Avaliacao_AV1_-_Sala_de_Aula__TADS 5N1_-_Seguranca_e_Auditoria_de_Sistemas_de_Informacao

Prévia do material em texto

06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 1/7
* Algumas perguntas ainda não avaliadas
Avaliação AV1 - Sala de Aula
Entrega 6 mai em 23:59 Pontos 20 Perguntas 9
Disponível 6 mai em 19:10 - 6 mai em 23:59 aproximadamente 5 horas Limite de tempo 120 Minutos
Tentativas permitidas 2
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 5 minutos 4 de 20 *
Pontuação desta tentativa: 4 de 20 *
Enviado 6 mai em 19:24
Esta tentativa levou 5 minutos.
Leia com atenção as orientações abaixo antes de iniciar esta prova:
Serão permitidas duas tentativas para realizar esta avaliação, prevalecendo a maior nota.
Programe-se para realizar suas avaliações com tranquilidade, pois você terá 120 minutos cronometrados (por
tentativa) para conclusão e envio das respostas.
Ao iniciar a avaliação o cronômetro não para, independentemente da plataforma estar aberta ou não;
Durante a realização da prova:
Será exibido uma questão por vez, podendo “Avançar” ou “Voltar” quando necessário dentro do período da tentativa;
A tentativa somente será contabilizada após clicar no botão “Enviar”.
Fazer o teste novamente
2 / 2 ptsPergunta 1
No escopo de segurança dos sistemas de informação, uma auditoria de segurança serve para
verificar se seus sistemas e controles de segurança estão em funcionamento e da maneira
para o qual foram planejados para funcionar, ou seja, se estão funcionando corretamente.
Com isso, uma auditoria deve verificar os seguintes pontos:
 
I. Se as políticas de segurança são apropriadas para a empresa ou a atividade: deve ser
verificado se as políticas estabelecidas são seguidas e compreendidas, se dão suporte à
missão da organização. A auditoria em si não define novas políticas. Auditores, porém, podem
fazer recomendações com base em experiência ou conhecimento de novas regulamentações. 
II. Se as políticas são sustentadas por controles: deve ser verificado se foram colocados em
funcionamento controles que sustentam as políticas. Se um controle não for justificado pela
existência de uma política, ele provavelmente deverá ser removido. 
III. Se a implementação e a manutenção de controles são efetivas: na medida que uma
organização cresce e novas ameaças surgem, os controles de segurança devem ser
atualizados a fim de conseguirem atuar contra aquilo para o qual foram projetados.
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530/history?version=1
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530/take?user_id=8984
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 2/7
Dos pontos listados a serem verificados por uma auditoria de segurança, qual deles está ou
estão corretos?
  I e III. 
  Apenas o III. 
  I e II. 
  I, II e III. Correto!Correto!
  Apenas o II. 
Conforme descrito no livro Segurança e Auditoria de Sistemas de Informação,
unidade 4, tópico 1, todos os pontos citados devem ser utilizados em uma auditoria
de controles de segurança.
0 / 2 ptsPergunta 2
O trabalho de um auditor de segurança é complexo. Além da própria auditoria em si, sua
atividade requer uma análise minuciosa dos dados coletados. Após a coleta, então uma série
de atividades devem ser executadas no processamento dos dados, culminando na
apresentação dos resultados para os responsáveis de uma organização. Os resultados são
apresentados em um relatório que incluem ao menos três seções:
 
I. Descobertas: geralmente relacionadas por nível de conformidade em relação à referência-
padrão utilizada. A comparação com um benchmark gera uma listagem dos pontos nos quais a
organização precisa melhorar. 
II. Recomendações: auditores recomendam como materializar os riscos apontados e qual a
consequência do possível descumprimento de uma política ou processo por parte das pessoas
da organização. 
III. Acompanhamento: se necessário, auditores podem agendar uma auditoria de
acompanhamento (follow-up) para se certificarem de que a organização tenha utilizado de fato
as recomendações.
 
