AUDITORIA DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

POS0476	AUDITORIA	DE	SEGURANÇA	DA	
INFORMAÇÃO	PG0147211	-	202112.ead-
15693.01	
Teste	 Teste	Final	(N2)	
Iniciado	 27/05/21	18:06	
Enviado	 27/05/21	18:29	
Status	 Completada	
Resultado	da	tentativa	 8	em	10	pontos			
Tempo	decorrido	 23	minutos		
Resultados	exibidos	 Respostas	enviadas,	Respostas	
corretas,	Comentários	
• Pergunta 1 
1 em 1 pontos 
 
Não basta ter somente um “OK” do contratante para o teste de invasão, 
pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada 
adiantou a documentação. A documentação deve estar sempre explícita, 
falando o que deverá ser feito para que o contratante consiga entender o 
que será feito e pelo que está pagando. 
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos 
de informações deve ter na documentação para que ela seja válida e 
assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). 
 
I. ( ) Um projeto de segurança. 
II. ( ) Somente assinatura do contratante liberando os testes. 
III. ( ) Uma programação de testes. 
IV. ( ) Um escopo do que será testado. 
 
Assinale a alternativa que apresenta a sequência correta. 
 
Resposta	Selecionada:	 
V, F, V, V 
Resposta	Correta:	 
V, F, V, V 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois 
apresenta sequência adequada. É muito importante 
que um projeto seja apresentado, que seja especificado 
tudo o que será testado e se determinarem datas para 
os testes que não atrapalhem a produção da empresa. 
O projeto de segurança deve ter todo um escopo, 
mostrando cada detalhe do projeto. A programação de 
testes deve sempre mostrar o que será alterado, que 
 
horário, que dia da semana, sempre o mais específico 
possível, e o escopo do que será testado sempre deverá 
estar em ordem e atualizado para que o contratante 
saiba exatamente o que será testado. Desse modo, ele 
se sentirá mais seguro e confiará melhor no 
profissional de segurança. 
	
• Pergunta 2 
1 em 1 pontos 
 
As normas ISO têm como objetivo garantir padrões e qualidade para uma 
melhor gestão e administração do negócio. Assim, as empresas utilizam 
desses certificados que são ganhos para propagandear e mostrar que 
estão preocupados com a segurança dos dados de seus clientes. Assim, 
geralmente a empresa consegue demonstrar muito mais confiança no 
mercado. 
 
De acordo com a introdução, assinale a norma descrita que está correta. 
 
Resposta	
Selecionada:	
 
ISO 27001 – Norma antiga substituída pela atual 
norma BS779-2. 
Resposta	Correta:	 
ISO 27001 – Norma antiga substituída pela atual 
norma BS779-2. 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois a ISO 
27001, na verdade, é bastante atual. A BS779-2 foi 
trocada pela 27001, e a ISO 27001 está muito 
relacionada a padrões da segurança da informação, 
sendo um certificado muito interessante e que dá 
credibilidade ao profissional. 
	
 
• Pergunta 3 
1 em 1 pontos 
 
Depois de descobrir as vulnerabilidades de uma empresa e como mitigá-
las, o report é um passo importante da auditoria, pois é nesse momento 
que você estará entregando o produto que o cliente pagou, e 
esse report deve ser descrito de uma maneira que as vulnerabilidades 
devam ser entendidas. 
De acordo com o enunciado, assinale a alternativa sobre a maneira correta 
de escrever um report . 
 
Resposta	
Selecionada:	
 
O report deve ser organizado de maneira que mostre 
a prioridade das vulnerabilidades, entre alto perigo e 
baixo perigo. 
Resposta	
Correta:	
 
O report deve ser organizado de maneira que mostre 
a prioridade das vulnerabilidades, entre alto perigo e 
baixo perigo. 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois todas 
as vulnerabilidades devem ser organizadas de uma 
maneira que todos entendam, explicando-se quais 
geram pouco, médio e grande impacto. É muito 
importante colocar graus e separações por escalas de 
quais vulnerabilidade são maiores quais são menores. 
	
