Baixe o app para aproveitar ainda mais
Prévia do material em texto
Revisar envio do teste: Clique aqui para iniciar o QuizSTGTCAS5DA_2101-2101-668044 2101-SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORMAÇÃO Quiz REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ Usuário SERGIO RICARDO ROSESTOLATO FILHO Curso 2101-SEGURANÇA E AUDITORIA EM SISTEMAS DE INFORMAÇÃO Teste Clique aqui para iniciar o Quiz Iniciado 21/03/21 22:16 Enviado 21/03/21 22:52 Data de vencimento 22/03/21 23:59 Status Completada Resultado da tentativa 6 em 10 pontos Tempo decorrido 36 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários Pergunta 1 Resposta Selecionada: d. Respostas: a. b. c. A quem a política de segurança da informação normalmente delega a responsabilidade da classificação da informação de um ativo? Ao �me de elaboração da polí�ca de segurança. Ao proprietário do ativo. Ao diretor da empresa. Ao gerente de TI. Sala de Aula Tutoriais 0 em 1 pontos SERGIO RICARDO ROSESTOLATO FILHO https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_147958_1 https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_147958_1&content_id=_6431126_1&mode=reset https://www.ead.senac.br/ https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_193_1 https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1 https://senacsp.blackboard.com/webapps/login/?action=logout d. Comentário da resposta: Ao �me de elaboração da polí�ca de segurança. Alternativa A. Ao proprietário do ativo. A política de segurança da informação normalmente delegará ao proprietário do ativo que faça a classificação da informação. Pergunta 2 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Pedro trabalha no setor de TI da empresa ZYZ e está bastante descontente com seu trabalho e seu relacionamento com o superior hierárquico. Ciente deste fato, o superior iniciou procedimentos para o desligamento do Pedro da empresa, mas teme que Pedro possa se rebelar e causar danos à organização, principalmente pelo fato de ele trabalhar no setor de TI. Com relação às boas práticas de segurança da informação, o que é recomendado neste caso em relação aos direitos de acesso de Pedro? Os direitos de acesso de Pedro devem ser revogados antes mesmo de sua saída, para garantir que ele não gere danos à organização por algum motivo indevido. Pedro não pode ser demitido. O superior hierárquico de Pedro deve conversar com ele e pedir colaboração no processo de saída. Os direitos de acesso de Pedro devem ser revogados antes mesmo de sua saída, para garantir que ele não gere danos à organização por algum motivo indevido. Pedro deve ser transferido de setor, não atuando mais na TI. Alternativa C. Os direitos de acesso de Pedro devem ser revogados antes mesmo de sua saída, para garantir que ele não gere danos à organização por algum motivo indevido. É importante ressaltar que, em função de como ocorreu o desligamento, os privilégios e direitos de acesso devem ser alterados antes do efetivo encerramento das atividades. Por exemplo, no caso de uma demissão por parte da empresa, em função de descontentamento de atividades de um colaborador, a reação deste pode ser drástica. Logo, com razoabilidade e proporcionalidade, a empresa pode tomar medidas que contingenciem qualquer atitude que tenha o objetivo de prejudicá-la. Pergunta 3 1 em 1 pontos 1 em 1 pontos Resposta Selecionada: a. Respostas: a. b. c. d. Comentário da resposta: Com relação à proteção ambiental, devemos estabelecer controles para a proteção física contra incêndios, terremotos, explosões, perturbação de ordem pública e ______________. Qual termo é o mais adequado para a proteção ambiental? Enchentes. Enchentes. Acesso não autorizado a sistemas via internet. Quebra de um equipamento de proteção de acesso. Grade física de proteção de perímetro. Alternativa A. Enchentes. A proteção ambiental refere-se a problemas do meio ambiente e decorrentes dele. Das alternativas apresentadas, apenas a enchente é algo relacionado ao meio ambiente. Pergunta 4 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Você acessou normalmente seu banco on-line pela manhã e fez algumas operações. No outro dia, ao observar o extrato de sua conta, você notou que algumas operações foram feitas no período da noite e que forma realizadas alguns pagamentos e transferências indevidas. Isto é, não foi você quem as fez e elas não estavam, portanto, autorizadas. Qual é o termo que descreve melhor essa situação? Você foi vítima de uma fraude Você foi vítima de uma ataque de vírus Você foi vítima de um ataque de cavalo de Troia Você foi vítima de uma fraude Você foi vítima de uma clonagem Alternativa C. Você foi vítima de uma fraude. Uma fraude é caracterizada como a execução de uma operação não autorizada. 