Das três seções apresentadas, qual(is) estão corretas?
  Apenas a I 
  I, II e III Você respondeuVocê respondeu
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 3/7
  I e II 
  I e III esposta corretaesposta correta
  Apenas a II 
0 / 2 ptsPergunta 3
Um sistema computacional é auditado para verificar se ele foi executado conforme construído
e planejado para uma tarefa em específico. As auditorias checam em dado momento do tempo
se a configuração atual de um sistema está em conformidade com padrões. Um sistema pode
ser auditado de maneira manual ou ainda automatizada por meio de software. Considerando
esse fato, atente-se às seguintes maneiras de se auditar um sistema:
 
I. Entrevistar seu pessoal. 
II. Realizar varreduras de vulnerabilidade. 
III. Revisar controles de acesso de aplicativos e de sistema operacional. 
IV. Analisar acesso físico aos sistemas. 
V. Uso de scripts em lote para testes massivos.
Quais das maneiras de se auditar um sistema são manuais?
  I, II, III e IV esposta corretaesposta correta
  III, IV e V 
  II, IV e V Você respondeuVocê respondeu
  III e V 
  II, III e V 
0 / 2 ptsPergunta 4
Com relação aos controles de segurança, sabe-se que esses estabelecem limites que podem
colocar em risco uma organização, caso não estejam em pleno funcionamento. Esses
controles então devem ser revisados com uma frequência regular, inclusive é recomendado
que cada controle passe por um ciclo de revisão. Nesse ciclo, constam atividades que apoiam
o correto funcionamento de um controle. Uma dessas atividades é o aprimoramento de
controles. Posto isso, qual das alternativas abaixo descreve corretamente a atividade de
aprimoramento de controles?
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 4/7
 
Quando instalados e devidamente monitorados, os controles devem ser passíveis de serem
ampliados. Confrontando a execução e históricos dos controles, frente às políticas
estabelecidas pela organização, gera-se insumos para outra atividade.
 
Controles de segurança devem ser instalados e devem funcionar conforme foram
especificados.
 
De posse dos resultados obtidos em uma etapa anterior, é possível propor melhorias e
alterações nos controles de segurança para adequação a políticas ou brechas que porventura
tenham sido encontradas.
esposta corretaesposta correta
 
Uma vez que os controles foram postos em funcionamento, será necessário observar como os
controles executam e se há alguma informação a respeito de alguma brecha de segurança
neles.
 
Uma vez instalados e então monitorados, os controles devem ser passíveis de serem
auditados. Confrontando a execução e históricos dos controles, frentes às políticas
estabelecidas pela organização, gera-se insumos para o próximo passo.
Você respondeuVocê respondeu
0 / 2 ptsPergunta 5
Na medida em que se desenvolvem estratégias para o gerenciamento de risco, registrar,
documentar e disponibilizar informações quanto às respostas mais comuns encontradas pode
ajudar na redução, transferência e aceitação dos riscos, evitando-os. Considere as seguintes
abordagens para tratamento dos riscos:
 
I. Atenuação (redução) de risco: essa abordagem utiliza diversos controles para atenuar ou
reduzir riscos que foram identificados. 
II. Atribuição (transferência) de risco: essa abordagem possibilita que a organização mantenha
o risco na própria entidade. Fazer um seguro de algum ativo é um modo comum de reduzir
risco. 
III. Aceitação de risco: essa abordagem, em linhas gerais, é decidir não assumir um risco. Uma
organização pode decidir não entrar em umalinha de negócios se o nível de risco for muito
alto. 
IV. Impedimento de risco: permite que uma organização aceite riscos. Considere que o risco
existe e decidiu-se que o custo de reduzi-lo é mais alto que o da perda. Isso pode incluir um
seguro próprio ou usar uma franquia.
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 5/7
Qual(ais) das abordagens apresentadas está(ão) correta(s)?
 
