Avaliação Online 2 - Segurança e Auditoria de Sistemas de Informação

Prévia do material em texto

Avaliação Online 2
Entrega 12 abr em 23:59 Pontos 20 Perguntas 10
Disponível 6 abr em 0:00 - 12 abr em 23:59 7 dias
Limite de tempo 120 Minutos Tentativas permitidas 2
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 21 minutos 20 de 20
 As respostas corretas estarão disponíveis em 13 abr em 0:00.
Pontuação desta tentativa: 20 de 20
Enviado 6 abr em 18:31
Esta tentativa levou 21 minutos.
Leia com atenção as orientações abaixo antes de iniciar esta prova:
Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota.
Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos
cronometrados (por tentativa) para conclusão e envio das respostas.
Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou
não;
Durante a realização da prova:
Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro
do período da tentativa;
A tentativa somente será contabilizada após clicar no botão “Enviar”.
Fazer o teste novamente
2 / 2 ptsPergunta 1
Após o planejamento e posterior execução de uma auditoria, muitos
dados são gerados e necessitam ser coletados. A partir da coleta
desses dados, é possível então analisá-los e processá-los, a fim de
https://newtonpaiva.instructure.com/courses/11081/quizzes/23977/history?version=1
https://newtonpaiva.instructure.com/courses/11081/quizzes/23977/take?user_id=9343
produzir informações relevantes para eventuais melhorias. Existem
muitas técnicas de coletas de dados, entre elas, podem-se citar:
 
I. Documentos que ajudam a garantir que o processo de coleta de
informações atinja todas as áreas, evitando que alguma seja
esquecida inadvertidamente. 
II. Teste de vulnerabilidade e teste de intrusão devem reunir
informações técnicas para determinar se existem vulnerabilidades nos
componentes, nas redes e nos aplicativos de segurança. 
III. É importante ver a diferença entre atividades na teoria e como elas
são realizadas na prática.
 
As descrições de tipos de coleta de dados de uma auditoria
mencionados também são conhecidas como, respectivamente?
 
Documentação de revisão, listas de verificação (checklists) e
questionários.
 
Política de revisão, testes de segurança e configurações de revisão. 
 Questionários, entrevistas e observação. 
 
Listas de verificação (checklists), testes de segurança e observação. 
 Configurações de revisão, observação e testes de segurança. 
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1.2, as descrições são dos
métodos de coleta de dados de auditoria: listas de verificação
(checklists), testes de segurança e observação.
2 / 2 ptsPergunta 2
Um sistema computacional é auditado para verificar se ele foi
executado conforme construído e planejado para uma tarefa em
específico. As auditorias checam em dado momento do tempo se a
configuração atual de um sistema está em conformidade com padrões.
Um sistema pode ser auditado de maneira manual ou ainda
automatizada por meio de software. Considerando esse fato, atente-se
às seguintes maneiras de se auditar um sistema:
 
I. Entrevistar seu pessoal. 
II. Realizar varreduras de vulnerabilidade. 
III. Revisar controles de acesso de aplicativos e de sistema
operacional. 
IV. Analisar acesso físico aos sistemas. 
V. Uso de scripts em lote para testes massivos.
Quais das maneiras de se auditar um sistema são manuais?
 I, II, III e IV 
 II, IV e V 
 III, IV e V 
 III e V 
 II, III e V 
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1, o uso de scripts em lote não
consta como uma opção para auditoria de sistemas
manualmente. Geralmente são utilizados em rotinas
automatizadas.
2 / 2 ptsPergunta 3
No planejamento do escopo de uma auditoria, é necessário definir os
limites da análise no início do planejamento. É imprescindível
determinar quais as áreas sujeitas a serem auditadas, assim como
designar os responsáveis por essas áreas, sistemas e redes. Além
disso, tanto o planejamento quanto a execução de auditorias irão
demandar um trabalho árduo por parte dos auditores, que ainda
executam atividades essenciais para a realização de uma auditoria.
Considere as atividades abaixo:
 
I. Estudar o local: entender o ambiente e como os elementos auditados
se relacionam previamente. 
II. Analisar documentação: analisar documentação e configurações de
sistema no planejamento e durante a auditoria em si. 
III. Analisar resultados de análise de riscos: entender classificações de
criticidade de sistemas e componentes relacionados para impedir a
criação de relatório sobre riscos envolvidos. 
IV. Analisar históricos de servidores: pedir históricos de mudanças de
sistema para procurar alterações em programas, permissões ou
configurações. 
V. Analisar históricos de incidentes: analisar históricos de incidentes de
segurança para rastrear tendências de problemas. 
VI. Analisar resultados de testes de intrusão: analisar relatório dos
testes feitos e garantir que a auditoria trate de todos os itens.
 
