Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação Online 2 Entrega 12 abr em 23:59 Pontos 20 Perguntas 10 Disponível 6 abr em 0:00 - 12 abr em 23:59 7 dias Limite de tempo 120 Minutos Tentativas permitidas 2 Instruções Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 21 minutos 20 de 20 As respostas corretas estarão disponíveis em 13 abr em 0:00. Pontuação desta tentativa: 20 de 20 Enviado 6 abr em 18:31 Esta tentativa levou 21 minutos. Leia com atenção as orientações abaixo antes de iniciar esta prova: Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota. Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos cronometrados (por tentativa) para conclusão e envio das respostas. Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou não; Durante a realização da prova: Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro do período da tentativa; A tentativa somente será contabilizada após clicar no botão “Enviar”. Fazer o teste novamente 2 / 2 ptsPergunta 1 Após o planejamento e posterior execução de uma auditoria, muitos dados são gerados e necessitam ser coletados. A partir da coleta desses dados, é possível então analisá-los e processá-los, a fim de https://newtonpaiva.instructure.com/courses/11081/quizzes/23977/history?version=1 https://newtonpaiva.instructure.com/courses/11081/quizzes/23977/take?user_id=9343 produzir informações relevantes para eventuais melhorias. Existem muitas técnicas de coletas de dados, entre elas, podem-se citar: I. Documentos que ajudam a garantir que o processo de coleta de informações atinja todas as áreas, evitando que alguma seja esquecida inadvertidamente. II. Teste de vulnerabilidade e teste de intrusão devem reunir informações técnicas para determinar se existem vulnerabilidades nos componentes, nas redes e nos aplicativos de segurança. III. É importante ver a diferença entre atividades na teoria e como elas são realizadas na prática. As descrições de tipos de coleta de dados de uma auditoria mencionados também são conhecidas como, respectivamente? Documentação de revisão, listas de verificação (checklists) e questionários. Política de revisão, testes de segurança e configurações de revisão. Questionários, entrevistas e observação. Listas de verificação (checklists), testes de segurança e observação. Configurações de revisão, observação e testes de segurança. Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.2, as descrições são dos métodos de coleta de dados de auditoria: listas de verificação (checklists), testes de segurança e observação. 2 / 2 ptsPergunta 2 Um sistema computacional é auditado para verificar se ele foi executado conforme construído e planejado para uma tarefa em específico. As auditorias checam em dado momento do tempo se a configuração atual de um sistema está em conformidade com padrões. Um sistema pode ser auditado de maneira manual ou ainda automatizada por meio de software. Considerando esse fato, atente-se às seguintes maneiras de se auditar um sistema: I. Entrevistar seu pessoal. II. Realizar varreduras de vulnerabilidade. III. Revisar controles de acesso de aplicativos e de sistema operacional. IV. Analisar acesso físico aos sistemas. V. Uso de scripts em lote para testes massivos. Quais das maneiras de se auditar um sistema são manuais? I, II, III e IV II, IV e V III, IV e V III e V II, III e V Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, o uso de scripts em lote não consta como uma opção para auditoria de sistemas manualmente. Geralmente são utilizados em rotinas automatizadas. 2 / 2 ptsPergunta 3 No planejamento do escopo de uma auditoria, é necessário definir os limites da análise no início do planejamento. É imprescindível determinar quais as áreas sujeitas a serem auditadas, assim como designar os responsáveis por essas áreas, sistemas e redes. Além disso, tanto o planejamento quanto a execução de auditorias irão demandar um trabalho árduo por parte dos auditores, que ainda executam atividades essenciais para a realização de uma auditoria. Considere as atividades abaixo: I. Estudar o local: entender o ambiente e como os elementos auditados se relacionam previamente. II. Analisar documentação: analisar documentação e configurações de sistema no planejamento e durante a auditoria em si. III. Analisar resultados de análise de riscos: entender classificações de criticidade de sistemas e componentes relacionados para impedir a criação de relatório sobre riscos envolvidos. IV. Analisar históricos de servidores: pedir históricos de mudanças de sistema para procurar alterações em programas, permissões ou configurações. V. Analisar históricos de incidentes: analisar históricos de incidentes de segurança para rastrear tendências de problemas. VI. Analisar resultados de testes de intrusão: analisar relatório dos testes feitos e garantir que a auditoria trate de todos os itens. Qual ou quais dessas asserções estão descritas corretamente? I, II, IV, V e VI Apenas a VI. I, III, IV, V e VI III, IV e V. Apenas a V. Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.1, apenas a afirmação III está equivocada, pois o correto seria: entender classificações de criticidade de sistemas e componentes relacionados para facilitar a criação de relatório sobre riscos envolvidos. 2 / 2 ptsPergunta 4 O trabalho de um auditor de segurança é complexo. Além da própria auditoria em si, sua atividade requer uma análise minuciosa dos dados coletados. Após a coleta, então uma série de atividades devem ser executadas no processamento dos dados, culminando na apresentação dos resultados para os responsáveis de uma organização. Os resultados são apresentados em um relatório que incluem ao menos três seções: I. Descobertas: geralmente relacionadas por nível de conformidade em relação à referência-padrão utilizada. A comparação com um benchmark gera uma listagem dos pontos nos quais a organização precisa melhorar. II. Recomendações: auditores recomendam como materializar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização. III. Acompanhamento: se necessário, auditores podem agendar uma auditoria de acompanhamento (follow-up) para se certificarem de que a organização tenha utilizado de fato as recomendações. Das três seções apresentadas, qual(is) estão corretas? I, II e III Apenas a I I e II Apenas a II I e III Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1.4, na seção de Recomendações de um relatório de auditoria encontramos que auditores recomendam como mitigar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização. O restante das asserções estão corretas. 