Baixe o app para aproveitar ainda mais
Prévia do material em texto
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 1/7 * Algumas perguntas ainda não avaliadas Avaliação AV1 - Sala de Aula Entrega 6 mai em 23:59 Pontos 20 Perguntas 9 Disponível 6 mai em 19:10 - 6 mai em 23:59 aproximadamente 5 horas Limite de tempo 120 Minutos Tentativas permitidas 2 Instruções Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 5 minutos 4 de 20 * Pontuação desta tentativa: 4 de 20 * Enviado 6 mai em 19:24 Esta tentativa levou 5 minutos. Leia com atenção as orientações abaixo antes de iniciar esta prova: Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota. Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos cronometrados (por tentativa) para conclusão e envio das respostas. Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou não; Durante a realização da prova: Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro do período da tentativa; A tentativa somente será contabilizada após clicar no botão “Enviar”. Fazer o teste novamente 2 / 2 ptsPergunta 1 No escopo de segurança dos sistemas de informação, uma auditoria de segurança serve para verificar se seus sistemas e controles de segurança estão em funcionamento e da maneira para o qual foram planejados para funcionar, ou seja, se estão funcionando corretamente. Com isso, uma auditoria deve verificar os seguintes pontos: I. Se as políticas de segurança são apropriadas para a empresa ou a atividade: deve ser verificado se as políticas estabelecidas são seguidas e compreendidas, se dão suporte à missão da organização. A auditoria em si não define novas políticas. Auditores, porém, podem fazer recomendações com base em experiência ou conhecimento de novas regulamentações. II. Se as políticas são sustentadas por controles: deve ser verificado se foram colocados em funcionamento controles que sustentam as políticas. Se um controle não for justificado pela existência de uma política, ele provavelmente deverá ser removido. III. Se a implementação e a manutenção de controles são efetivas: na medida que uma organização cresce e novas ameaças surgem, os controles de segurança devem ser atualizados a fim de conseguirem atuar contra aquilo para o qual foram projetados. https://newtonpaiva.instructure.com/courses/10351/quizzes/25530/history?version=1 https://newtonpaiva.instructure.com/courses/10351/quizzes/25530/take?user_id=8984 06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 2/7 Dos pontos listados a serem verificados por uma auditoria de segurança, qual deles está ou estão corretos? I e III. Apenas o III. I e II. I, II e III. Correto!Correto! Apenas o II. Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação, unidade 4, tópico 1, todos os pontos citados devem ser utilizados em uma auditoria de controles de segurança. 0 / 2 ptsPergunta 2 O trabalho de um auditor de segurança é complexo. Além da própria auditoria em si, sua atividade requer uma análise minuciosa dos dados coletados. Após a coleta, então uma série de atividades devem ser executadas no processamento dos dados, culminando na apresentação dos resultados para os responsáveis de uma organização. Os resultados são apresentados em um relatório que incluem ao menos três seções: I. Descobertas: geralmente relacionadas por nível de conformidade em relação à referência- padrão utilizada. A comparação com um benchmark gera uma listagem dos pontos nos quais a organização precisa melhorar. II. Recomendações: auditores recomendam como materializar os riscos apontados e qual a consequência do possível descumprimento de uma política ou processo por parte das pessoas da organização. III. Acompanhamento: se necessário, auditores podem agendar uma auditoria de acompanhamento (follow-up) para se certificarem de que a organização tenha utilizado de fato as recomendações. Das três seções apresentadas, qual(is) estão corretas? Apenas a I I, II e III Você respondeuVocê respondeu 06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 3/7 I e II I e III esposta corretaesposta correta Apenas a II 0 / 2 ptsPergunta 3 Um sistema computacional é auditado para verificar se ele foi executado conforme construído e planejado para uma tarefa em específico. As auditorias checam em dado momento do tempo se a configuração atual de um sistema está em conformidade com padrões. Um sistema pode ser auditado de maneira manual ou ainda automatizada por meio de software. Considerando esse fato, atente-se às seguintes maneiras de se auditar um sistema: I. Entrevistar seu pessoal. II. Realizar varreduras de vulnerabilidade. III. Revisar controles de acesso de aplicativos e de sistema operacional. IV. Analisar acesso físico aos sistemas. V. Uso de scripts em lote para testes massivos. Quais das maneiras de se auditar um sistema são manuais? I, II, III e IV esposta corretaesposta correta III, IV e V II, IV e V Você respondeuVocê respondeu III e V II, III e V 0 / 2 ptsPergunta 4 Com relação aos controles de segurança, sabe-se que esses estabelecem limites que podem colocar em risco uma organização, caso não estejam em pleno funcionamento. Esses controles então devem ser revisados com uma frequência regular, inclusive é recomendado que cada controle passe por um ciclo de revisão. Nesse ciclo, constam atividades que apoiam o correto funcionamento de um controle. Uma dessas atividades é o aprimoramento de controles. Posto isso, qual das alternativas abaixo descreve corretamente a atividade de aprimoramento de controles? 