Qual ou quais dessas asserções estão descritas corretamente?
 I, II, IV, V e VI 
 Apenas a VI. 
 I, III, IV, V e VI 
 III, IV e V. 
 Apenas a V. 
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1.1, apenas a afirmação III
está equivocada, pois o correto seria: entender classificações
de criticidade de sistemas e componentes relacionados para
facilitar a criação de relatório sobre riscos envolvidos.
2 / 2 ptsPergunta 4
O trabalho de um auditor de segurança é complexo. Além da própria
auditoria em si, sua atividade requer uma análise minuciosa dos dados
coletados. Após a coleta, então uma série de atividades devem ser
executadas no processamento dos dados, culminando na
apresentação dos resultados para os responsáveis de uma
organização. Os resultados são apresentados em um relatório que
incluem ao menos três seções:
 
I. Descobertas: geralmente relacionadas por nível de conformidade em
relação à referência-padrão utilizada. A comparação com um
benchmark gera uma listagem dos pontos nos quais a organização
precisa melhorar. 
II. Recomendações: auditores recomendam como materializar os
riscos apontados e qual a consequência do possível descumprimento
de uma política ou processo por parte das pessoas da organização. 
III. Acompanhamento: se necessário, auditores podem agendar uma
auditoria de acompanhamento (follow-up) para se certificarem de que
a organização tenha utilizado de fato as recomendações.
 
Das três seções apresentadas, qual(is) estão corretas?
 I, II e III 
 Apenas a I 
 I e II 
 Apenas a II 
 I e III 
Conforme descrito no livro Segurança e Auditoria de Sistemas
de Informação, unidade 4, tópico 1.4, na seção de
Recomendações de um relatório de auditoria encontramos que
auditores recomendam como mitigar os riscos apontados e qual
a consequência do possível descumprimento de uma política ou
processo por parte das pessoas da organização. O restante das
asserções estão corretas.
2 / 2 ptsPergunta 5
Na medida em que se desenvolvem estratégias para o gerenciamento
de risco, registrar, documentar e disponibilizar informações quanto às
respostas mais comuns encontradas pode ajudar na redução,
transferência e aceitação dos riscos, evitando-os. Considere as
seguintes abordagens para tratamento dos riscos:
 
I. Atenuação (redução) de risco: essa abordagem utiliza diversos
controles para atenuar ou reduzir riscos que foram identificados. 
II. Atribuição (transferência) de risco: essa abordagem possibilita que a
organização mantenha o risco na própria entidade. Fazer um seguro
de algum ativo é um modo comum de reduzir risco.
III. Aceitação de risco: essa abordagem, em linhas gerais, é decidir
não assumir um risco. Uma organização pode decidir não entrar em
uma linha de negócios se o nível de risco for muito alto. 
IV. Impedimento de risco: permite que uma organizaçãoaceite riscos.
Considere que o risco existe e decidiu-se que o custo de reduzi-lo é
mais alto que o da perda. Isso pode incluir um seguro próprio ou usar
uma franquia.
Qual(ais) das abordagens apresentadas está(ão) correta(s)?
 