1 em 1 pontos Pergunta 5 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Você está estabelecendo um canal de comunicação segura via internet. Para isso, divulgou sua chave pública para que as pessoas possam receber mensagens criptografas com sua chave privada. Dizemos, então, que você: Está fazendo uso da técnica de criptografia de chaves públicas. Está fazendo uso da técnica de criptografia de chaves secretas. Está fazendo uso da técnica de criptografia de chaves públicas. Não está fazendo uso de uma técnica de criptografia. Nenhuma das alternativas anteriores. Alternativa correta b. Técnicas de chaves públicas. As técnicas de chaves públicas são mais conhecidas e utilizadas atualmente, nas quais cada usuário possui um par de chaves: uma chave privada e outra, pública. Quando um usuário quer transmitir uma informação sigilosa, ele cifra a informação fazendo uso de sua chave privada. O receptor, que possui a chave pública do emissor, pode decifrá-la. É preciso, então, de um lado, a chave privada cifrando a mensagem e a correta chave pública para decifrá-la. Pergunta 6 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: A segurança da informação é repleta de termos. Compreendê-los é um passo fundamental para o bom entendimento da disciplina. Um dos termos indica aquilo que deve ser protegido por uma política de segurança da informação. Que termo é este? Processos-chave Requisitos de negócio Ativos de valor Processos-chave Segurança da informação Alternativa B. A informação é dita um ativo de valor, que deve ser protegido sob diversos níveis, que variam conforme o valor que esta possui para a organização. 1 em 1 pontos 0 em 1 pontos Pergunta 7 Resposta Selecionada: d. Respostas: a. b. c. d. Comentário da resposta: O seguinte trecho foi retirado de uma política de segurança hipotética: "Os usuários não devem empregar clientes de Internet Service Provider (ISP) e linhas dial-up para acessar a internet com os computadores da organização X. Toda a atividade de acesso à internet deve passar através dos firewalls da organização X de modo que os controles de acesso e os mecanismos de segurança possam ser aplicados". O trecho não é um bom exemplo de diretriz segurança da informação. Por quê? O trecho apresenta ambiguidades A regra está muito genérica e não está impondo penalidades O trecho está fazendo uso de termos técnicos O trecho está usando termos em inglês, enquanto a política deve ser escrita toda em português O trecho apresenta ambiguidades Alternativa B. O trecho está fazendo uso de termos técnicos. Uma política de segurança da informação deve ser acessível a todos os membros da organização e o uso de termos técnicos não contribui para essa prática. Pergunta 8 Resposta Selecionada: c. Respostas: A gestão de recursos humanos adota controles em três momentos distintos da relação organização–colaborador. Qual das alternativas abaixo NÃO representa um momento desta relação preceituado na norma? Durante as férias.0 em 1 pontos 1 em 1 pontos a. b. c. d. Comentário da resposta: Antes da contratação. Durante a contratação. Durante as férias. Encerramento da contratação. Alternativa C. Durante as férias. A Norma ABNT NBR ISO/IEC 27001:2006 apresenta um conjunto de controles com o objetivo de minimizar os riscos inerentes aos recursos humanos. Tais controles são agrupados em três momentos distintos, a saber: antes da contratação, durante a contratação e no encerramento da contratação. Pergunta 9 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Há vários tipos de ameaças à segurança da informação. Qual das ameaças abaixo pode ser classificada como uma ameaça humana? Um pen drive de um funcionário infectado com vírus Uma falha no fornecimento de energia elétrica Uma grande quantidade de sujeira na sala de computadores Um pen drive de um funcionário infectado com vírus A liberação de uso de computadores sem necessidade de inserir a senha para acesso Alternativa C. Um pen drive de um funcionário infectado com um vírus. O funcionário necessita ser capacitado para se prevenir contra estas ameaças. Pergunta 10 Resposta Selecionada: d. A sua empresa trabalha no desenvolvimento de software e precisa de uma massa de dados para testes. Você simplesmente faz uma cópia dos dados de toda a base da empresa e encaminha por e-mail para o desenvolvedor fazer mais testes. De acordo com as boas práticas de segurança da informação, você agiu: 1 em 1 pontos 0 em 1 pontos Domingo, 21 de Março de 2021 22h52min57s BRT Respostas: a. b. c. d. Comentário da resposta: Corretamente. Você fez uso de um mecanismo auditável (um e-mail) que garante o registro do pedido e do fornecimento de dados, cumprindo os acordos de nível de serviço estabelecidos. Corretamente, pois é preciso testar o software exaustivamente e nada melhor do que dados reais. Incorretamente, pois a empresa necessitava formalizar por escrito este pedido para que depois você enviasse o e-mail. Incorretamente, pois a norma preceitua que alguns dados precisam ser devidamente mascarados antes de serem repassados a terceiros, para preservação de informações confidenciais. Corretamente. Você fez uso de um mecanismo auditável (um e-mail) que garante o registro do pedido e do fornecimento de dados, cumprindo os acordos de nível de serviço estabelecidos. Alternativa correta c. Incorretamente, pois a norma preceitua que alguns dados precisam ser devidamente mascarados antes de serem repassados a terceiros, para preservação de informações confidenciais. Os dados a serem utilizados para testes devem ser selecionados com cuidado, protegidos e controlados. É importante evitar obter dados para testes provenientes de bases de dados que contenham informações de natureza pessoal ou qualquer informação confidencial. ← OK javascript:launch('/webapps/blackboard/content/listContent.jsp?content_id=_6431126_1&course_id=_147958_1&nolaunch_after_review=true');
Compartilhar