N2 Auditoria de Segurança da Informação

Prévia do material em texto

N2 Auditoria _ Segurança da Informação
· Pergunta 1
1 em 1 pontos
	
	
	
	Hoje, muito se fala em recursos para hacking, contudo existem também recursos que nos possibilitam chegar longe na área de segurança da informação quando combinados com o conhecimento técnico necessário, podendo ajudar muito a vida de indivíduos e organizações. Assinale a alternativa correta que aponta um desses recursos.
	
	
	
	
		Resposta Selecionada:
	 
Kali Linux.
 
 
	Resposta Correta:
	 
Kali Linux.
 
 
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois o Kali Linux, baseado em Debian, foi criado justamente para auditoria de segurança, seja para um Pentest interno ou externo. É possível usá-lo em máquina física, máquina virtual e até em Live CD.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Para uma empresa se proteger, principalmente na parte técnica, é fundamental trabalhar na sua prevenção, para que atacantes criminosos não consigam entrar facilmente no sistema dela. Quanto mais a empresa se encontra blindada e com prevenções bem definidas, mais difícil é algum atacante hacker conseguir ter êxito no hackeamento.
 
A respeito da questão colocada sobre prevenção, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Para que as empresas estejam prevenidas, é muito importante contratar ou ter um profissional de segurança para fazer um teste de invasão no próprio sistema. Assim, verifica-se se existem vulnerabilidades e, caso existam, confirmam-se quais são.
II. ( ) É muito importante esperar a empresa ser atacada primeiro, para depois verificar e fazer a prevenção.
III. ( ) Sem que a empresa seja atacada por criminosos, não há como saber quais medidas de segurança se deve tomar.
IV. ( ) Para uma segurança forte e preventiva, basta colocar qualquer funcionário de TI para fazer as seguranças básicas, mesmo não sendo especialista na área, pois todo TI entende de tudo o que envolve tecnologia.
 
Assinale a alternativa que apresenta a sequência correta.
	
	
	
	
		Resposta Selecionada:
	 
V, F, F, F.
	Resposta Correta:
	 
V, F, F, F.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois apresenta sequência adequada. Para que as empresas tenham uma segurança acertada, é bastante recomendado pelo menos um teste de invasão a cada seis meses, pois a tecnologia se renova a cada dia, mais atualizações são feitas, e as vulnerabilidades vão surgindo. Quando espera sofrer um ataque antes de ser feita uma prevenção, você não estará prevenindo a empresa, e sim estancando apenas uma sangria. Você mesmo pode simular um ataque na empresa ou pedir para um terceirizado fazer isso, procurando vulnerabilidades e sempre ir blindando a empresa. E, de preferência, esse profissional deve ser especialista na área e segurança da informação.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	O nome “engenharia” é comumente empregado, pelos populares, quando se constroem mecanismos para resolver um problema ou arquitetar uma solução. Na área da segurança da informação, a engenharia social tem um significado bastante particular. Assim sendo, assinale a alternativa correta sobre o que é engenharia social.
	
	
	
	
		Resposta Selecionada:
	 
Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa.
	Resposta Correta:
	 
Engenharia social é quando um atacante consegue informações de uma empresa, fazendo um ataque por meio de técnicas como enganar alguém por conversa.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a engenharia social é utilizada justamente para evitar vestígios, então não é usado nenhum tipo de técnica de um computador, somente a lábia, uma ligação telefônica, em que o atacante extrai informações sem que a vítima perceba. O foco da engenharia social são as pessoas, e não diretamente a tecnologia em si. Portanto, a engenharia social tem bastante a ver com conceitos psicológicos do comportamento humano.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Na segurança da informação, temos alguns fundamentos que são a raiz de todo o processo de uma auditoria de segurança, ou seja, a estrutura de um modelo que precisa ser seguido para que toda a auditoria seja feita de forma correta e coerente. Sem essas colunas-base, o profissional de segurança se encontra perdido no meio de tanta informação para proteger e auditar. Desse modo, assinale a alternativa mais adequada sobre quais são os fundamentos corretos.
	
	
	
	
		Resposta Selecionada:
	 
Autenticidade, confidencialidade, disponibilidade, integridade, legalidade.
	Resposta Correta:
	 
Autenticidade, confidencialidade, disponibilidade, integridade, legalidade.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a autenticidade garante que uma mensagem não seja alterada; a confidencialidade, que haja sigilo; a disponibilidade, que a informação esteja sempre disponível; a integridade, que se mantenha íntegra; e a legalidade, que todo o processo não tenha problemas com a lei.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Após realizar todos os tipos de testes técnicos, análises, auditorias e testes de intrusão, ainda existem falhas que comprometem as empresas, e essas falhas geralmente são os seres humanos, que, muitas vezes, podem ser persuadidos sem perceber e passar informações sigilosas.
 
Assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
Sempre forneça senha do wi-fi diferente entre visitante e colaborador.
	Resposta Correta:
	 
Sempre forneça senha do wi-fi diferente entre visitante e colaborador.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a empresa deve ficar prevenida sempre em relação a esse tipo de ataque, já que, mantendo uma mesma rede, com uma mesma senha tanto para colaboradores quanto para visitantes, pode ocorrer um ataque à rede interna caso o wi-fi da empresa seja hackeado. Ocorre que monitorar os acessos dos colaboradores é algo menos oneroso do que controlar os acessos de terceiros (indivíduos que não são colaboradores – visitantes).
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	As normas ISO têm como objetivo garantir padrões e qualidade para uma melhor gestão e administração do negócio. Assim, as empresas utilizam desses certificados que são ganhos para propagandear e mostrar que estão preocupados com a segurança dos dados de seus clientes. Assim, geralmente a empresa consegue demonstrar muito mais confiança no mercado.
 
De acordo com a introdução, assinale a norma descrita que está correta.
	
	
	
	
		Resposta Selecionada:
	 
ISO 27001 – Norma antiga substituída pela atual norma BS779-2.
	Resposta Correta:
	 
ISO 27001 – Norma antiga substituída pela atual norma BS779-2.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a ISO 27001, na verdade, é bastante atual. A BS779-2 foi trocada pela 27001, e a ISO 27001 está muito relacionada a padrões da segurança da informação, sendo um certificado muito interessante e que dá credibilidade ao profissional.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Um ataque de engenharia social, caso tenha-se êxito, pode trazer grandes implicações e prejuízos à empresa, e, dependendo de que tipo de informação sigilosa o hacker conseguir, pode vir até a causar a falência de uma empresa e deixar diversas pessoas desempregadas, como já ocorreu.
Assim sendo, assinale a alternativa correta sobre as implicações de um ataque de engenharia social e quais são os agravantes.
	
	
	
	
		Resposta Selecionada:
	 
Coagir alguém para obter informações que levam a ganhos ilícitos.
	Resposta Correta:
	 
Coagir alguém para obter informações que levam a ganhos ilícitos.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois, por meio da engenharia social, obtendo informações consegue-se praticar diversos outros crimes, como ganhar a senha de usuário ou administrador, ganhar a chave ou o crachá de um funcionárioda empresa ou conseguir informações confidenciais, por exemplo. Tudo depende da técnica do atacante.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	Numa auditoria de segurança, aprendemos que há começo, meio e fim. Durante esse processo, é preciso saber quais técnicas usar e em que momento utilizá-las. Existem vários ataques os quais possibilitam que sejam feitos testes de invasões, sendo um muito utilizado: os Exploits. O que seriam esses Exploits?
	
	
	
	
		Resposta Selecionada:
	 
Exploração de falhas em softwares.
	Resposta Correta:
	 
Exploração de falhas em softwares.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois os Exploits são utilizados justamente para se localizarem falhas em softwares, ou seja, vulnerabilidades em aplicações. Há Exploits que podem causar até mesmo paralisação de uma aplicação e de um sistema inteiro. Ferramentas desse tipo estão disponíveis, por exemplo, em sistemas operacionais como o Kali Linux.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Quando falamos da área de segurança da informação, o Hardening atualmente é muito pouco protegido. Em 2012, por exemplo, foram descobertas falhas nos processadores fabricados pela Intel, ocasionando uma falha de segurança notada por usuários em todo o mundo. Desde então, muitas pessoas abriram seus olhos e começaram a se especializar mais em Hardening. Assinale a alternativa que apresenta no que consiste o Hardening.
	
	
	
	
		Resposta Selecionada:
	 
Consiste na implementação de máquinas seguras.
	Resposta Correta:
	 
Consiste na implementação de máquinas seguras.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a ideia do Hardening é justamente saber se aquele hardware está seguro para uso ou não. Acredite-se ou não, existem hackers especializados somente em achar vulnerabilidades usando hardware.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Não basta ter somente um “OK” do contratante para o teste de invasão, pois, se o profissional falar que fará X e, na verdade, fizer Y, de nada adiantou a documentação. A documentação deve estar sempre explícita, falando o que deverá ser feito para que o contratante consiga entender o que será feito e pelo que está pagando.
 
De acordo com o enunciado, analise as afirmativas a seguir sobre que tipos de informações deve ter na documentação para que ela seja válida e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s).
 
I. ( ) Um projeto de segurança.
II. ( ) Somente assinatura do contratante liberando os testes.
III. ( ) Uma programação de testes.
IV. ( ) Um escopo do que será testado.
 
Assinale a alternativa que apresenta a sequência correta.
	
	
	
	
		Resposta Selecionada:
	 
V, F, V, V
	Resposta Correta:
	 
V, F, V, V
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois apresenta sequência adequada. É muito importante que um projeto seja apresentado, que seja especificado tudo o que será testado e se determinarem datas para os testes que não atrapalhem a produção da empresa. O projeto de segurança deve ter todo um escopo, mostrando cada detalhe do projeto. A programação de testes deve sempre mostrar o que será alterado, que horário, que dia da semana, sempre o mais específico possível, e o escopo do que será testado sempre deverá estar em ordem e atualizado para que o contratante saiba exatamente o que será testado. Desse modo, ele se sentirá mais seguro e confiará melhor no profissional de segurança.
	
	
	
Sexta-feira, 28 de Maio de 2021 00h00min21s BRT