 II, III e IV. 
 Apenas a IV 
 II e IV. 
 Apenas a III 
 Apenas a I 
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de
Informação, tópico 1.3, a única descrição de abordagem correta
é a I, portanto as demais são incorretas.
2 / 2 ptsPergunta 6
Uma importante tarefa é crucial no contexto do gerenciamento de
risco: identificar o risco propriamente dito. Um risco pode ser
compreendido de diversas maneiras. Uma dessa maneiras relaciona o
risco à distribuição de todos os resultados possíveis, sejam positivos
ou negativos. Neste panorama, a gestão de risco procura reduzir a
variância entre os resultados planejados versus reais. Nessa
descrição, o risco é compreendido de qual maneira?
 Risco como oportunidade. 
 Risco como perigo ou ameaça. 
 Risco materializado. 
 Risco como incerteza. 
 Risco como certeza. 
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de
Informação, tópico 1.1, risco como incerteza está relacionado à
distribuição de todos os resultados possíveis, sejam positivos
ou negativos. Neste panorama, a gestão de risco procura
reduzir a variância entre os resultados planejados versus reais.
2 / 2 ptsPergunta 7
No que tange à área de segurança da informação, a definição de risco
é aquela que vê o risco sob a perspectiva de uma ameaça ou perigo.
Porém, existem outros conceitos importantes que devem ser
observados. Por exemplo, há um conceito que se refere à extensão do
dano que pode ser causado por uma ameaça que explorou uma
vulnerabilidade. Por exemplo, se um sistema for infectado por um
vírus, poderá afetar todos os dados. Qual é o nome do conceito
exemplificado?
 Evento. 
 Possibilidade. 
 Impacto. 
 Ameaça. 
 Vulnerabilidade. 
Na unidade 5 do livro Segurança e Auditoria dos Sistemas de
Informação, tópico 1.1, a descrição colocada na questão refere-
se ao conceito de impacto.
2 / 2 ptsPergunta 8
Para que seja utilizada como uma ferramenta eficaz para os Sistemas
de Informação, a criptografia atende a requisitos específicos da
disciplina da segurança da informação. Um desses requisitos é a
capacidade de impedir que uma declaração prévia seja negada
posteriormente. Outro requisito importante atendido pela criptografia é
a capacidade de se confirmar a identidade, por exemplo, de um
emissor de informação.
 
Baseando-se nos exemplos fornecidos, quais requisitos foram
descritos respectivamente?
 Não Repúdio e Confidencialidade. 
 Repúdio e Confidencialidade. 
 Não Repúdio e Integridade. 
 Repúdio e Autenticação. 
 Não Repúdio e Autenticação. 
Segundo o livro Segurança e Auditoria de Sistemas de
Informação, Unidade 6, tópico 1.2, pelo texto fornecido, os
requisitos de segurança da informação descritos são Não
Repúdio e Autenticação.
2 / 2 ptsPergunta 9
Dado o mundo em que vivemos, repleto de tecnologia em toda a nossa
volta, a criptografia exerce um papel fundamental. Esse papel nos leva
diretamente a como nossas informações podem ser protegidas. Em
relação à segurança dos sistemas de informação, a criptografia pode
satisfazer uma série de requisitos.
 
Quais são esses requisitos?
 Confidencialidade, Integridade, Digitalização e Repúdio. 
 Confidencialidade, Integridade, Autenticação e Repúdio. 
 Conformidade, Integridade, Autenticação e Não Repúdio. 
 Conformidade, Integridade, Autenticação e Repúdio. 
 Confidencialidade, Integridade, Autenticação e Não Repúdio. 
Segundo o livro Segurança e Auditoria de Sistemas de
Informação, Unidade 6, tópico 1.2, os requisitos que são
satisfeitos pela criptografia são: Confidencialidade, Integridade,
Autenticação e Não Repúdio.
2 / 2 ptsPergunta 10
A criptografia exerce um papel fundamental nos negócios de uma
organização. Ela exerce esse papel tanto do ponto de vista interno,
dentro da organização, quanto do posto de vista externo, com foco no
relacionamento entre organizações. Com relação ao apoio interno, a
criptografia pode atender aos seguintes objetivos de segurança:
 
I. Privacidade: significa conceder permissão a alguém para realizar
uma tarefa específica ou acessar certos dados. 
II. Integridade: garante que ninguém altere ou exclua dados. 
III. Autorização: permite que somente pessoas autorizadas possam ler
as informações e mantém dados sensíveis longe de quem não tem
autorização para acessá-los. 
IV. Controle de acesso: Controle de acesso envolve restringir
informações às pessoas certas. Por exemplo, você pode armazenar
planos salariais em um gabinete de arquivo onde somente funcionários
de RH tenham a chave.
 
Com relação aos objetivos apresentados, quais estão corretos?
 III e IV. 
 I e III. 
 II e IV. 
 II, III e IV. 
 I, II e III. 
Segundo o livro Segurança e Auditoria de Sistemas de
Informação, Unidade 6, tópico 2, as opções que contém
descrições corretas são a II e IV.
Pontuação do teste: 20 de 20