AUDITORIA DE SEGURANÇA DA INFORMAÇÃO Teste Final (N2)

Prévia do material em texto

Abrir links rápidos
Local atual
Conteúdo
Usuário MARCIO DE SOUZA VINCENZI
Curso POS0476 AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
PG0147211 - 202112.ead-15693.01
Teste Teste Final (N2)
Iniciado 18/05/21 10:05
Enviado 18/05/21 11:15
Status Completada
Resultado da
tentativa
7 em 10 pontos
Tempo decorrido 1 hora, 10 minutos
Resultados
exibidos
Respostas enviadas, Respostas corretas, Comentários
●
Pergunta 1
1 em 1 pontos
O nome “engenharia” é comumente empregado, pelos populares, quando se
constroem mecanismos para resolver um problema ou arquitetar uma solução. Na área
da segurança da informação, a engenharia social tem um significado bastante
particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social.
Resposta
Selecionada: Engenharia social é quando um atacante consegue informações
de uma empresa, fazendo um ataque por meio de técnicas como
enganar alguém por conversa.
Resposta
Correta: Engenharia social é quando um atacante consegue informações
de uma empresa, fazendo um ataque por meio de técnicas como
enganar alguém por conversa.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a engenharia
social é utilizada justamente para evitar vestígios, então não é
usado nenhum tipo de técnica de um computador, somente a
lábia, uma ligação telefônica, em que o atacante extrai
informações sem que a vítima perceba. O foco da engenharia
social são as pessoas, e não diretamente a tecnologia em si.
Portanto, a engenharia social tem bastante a ver com conceitos
psicológicos do comportamento humano.
●
● Pergunta 2
1 em 1 pontos
Hoje, muito se fala em recursos para hacking, contudo existem também recursos que
nos possibilitam chegar longe na área de segurança da informação quando
combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de
indivíduos e organizações. Assinale a alternativa correta que aponta um desses
recursos.
Resposta Selecionada:
Kali Linux.
Resposta Correta:
Kali Linux.
Comentário da
resposta:
Resposta correta. A alternativa está correta, pois o Kali Linux,
baseado em Debian, foi criado justamente para auditoria de
segurança, seja para um Pentest interno ou externo. É possível
usá-lo em máquina física, máquina virtual e até em Live CD.
●
● Pergunta 3
1 em 1 pontos
Quando falamos da área de segurança da informação, o Hardening atualmente é muito
pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores
fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em
todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se
especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste
o Hardening.
Resposta Selecionada:
Consiste na implementação de máquinas
seguras.
Resposta Correta:
Consiste na implementação de máquinas
seguras.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a ideia do
Hardening é justamente saber se aquele hardware está seguro
para uso ou não. Acredite-se ou não, existem hackers
especializados somente em achar vulnerabilidades usando
hardware.
●
● Pergunta 4
0 em 1 pontos
Após realizar todos os tipos de testes técnicos, análises, auditorias e testes de
intrusão, ainda existem falhas que comprometem as empresas, e essas falhas
geralmente são os seres humanos, que, muitas vezes, podem ser persuadidos sem
perceber e passar informações sigilosas.
Assinale a alternativa correta.
Resposta
Selecionada: Nunca clique em um link de e-mail que supostamente carrega
uma página qualquer.
Resposta Correta:
Sempre forneça senha do wi-fi diferente entre visitante e
colaborador.
Comentário
da resposta:
Sua resposta está incorreta. A alternativa está incorreta, pois,
dentro de uma organização, a empresa tem de passar os
cuidados totais aos colaboradores, por exemplo o cuidado de abrir
e-mails desconhecidos, sempre acompanhar um visitante por toda
a empresa, não abrir em hipótese alguma e-mails de estranhos e
muito menos seus anexos e, com certeza, tomar o máximo de
cuidado com a sua senha.
●
● Pergunta 5
0 em 1 pontos
Muitas empresas, quando são invadidas, não sabem o que fazer. Procuram todo tipo
de profissional, até encontrar um da área de segurança. Muitas vezes, os casos são
resolvidos, enquanto, em outras, os profissionais até descobrem de que forma a
empresa sofreu a invasão, porém, em diversas vezes, o criminoso não é pego por
conseguir ficar anônimo. Assinale a alternativa que apresenta a análise forense
computacional.
Resposta
Selecionada: Consiste em técnica para fazer testes de intrusão, utilizando,
para isso, o Kali Linux.
Resposta Correta:
Consiste em utilizar técnicas para rastrear o atacante.
Lembre-se de que uma invasão sempre vai gerar rastros.
Comentário
da resposta:
Sua resposta está incorreta. A alternativa está incorreta, pois a
análise forense é feita para recriar cenas de crimes para identificar
de que forma foi o ataque e identificar o atacante. Portanto, não é
para achar vulnerabilidades, nem seria para tentativas de ataques
e tentativas em erros. Também não consiste em fazer testes de
invasões, apesar de ter uma ligação de recriar a cena, e pouco
importa se teve morte ou não. A análise forense precisa ser
colocada em prática da mesma maneira.
