua programação conhecida e aprovada apenas pela área de manutenção e sua realização deve ocorrer sob supervisão direta de um funcionário qualificado.
As medidas protetivas devem ser periodicamente revisadas de forma a se manterem sempre atualizadas em relação aos recursos tecnológicos mais avançados e ajustadas às mudanças organizacionais da empresa.
As mídias de armazenamento e backup de dados e informações da empresa devem ser transferidas para locais geograficamente distintos, para que possam ser resgatadas em caso de danos às instalações da empresa.
As áreas seguras devem ser protegidas ao máximo, contando com materiais de detecção e combate a incêndio, e sua localização deve ser mantida em segredo e sem identificação para dificultar sua detecção por quem não é autorizado a acessá-las ou pretende fazer acesso mal-intencionado.
6. Ao conceder privilégios é importante que se utilize um processo formal de autorização, considerando alguns aspectos. Dentre eles NÃO se encontra:
Deve ser criado um processo de autorização e um registro de todos os privilégios concedidos.
A concessão de privilégios de acesso deve sempre ser feita com foco no software ou no hardware, dependendo da forma de funcionamento do sistema.
As listas de controles de acesso devem ser feitas pelo proprietário do recurso, que determinará o tipo de proteção adequada a cada recurso e quem terá acesso a eles.
Os privilégios devem ser concedidos apenas se houver necessidade e desde que não estejam ferindo a PSI. 
7. Considere que uma empresa possua mecanismos de controle como firewalls, antivírus, recursos de biometria etc. e sua segurança foi violada por um atacante que adentrou um local com informações sensíveis e, utilizando um pen drive, conseguiu reiniciar um servidor com outro sistema operacional e ter acesso aos dados de lançamento de um novo produto. Esse exemplo ilustra:
uma situação em que, embora houvesse a correta integração dos mecanismos de proteção nos três níveis, não havia convergência de segurança física, lógica e operacional.
um caso em que um ou mais dispositivos de segurança física foram violados, permitindo que a disponibilidade e a integridade de informações e dados ficassem comprometidas.
um caso em que a segurança lógica, que funciona como uma barreira física que oferece proteção ao ambiente no qual estão hospedados os ativos da organização, estava correta, mas houve falha na segurança operacional.
que na empresa não havia catracas, pelas quais as pessoas passam crachás para entrar.
8. Considere as definições abaixo:
I. Protege a informação contra alteração não autorizada.
II. Permite que uma entidade comprove quem ela é.
III. Verifica se a entidade é realmente quem ela diz ser.
A associação correta e respectiva entre a definição e o requisito de segurança é:
Confidencialidade – Autenticação – Autorização.
Integridade – Identificação – Autenticação.
Autorização – Autenticação – Não repúdio.
Confidencialidade – Não repúdio – Autenticação. 
9. Considere os cuidados com a segurança da informação.
I. O acesso a áreas que armazenem informações sensíveis, como o data center, deve possuir controles lógicos mais rigorosos, como autorização justificada, controles biométricos, câmeras
de vigilância, portas à prova de bala, guarda armada e auditoria.
II. Funcionários com identificação com foto podem acessar áreas seguras, mas o acesso de terceiros e prestadores de serviço operacional a essas áreas deve ser proibido.
III. O controle de acesso às diversas áreas da organização deve ser feito, com registro de quem e quando entra, do que pode ser acessado, do que foi acessado e de quando sai.
IV. Visitantes devem ser identificados, autorizados e sempre acompanhados por um responsável em todos os locais por onde passarem.
Você, como um profissional de segurança, não vendo erros, recomendaria o que consta em:
I, II e IV, apenas.
II e III, apenas.
I, II, III e IV.
III e IV, apenas
10. Um _______ contempla antivírus, filtros de pacotes, controle de acesso wireless, suporte a VPN (Virtual Private Network), controle de intrusões na rede e realiza balanceamento de carga, chegando a gerar relatórios com diagnóstico de possíveis ameaças lógicas às quais um data center possa estar vulnerável.
A lacuna é corretamente preenchida com:
WAF.
Cross-site scripting – CSS.
firewall baseado em UTM.
Filtro Proxy.