• Pergunta 4 
1 em 1 pontos 
 
Na segurança da informação, temos alguns fundamentos que são a raiz de 
todo o processo de uma auditoria de segurança, ou seja, a estrutura de um 
modelo que precisa ser seguido para que toda a auditoria seja feita de 
forma correta e coerente. Sem essas colunas-base, o profissional de 
segurança se encontra perdido no meio de tanta informação para proteger 
e auditar. Desse modo, assinale a alternativa mais adequada sobre quais 
são os fundamentos corretos. 
 
Resposta	
Selecionada:	
 
Autenticidade, confidencialidade, disponibilidade, 
integridade, legalidade. 
Resposta	Correta:	 
Autenticidade, confidencialidade, disponibilidade, 
integridade, legalidade. 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois a 
autenticidade garante que uma mensagem não seja 
alterada; a confidencialidade, que haja sigilo; a 
disponibilidade, que a informação esteja sempre 
disponível; a integridade, que se mantenha íntegra; e a 
legalidade, que todo o processo não tenha problemas 
com a lei. 
	
 
• Pergunta 5 
1 em 1 pontos 
 
Muito se fala em Pentest (teste de invasão). Atualmente, uma auditoria de 
segurança bem feita deve possuir o pentest, visto que, a cada dia, os 
criminosos estão melhores e os profissionais de segurança precisam estar 
testando sempre a segurança das empresas para que nunca ocorra 
nenhum tipo de prejuízo do tipo. Desse modo, assinale a alternativa correta 
sobre qual seria o principal objetivo do Pentest. 
 
Resposta	Selecionada:	 
O Pentest é uma simulação de um ataque real. 
Resposta	Correta:	 
O Pentest é uma simulação de um ataque real. 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois 
o Pentest não é simplesmente uma análise de 
vulnerabilidade, sendo algo muito mais completo que 
somente achar as vulnerabilidades e mostrar que está 
vulnerável: é também simular um verdadeiro ataque 
naquela empresa e ajudá-la a ir corrigindo suas falhas. 
	
 
• Pergunta 6 
0 em 1 pontos 
 
Há muitos especialistas na área de segurança da informação que dizem 
não existir sistema seguro, quando se tomam medidas de prevenção e 
protetiva nos sistemas, as quais fazem com que o seu sistema seja mais 
difícil de ser invadido, mas não que ele esteja 100% seguro. 
Existem dois tipos de ameaças classificadas: a lógica e a física. 
 
De acordo com essa afirmação, analise as afirmativas sobre a descrição do 
que são as ameaças lógica e física. 
 
I. Alagamentos, que podem fazer com que o sistema pare de funcionar, 
fazendo, consequentemente, uma empresa parar, e, caso não tiver backup, 
ela ainda perde todas as informações obtidas. 
II. A quebra de senhas é um ataque mais conhecido como “brute force”, 
sendo uma das técnicas usadas para entrar em sistemas nos quais não se 
tem autorização. 
III. Um malware tem mil utilidades, dependendo do que foi programado 
para fazer. É um código em funcionamento, moldado para prejudicar o 
sistema. 
IV. Um terremoto pode destruir toda a estrutura de uma empresa onde o 
sistema está localizado. 
 
Está correto o que se afirma em: 
 
Resposta	Selecionada:	 
I, II e IV, apenas. 
 
 
Resposta	Correta:	 
I, II, III e IV. 
Comentário	
da	resposta:	
Sua resposta está incorreta. A alternativa está incorreta, 
pois tudo o que prejudique o sistema de uma empresa 
em andamento pode ser considerado um tipo de 
ataque. Por exemplo, quando um servidor pega fogo ou 
há um hacker criptografando o sistema, devendo ter 
backup seguro longe daquele local. Todos os ataques 
apresentados na questão são físicos ou lógicos. 
	
• Pergunta 7 
1 em 1 pontos 
 
De acordo com a lei penal no Brasil, invadir qualquer tipo de sistema sem a 
devida autorização comprovada do dono do que foi vítima da invasão é um 
crime federal, passível de indenização e até prisão. Portanto, conseguir 
uma autorização do dono da empresa a qual terá seu sistema testado é 
muito importante. 
 