2 / 2 ptsPergunta 5 Na medida em que se desenvolvem estratégias para o gerenciamento de risco, registrar, documentar e disponibilizar informações quanto às respostas mais comuns encontradas pode ajudar na redução, transferência e aceitação dos riscos, evitando-os. Considere as seguintes abordagens para tratamento dos riscos: I. Atenuação (redução) de risco: essa abordagem utiliza diversos controles para atenuar ou reduzir riscos que foram identificados. II. Atribuição (transferência) de risco: essa abordagem possibilita que a organização mantenha o risco na própria entidade. Fazer um seguro de algum ativo é um modo comum de reduzir risco. III. Aceitação de risco: essa abordagem, em linhas gerais, é decidir não assumir um risco. Uma organização pode decidir não entrar em uma linha de negócios se o nível de risco for muito alto. IV. Impedimento de risco: permite que uma organizaçãoaceite riscos. Considere que o risco existe e decidiu-se que o custo de reduzi-lo é mais alto que o da perda. Isso pode incluir um seguro próprio ou usar uma franquia. Qual(ais) das abordagens apresentadas está(ão) correta(s)? II, III e IV. Apenas a IV II e IV. Apenas a III Apenas a I Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.3, a única descrição de abordagem correta é a I, portanto as demais são incorretas. 2 / 2 ptsPergunta 6 Uma importante tarefa é crucial no contexto do gerenciamento de risco: identificar o risco propriamente dito. Um risco pode ser compreendido de diversas maneiras. Uma dessa maneiras relaciona o risco à distribuição de todos os resultados possíveis, sejam positivos ou negativos. Neste panorama, a gestão de risco procura reduzir a variância entre os resultados planejados versus reais. Nessa descrição, o risco é compreendido de qual maneira? Risco como oportunidade. Risco como perigo ou ameaça. Risco materializado. Risco como incerteza. Risco como certeza. Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.1, risco como incerteza está relacionado à distribuição de todos os resultados possíveis, sejam positivos ou negativos. Neste panorama, a gestão de risco procura reduzir a variância entre os resultados planejados versus reais. 2 / 2 ptsPergunta 7 No que tange à área de segurança da informação, a definição de risco é aquela que vê o risco sob a perspectiva de uma ameaça ou perigo. Porém, existem outros conceitos importantes que devem ser observados. Por exemplo, há um conceito que se refere à extensão do dano que pode ser causado por uma ameaça que explorou uma vulnerabilidade. Por exemplo, se um sistema for infectado por um vírus, poderá afetar todos os dados. Qual é o nome do conceito exemplificado? Evento. Possibilidade. Impacto. Ameaça. Vulnerabilidade. Na unidade 5 do livro Segurança e Auditoria dos Sistemas de Informação, tópico 1.1, a descrição colocada na questão refere- se ao conceito de impacto. 2 / 2 ptsPergunta 8 Para que seja utilizada como uma ferramenta eficaz para os Sistemas de Informação, a criptografia atende a requisitos específicos da disciplina da segurança da informação. Um desses requisitos é a capacidade de impedir que uma declaração prévia seja negada posteriormente. Outro requisito importante atendido pela criptografia é a capacidade de se confirmar a identidade, por exemplo, de um emissor de informação. Baseando-se nos exemplos fornecidos, quais requisitos foram descritos respectivamente? Não Repúdio e Confidencialidade. Repúdio e Confidencialidade. Não Repúdio e Integridade. Repúdio e Autenticação. Não Repúdio e Autenticação. Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1.2, pelo texto fornecido, os requisitos de segurança da informação descritos são Não Repúdio e Autenticação. 2 / 2 ptsPergunta 9 Dado o mundo em que vivemos, repleto de tecnologia em toda a nossa volta, a criptografia exerce um papel fundamental. Esse papel nos leva diretamente a como nossas informações podem ser protegidas. Em relação à segurança dos sistemas de informação, a criptografia pode satisfazer uma série de requisitos. Quais são esses requisitos? Confidencialidade, Integridade, Digitalização e Repúdio. Confidencialidade, Integridade, Autenticação e Repúdio. Conformidade, Integridade, Autenticação e Não Repúdio. Conformidade, Integridade, Autenticação e Repúdio. Confidencialidade, Integridade, Autenticação e Não Repúdio. Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 1.2, os requisitos que são satisfeitos pela criptografia são: Confidencialidade, Integridade, Autenticação e Não Repúdio. 2 / 2 ptsPergunta 10 A criptografia exerce um papel fundamental nos negócios de uma organização. Ela exerce esse papel tanto do ponto de vista interno, dentro da organização, quanto do posto de vista externo, com foco no relacionamento entre organizações. Com relação ao apoio interno, a criptografia pode atender aos seguintes objetivos de segurança: I. Privacidade: significa conceder permissão a alguém para realizar uma tarefa específica ou acessar certos dados. II. Integridade: garante que ninguém altere ou exclua dados. III. Autorização: permite que somente pessoas autorizadas possam ler as informações e mantém dados sensíveis longe de quem não tem autorização para acessá-los. IV. Controle de acesso: Controle de acesso envolve restringir informações às pessoas certas. Por exemplo, você pode armazenar planos salariais em um gabinete de arquivo onde somente funcionários de RH tenham a chave. Com relação aos objetivos apresentados, quais estão corretos? III e IV. I e III. II e IV. II, III e IV. I, II e III. Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 2, as opções que contém descrições corretas são a II e IV. Pontuação do teste: 20 de 20
Compartilhar