  II, III e IV. Você respondeuVocê respondeu
  Apenas a IV 
  Apenas a III 
  II e IV. 
  Apenas a I esposta corretaesposta correta
0 / 2 ptsPergunta 6
Uma importante tarefa é crucial no contexto do gerenciamento de risco: identificar o risco
propriamente dito. Um risco pode ser compreendido de diversas maneiras. Uma dessa
maneiras relaciona o risco à distribuição de todos os resultados possíveis, sejam positivos ou
negativos. Neste panorama, a gestão de risco procura reduzir a variância entre os resultados
planejados versus reais. Nessa descrição, o risco é compreendido de qual maneira?
  Risco como certeza. Você respondeuVocê respondeu
  Risco como perigo ou ameaça. 
  Risco como incerteza. esposta corretaesposta correta
  Risco materializado. 
  Risco como oportunidade. 
0 / 2 ptsPergunta 7
A palavra criptografia nasceu da junção de duas palavras gregas, kriptós (secreto, escondido)
e gráfein (escrita), e significa o uso de técnicas para transformar texto ou dados legíveis em
informação ilegível, que não possa ser compreendida. Com relação à criptografia, considere
as seguintes afirmações:
 
I. Não apareceu após o surgimento da Internet; 
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 6/7
II. Há referência de criptografia na cultura egípcia com os hieróglifos; 
III. Os hebreus também utilizaram a criptografia, na forma de cifras monoalfabéticas.
 
Qual ou quais asserções estão corretas?
 
  II e III. 
  Apenas a III. 
  Apenas a II. Você respondeuVocê respondeu
  I, II e III. esposta corretaesposta correta
  Apenas a I. 
2 / 2 ptsPergunta 8
No que tange ao relacionamento entre organizações, a criptografia fornece um apoio
importante. Por meio dela, é possível que organizações possam atender a objetivos de
segurança relevantes. Sejam os exemplos de objetivos abaixo:
 
I. A possibilidade de vincular uma determinada mensagem a alguma organização. Dessa
forma, a troca de mensagens ganha segurança em negociações; 
II. Também importante em negociações, por meio da criptografia é possível confirmar se
determinada mensagem chegou ao seu destinatário; 
III. Há também a possibilidade de confirmar a identidade que originou uma comunicação.
Esses objetivos listados são, respectivamente:
 
  Não Repúdio, Assinatura digital, Autenticação de mensagens. 
  Recibo e Confirmação, Autenticação de mensagens, Assinatura digital. 
  Não Repúdio, Autenticação de mensagens, Assinatura digital. 
  Autenticação de mensagens, Recibo e Confirmação, Assinatura digital. 
  Assinatura digital, Recibo e Confirmação, Autenticação de mensagens. Correto!Correto!
06/05/2021 Avaliação AV1 - Sala de Aula: TADS.5N1 - Segurança e Auditoria de Sistemas de Informação
https://newtonpaiva.instructure.com/courses/10351/quizzes/25530 7/7
Segundo o livro Segurança e Auditoria de Sistemas de Informação, Unidade 6, tópico
2, os objetivos listados referem-se a Assinatura digital, Recibo e Confirmação e
Autenticação de mensagens.
Não avaliado ainda / 4 ptsPergunta 9
Sua Resposta:
Não respondidaNão respondida
A maioria das infraestruturas de TI consiste em sete domínios: domínio do usuário, domínio da
estação de trabalho, domínio LAN, domínio Lan para WAN, domínio WAN, domínio de
sistemas/aplicações e domínio de acesso remoto.
Discorra sobre os domínios de estações de trabalho e domínio de acesso remoto, indicando
vulnerabilidades e contra medidas de ataques que podem ser adotadas para os domínios
escolhidos, que melhorem a segurança da informação.
Pontuação do teste: 4 de 20