A seguir, assinale a alternativacorreta. 
 
 
Resposta	
Selecionada:	
 
O profissional de segurança deve buscar sempre uma 
autorização prévia documentada para que se faça um 
teste de segurança depois. 
Resposta	
Correta:	
 
O profissional de segurança deve buscar sempre uma 
autorização prévia documentada para que se faça um 
teste de segurança depois. 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois, como 
já dito no procedimento padrão de uma auditoria de 
segurança, para que se faça uma exploração de falhas, 
deve-se ter autorização para realizar essa exploração 
de vulnerabilidade. Fazendo uma breve analogia, seria a 
mesma coisa que entrar no quintal de uma casa sem 
permissão, ou seja, é passível de crime. Um hacker ético 
sempre pedirá permissão antes de fazer qualquer coisa 
no sistema de outra pessoa, e, mesmo que seja 
 
combinado boca a boca, o profissional sempre deverá 
ter a assinatura do possível cliente autorizando um 
teste de invasão. 
	
• Pergunta 8 
1 em 1 pontos 
 
Não adianta saber fazer uma auditoria de segurança como ninguém, saber 
todas as técnicas de invasões possíveis, saber apresentar um relatório 
perfeito para o cliente, se não tiver os recursos necessários para conseguir 
executar tudo isso, desde o hardware, sistemas operacionais, até 
programas. 
Assim sendo, assinale a alternativa correta sobre qual é a melhor maneira, 
tratando-se de hardware, para usar os sistemas operacionais focados em 
segurança. 
 
Resposta	Selecionada:	 
Instalar o SO na máquina física. 
Resposta	Correta:	 
Instalar o SO na máquina física. 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois a 
máquina física dá o recurso máximo para que se 
consiga exercer tudo que um teste de segurança 
requer. Existem certas ferramentas que não utilizam 
tanto do hardware, porém há ferramentas que exigem 
bastante, e o SO estar na máquina física é a melhor 
condição para se trabalhar. 
	
 
• Pergunta 9 
1 em 1 pontos 
 
Existem diversos sistemas operacionais para fazer teste de invasões e 
focados na parte de segurança nos dias atuais, porém é importante saber 
no que esses sistemas foram baseados, onde começaram e qual é sua 
base. Tecnicamente, são informações importantes que ajudam o 
profissional de segurança da informação a resolver algumas situações. 
Nesse sentido, assinale a alternativa que indica um sistema operacional de 
propósito geral, que não é focado especificamente em testes de invasão. 
 
Resposta	Selecionada:	 
Ubuntu Linux. 
Resposta	Correta:	 
Ubuntu Linux. 
 
Comentário	
da	resposta:	
Resposta correta. A alternativa está correta, pois o 
Ubuntu Linux é somente uma distribuição Linux, para 
usuários comuns utilizarem para fazer suas tarefas do 
dia a dia, e não para realizar testes de segurança. É 
possível baixar ferramentas no Ubuntu, porém não é o 
foco dele. 
	
• Pergunta 10 
0 em 1 pontos 
 
Muitas pessoas confundem o teste de invasão com a análise de 
vulnerabilidade, cometendo erros até na prática na hora de entregar o 
produto para a empresa. Dessa forma, assinale a alternativa correta que 
descreva o que seria o processo de análise de vulnerabilidade. 
 
Resposta	
Selecionada:	
 
A análise de vulnerabilidade é somente uma fase de 
exploração das falhas. 
Resposta	
Correta:	
 
A análise de vulnerabilidade apenas encontra 
vulnerabilidades, não precisando consertá-las. 
Comentário	
da	resposta:	
Sua resposta está incorreta. A alternativa está incorreta, 
pois as vulnerabilidades, em uma análise de 
vulnerabilidades, devem sim ser reportadas, já que elas 
fazem parte do escopo. Essa análise não corrige as 
falhas. Isso está no escopo do Pentest e passa muito 
longe de ser um scan de antivírus ou uma exploração 
de falhas como um Google Hacking.