●
● Pergunta 6
1 em 1 pontos
Não adianta saber fazer uma auditoria de segurança como ninguém, saber todas as
técnicas de invasões possíveis, saber apresentar um relatório perfeito para o cliente, se
não tiver os recursos necessários para conseguir executar tudo isso, desde o
hardware, sistemas operacionais, até programas.
Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, tratando-se
de hardware, para usar os sistemas operacionais focados em segurança.
Resposta Selecionada:
Instalar o SO na máquina física.
Resposta Correta:
Instalar o SO na máquina física.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a máquina física
dá o recurso máximo para que se consiga exercer tudo que um
teste de segurança requer. Existem certas ferramentas que não
utilizam tanto do hardware, porém há ferramentas que exigem
bastante, e o SO estar na máquina física é a melhor condição
para se trabalhar.
●
● Pergunta 7
1 em 1 pontos
Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o
profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação.
A documentação deve estar sempre explícita, falando o que deverá ser feito para que o
contratante consiga entender o que será feito e pelo que está pagando.
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de
informações deve ter na documentação para que ela seja válida e assinale V para a(s)
Verdadeira(s) e F para a(s) Falsa(s).
I. ( ) Um projeto de segurança.
II. ( ) Somente assinatura do contratante liberando os testes.
III. ( ) Uma programação de testes.
IV. ( ) Um escopo do que será testado.
Assinale a alternativa que apresenta a sequência correta.
Resposta Selecionada:
V, F, V, V
Resposta Correta:
V, F, V, V
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois apresenta
sequência adequada. É muito importante que um projeto seja
apresentado, que seja especificado tudo o que será testado e se
determinarem datas para os testes que não atrapalhem a produção
da empresa. O projeto de segurança deve ter todo um escopo,
mostrando cada detalhe do projeto. A programação de testes deve
sempre mostrar o que será alterado, que horário, que dia da
semana, sempre o mais específico possível, e o escopo do que
será testado sempre deverá estar em ordem e atualizado para que
o contratante saiba exatamente o que será testado. Desse modo,
ele se sentirá mais seguro e confiará melhor no profissional de
segurança.
●
● Pergunta 8
1 em 1 pontos
Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de segurança
bem feita deve possuir o pentest, visto que, a cada dia, os criminosos estão melhores e
osprofissionais de segurança precisam estar testando sempre a segurança das
empresas para que nunca ocorra nenhum tipo de prejuízo do tipo. Desse modo,
assinale a alternativa correta sobre qual seria o principal objetivo do Pentest.
Resposta Selecionada:
O Pentest é uma simulação de um ataque
real.
Resposta Correta:
O Pentest é uma simulação de um ataque
real.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois
o Pentest não é simplesmente uma análise de vulnerabilidade,
sendo algo muito mais completo que somente achar as
vulnerabilidades e mostrar que está vulnerável: é também simular
um verdadeiro ataque naquela empresa e ajudá-la a ir corrigindo
suas falhas.
●
● Pergunta 9
1 em 1 pontos
Na segurança da informação, temos alguns fundamentos que são a raiz de todo o
processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que
precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente.
Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de
tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais
adequada sobre quais são os fundamentos corretos.
Resposta
Selecionada: Autenticidade, confidencialidade, disponibilidade, integridade,
legalidade.
Resposta Correta:
Autenticidade, confidencialidade, disponibilidade, integridade,
legalidade.
Comentário
da resposta:
Resposta correta. A alternativa está correta, pois a autenticidade
garante que uma mensagem não seja alterada; a
confidencialidade, que haja sigilo; a disponibilidade, que a
informação esteja sempre disponível; a integridade, que se
mantenha íntegra; e a legalidade, que todo o processo não tenha
problemas com a lei.
●
● Pergunta 10
0 em 1 pontos
As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor
gestão e administração do negócio. Assim, as empresas utilizam desses certificados
que são ganhos para propagandear e mostrar que estão preocupados com a
segurança dos dados de seus clientes. Assim, geralmente a empresa consegue
demonstrar muito mais confiança no mercado.
De acordo com a introdução, assinale a norma descrita que está correta.
Resposta
Selecionada: ISO 27002 – Código de boas práticas que substituiu a norma
ISO 17799:2005.
Resposta Correta:
ISO 27001 – Norma antiga substituída pela atual norma
BS779-2.
Comentário
da resposta:
Sua resposta está incorreta. A alternativa está incorreta, pois
todas as ISO estão descritas incorretamente. A ISO 27002 seria
para diretrizes à implementação de boas práticas; a ISSO 27003,
para a implementação de relatórios; a ISO 27004, para atribuir
segurança para a empresa; e a ISSO 27005, para as práticas de
uma implementação na parte de gestão de segurança.
●
Terça-feira, 18 de Maio de 2021 11h15min29s BRT