06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 4/7 Quando instalados e devidamente monitorados, os controles devem ser passíveis de serem ampliados. Confrontando a execução e históricos dos controles, frente às políticas estabelecidas pela organização, gera-se insumos para outra atividade. Controles de segurança devem ser instalados e devem funcionar conforme foram especificados. De posse dos resultados obtidos em uma etapa anterior, é possível propor melhorias e alterações nos controles de segurança para adequação a políticas ou brechas que porventura tenham sido encontradas. esposta corretaesposta correta Uma vez que os controles foram postos em funcionamento, será necessário observar como os controles executam e se há alguma informação a respeito de alguma brecha de segurança neles. Uma vez instalados e então monitorados, os controles devem ser passíveis de serem auditados. Confrontando a execução e históricos dos controles, frentes às políticas estabelecidas pela organização, gera-se insumos para o próximo passo. Você respondeuVocê respondeu 0 / 2 ptsPergunta 5 Na medida em que se desenvolvem estratégias para o gerenciamento de risco, registrar, documentar e disponibilizar informações quanto às respostas mais comuns encontradas pode ajudar na redução, transferência e aceitação dos riscos, evitando-os. Considere as seguintes abordagens para tratamento dos riscos: I. Atenuação (redução) de risco: essa abordagem utiliza diversos controles para atenuar ou reduzir riscos que foram identificados. II. Atribuição (transferência) de risco: essa abordagem possibilita que a organização mantenha o risco na própria entidade. Fazer um seguro de algum ativo é um modo comum de reduzir risco. III. Aceitação de risco: essa abordagem, em linhas gerais, é decidir não assumir um risco. Uma organização pode decidir não entrar em umalinha de negócios se o nível de risco for muito alto. IV. Impedimento de risco: permite que uma organização aceite riscos. Considere que o risco existe e decidiu-se que o custo de reduzi-lo é mais alto que o da perda. Isso pode incluir um seguro próprio ou usar uma franquia. 06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 5/7 Qual(ais) das abordagens apresentadas está(ão) correta(s)? II, III e IV. Você respondeuVocê respondeu Apenas a IV Apenas a III II e IV. Apenas a I esposta corretaesposta correta 0 / 2 ptsPergunta 6 Uma importante tarefa é crucial no contexto do gerenciamento de risco: identificar o risco propriamente dito. Um risco pode ser compreendido de diversas maneiras. Uma dessa maneiras relaciona o risco à distribuição de todos os resultados possíveis, sejam positivos ou negativos. Neste panorama, a gestão de risco procura reduzir a variância entre os resultados planejados versus reais. Nessa descrição, o risco é compreendido de qual maneira? Risco como certeza. Você respondeuVocê respondeu Risco como perigo ou ameaça. Risco como incerteza. esposta corretaesposta correta Risco materializado. Risco como oportunidade. 0 / 2 ptsPergunta 7 A palavra criptografia nasceu da junção de duas palavras gregas, kriptós (secreto, escondido) e gráfein (escrita), e significa o uso de técnicas para transformar texto ou dados legíveis em informação ilegível, que não possa ser compreendida. Com relação à criptografia, considere as seguintes afirmações: I. Não apareceu após o surgimento da Internet; 06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 6/7 II. Há referência de criptografia na cultura egípcia com os hieróglifos; III. Os hebreus também utilizaram a criptografia, na forma de cifras monoalfabéticas. Qual ou quais asserções estão corretas? II e III. Apenas a III. Apenas a II. Você respondeuVocê respondeu I, II e III. esposta corretaesposta correta Apenas a I. 2 / 2 ptsPergunta 8 No que tange ao relacionamento entre organizações, a criptografia fornece um apoio importante. Por meio dela, é possível que organizações possam atender a objetivos de segurança relevantes. Sejam os exemplos de objetivos abaixo: I. A possibilidade de vincular uma determinada mensagem a alguma organização. Dessa forma, a troca de mensagens ganha segurança em negociações; II. Também importante em negociações, por meio da criptografia é possível confirmar se determinada mensagem chegou ao seu destinatário; III. Há também a possibilidade de confirmar a identidade que originou uma comunicação. Esses objetivos listados são, respectivamente: Não Repúdio, Assinatura digital, Autenticação de mensagens. Recibo e Confirmação, Autenticação de mensagens, Assinatura digital. Não Repúdio, Autenticação de mensagens, Assinatura digital. Autenticação de mensagens, Recibo e Confirmação, Assinatura digital. Assinatura digital, Recibo e Confirmação, Autenticação de mensagens. Correto!Correto! 06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 7/7 Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico 2, os objetivos listados referem-se a Assinatura digital, Recibo e Confirmação e Autenticação de mensagens. Não avaliado ainda / 4 ptsPergunta 9 Sua Resposta: Não respondidaNão respondida A maioria das infraestruturas de TI consiste em sete domínios: domínio do usuário, domínio da estação de trabalho, domínio LAN, domínio Lan para WAN, domínio WAN, domínio de sistemas/aplicações e domínio de acesso remoto. Discorra sobre os domínios de estações de trabalho e domínio de acesso remoto, indicando vulnerabilidades e contra medidas de ataques que podem ser adotadas para os domínios escolhidos, que melhorem a segurança da informação. Pontuação do teste: 4 de 20
Compartilhar