Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA NO AMBIENTE WEB · Pergunta 1 1 em 1 pontos Uma organização por menor que seja está sujeita a riscos. Um exemplo disso pode ser eventos da natureza, como enchentes, tempestades, etc. Eventos esses que podem disparar incidentes e causar enormes danos a uma organização. Para conhecer e se preparar melhor para o risco existem uma série de processos que visam avaliar o risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. De acordo com o material estudado cite alguns exemplos de processos de gerenciamento de risco. Resposta Selecionada: Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). Resposta Correta: Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). Comentário da resposta: Resposta correta: A alternativa está correta, pois as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Por meio dessas boas práticas pode-se gerenciar melhor o risco. Essas normas são a base de referência na especificação dos riscos, ISO 27001 e 27002 atribuem as especificações dos riscos dentro dos ativos corporativos e no guia da melhores práticas de projetos PMBOK, encontramos as melhores práticas de gerenciamento dos riscos em projetos reais, abrangendo toda área de desenvolvimento. · Pergunta 2 1 em 1 pontos Uma organização pode levantar suas ameaças com base em normas e boas práticas. De acordo com o objetivo de uma organização essas ameaças podem receber prioridades diferentes do que em outras organizações. Logo, deve-se conhece-as e tomar medidas necessárias envolvendo custo e prazo. As ameaças são oriundas de incidentes não desejados. Eles podem tanto trazer grandes prejuízos como não. Onde, é importante saber quais são os principais tipos de ameaça existente. Goodrich, M. T. e Tamassia, R. Introdução à Segurança de Computadores. Editora Bookman, 2013. Com base nos tipos de ameaça escolha a opção que melhor a descreva: Resposta Selecionada: Humanas e não-humanas Resposta Correta: Humanas e não-humanas Comentário da resposta: Resposta correta: A alternativa está correta, pois os tipos de ameaça podem ser humanas que podem variar entre intencionais e não intencionais. Enquanto que a não humanas podem estar relacionadas a eventos da natureza, como incêndios, enchentes, sobrecargas elétricas, etc. · Pergunta 3 1 em 1 pontos Quando se tem uma vulnerabilidade abre-se espaço para agentes ameaçadores. Em consequência, pode-se resultar em incidentes que podem causar inúmeros prejuízos a uma organização. Para evitar uma ameaça deve-se tomar contramedidas específicas e eficientes que podem minimizar o impacto, resultando em uma melhor proteção da organização. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. Com base nas medidas de proteção escolha a opção abaixo que melhor represente uma ação tomada antes da ocorrência de um incidente. Resposta Selecionada: Preventiva Resposta Correta: Preventiva Comentário da resposta: Resposta correta: A alternativa está correta, pois uma medida preventiva visa antecipar um incidente. Por exemplo, sabe-se que o número de furtos a carro é bastante elevado no Brasil e uma pessoa precavida faz um seguro, além disso colocam medidas de segurança como alarmes e rastreadores. · Pergunta 4 1 em 1 pontos Infelizmente, uma ameaça está presente em todas as organizações. E ignorá-las é um erro muito comum dentro de uma organização. Ou por desconhecimento ou simplesmente por contenção de despesas. Isso é aceitável, pois a aplicação de normas e boas práticas requer tempo e investimento, coisas que nem todas as organizações estão dispostas a gastar. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e por meio de um software de monitoramento é possível saber o momento que ela acontece. Uma vez detectada toma-se medidas para resolvê-la. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. Apesar de a medida de detecção ser bastante utilizada existe uma outra medida que também está relacionada com as demais. Seu principal objetivo é solucionar/reduzir o dano causado pelo incidente. Marque a alternativa que melhor descreva essa medida. Resposta Selecionada: Repressão Resposta Correta: Repressão Comentário da resposta: Resposta Correta: A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida pode-se apenas invadir, mas com ações adequadas pode-se bloquear o agente causador antes de obter qualquer informação. · Pergunta 5 1 em 1 pontos Gerenciar o risco é imprescindível para mapeamento os ativos de uma organização. Em consequência, pode-se identificar as vulnerabilidades, ponderá-los estatisticamente e equilibrar seus os custos. A tolerância ao risco (aceitar) é uma das estratégias mais simples para contramedidas. Por meio delas podemos simplesmente aceitar o risco como ele é. É chegado a essa conclusão porque ou a contramedida é tão inviável (financeiramente/tempo) que é melhor aceitar o dano ou simplesmente o dano causado não causa grandes prejuízos. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. Com base nas estratégias de contramedidas de risco marque a alternativa que melhor descreva a estratégia que visa neutralizar um risco. Resposta Selecionada: Prevenção Resposta Correta: Prevenção Comentário da resposta: Resposta correta: A alternativa está correta, A prevenção é a estratégia que visa eliminar um risco com uma contramedida adequada, prevenir sempre terá um investimento menor do que controles de recuperação, toda vez que conseguir antecipar determinado risco, o seu tratamento é em torno de 90% menor no custo dos controles, sempre será mais barato prevenir do que consertar ou recuperar o que já foi perdido.. · Pergunta 6 1 em 1 pontos Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Eles podem estar as vezes explícitos, bem como implícitos, dificultando dimensionar seu dano real. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira. Na avaliação de riscos, independentemente do modelo de processo utilizado temos que saber a dimensão do risco. A partir dele podemos definir custos e estratégias apropriadas. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. De acordo com o material estudado identifique as principais formas de se medir um risco: ~Resposta correta: A alternativa está correta, pois para se medir um risco utilização duas formas básicas, a análise quantitativa (considera-se números tangíveis, como custos, quantidade de acesso...). Por outro lado, o qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. Resposta Selecionada: Quantitativa e qualitativa Resposta Correta: Quantitativa e qualitativa · Pergunta 7 1 em 1 pontos Uma vez conhecido o risco, priorizado e medido deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco temos que definir uma contramedida. Nem sempre é que esperamos,mas seu custo pode até ultrapassar o dano causado pelo risco. Logo, tornando a contramedida inviável. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. Com base nesse contexto escolha a alternativa abaixo que apresenta as estratégias estudadas: Resposta Selecionada: Tolerância, redução e prevenção Resposta Correta: Tolerância, redução e prevenção Comentário da resposta: Resposta correta: A alternativa está correta, pois uma vez identificado o risco devemos tomar um contramedida e basicamente podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). A escolha está associada ao custo e tempo despendidos para a contramedida. · Pergunta 8 1 em 1 pontos Sabemos que gerenciar os riscos é a melhor opção para conhecer os ativos mais importantes como a sua prioridade. Por meio do gerenciamento também pode-se realizar medidas para verificar se os controles realizados estão realmente sendo efetivos ou não. Ao se conhecer o risco e perceber que o mesmo pode causar poucos danos, resultando em prejuízos menores pode-se escolhe-se uma medida protetiva adequada com menores custos. Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018. Escolha a opção abaixo que melhor a descreva: Resposta Selecionada: Aceitação Resposta Correta: Aceitação Comentário da resposta: Resposta correta: A alternativa está correta, Quando uma ameaça não causa tanto dano uma boa opção é aceitá-las. Assim, mesmo que ocorra o prejuízo é baixo. Às vezes uma contramedida pode ser mais cara que o próprio risco em si, toda vez que o controle e correção for mais alto seu custo a melhor opção é aceitar o risco, mas o mesmo deve estar dentro de um parâmetro de danos mínimos e não impactantes.. · Pergunta 9 1 em 1 pontos Um agente ameaçador pode aproveitar de vulnerabilidades de uma organização para realizar uma série de ataques. Realizar contramedidas adequadas auxiliam a organização e minimizar tais danos. Um evento anormal pode disparar um incidente, que consequentemente pode gerar uma ameaça. Essas ameaças podem ser originadas a partir de vários fatores, como exemplo de um ex-empregado que estava insatisfeito com seu salário ou falta de reconhecimento. Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014. Com base nos motivos de agentes ameaçadores tentarem invadir/roubar/etc uma organização escolha a opção que pode ser uma de suas intenções/estratégias: Resposta Selecionada: Notoriedade Resposta Correta: Notoriedade Comentário da resposta: Resposta correta: A alternativa está correta, pois a notoriedade pode ser um dos motivos que levam a agentes ameaçadores a invadirem/roubar informações. Quanto mais der repercussão na mídia/mercado mais o nome do agente será respeitado em relação a outros agentes. · Pergunta 10 1 em 1 pontos Vimos os conceitos de evento e incidente e eles podem confundir a princípio, mas perceba que um pode iniciar o outro até chegar em um dano, ocasionando prejuízos a uma organização. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, onde pode-se abrir oportunidades para ataques. Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo (algo importante/tem valor da organização). Em consequência um incidente pode ocorrer pelo gatilho de um ou mais eventos. Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014. Com base no texto anterior e no material de estudo escolha a opção abaixo que melhor descreve o conceito de “incidente não desejado”. Resposta Selecionada: Ameaça Resposta Correta: Ameaça Comentário da resposta: Resposta correta: A alternativa está correta, A ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, toda ameaça deve ser classificada e visto o seu grau de impacto nas operações da organização, desta forma podemos traçar estratégias de contenção em casos de ameaças críticas..
Compartilhar