SEGURANÇA EM AMBIENTE WEB

Prévia do material em texto

SEGURANÇA NO AMBIENTE WEB
· Pergunta 1
1 em 1 pontos
	
	
	
	Uma organização por menor que seja está sujeita a riscos. Um exemplo disso pode ser eventos da natureza, como enchentes, tempestades, etc. Eventos esses que podem disparar incidentes e causar enormes danos a uma organização.
Para conhecer e se preparar melhor para o risco existem uma série de processos que visam avaliar o risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 De acordo com o material estudado cite alguns exemplos de processos de gerenciamento de risco.
	
	
	
	
		Resposta Selecionada:
	 
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Resposta Correta:
	 
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Comentário da resposta:
	Resposta correta: A alternativa está correta, pois as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Por meio dessas boas práticas pode-se gerenciar melhor o risco. Essas normas são a base de referência na especificação dos riscos, ISO 27001 e 27002 atribuem as especificações dos riscos dentro dos ativos corporativos e no guia da melhores práticas de projetos PMBOK, encontramos as melhores práticas de gerenciamento dos riscos em projetos reais, abrangendo toda área de desenvolvimento.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	 Uma organização pode levantar suas ameaças com base em normas e boas práticas. De acordo com o objetivo de uma organização essas ameaças podem receber prioridades diferentes do que em outras organizações. Logo, deve-se conhece-as e tomar medidas necessárias envolvendo custo e prazo.
As ameaças são oriundas de incidentes não desejados. Eles podem tanto trazer grandes prejuízos como não. Onde, é importante saber quais são os principais tipos de ameaça existente.
 
Goodrich, M. T. e Tamassia, R. Introdução à Segurança de Computadores. Editora Bookman, 2013.
 
Com base nos tipos de ameaça escolha a opção que melhor a descreva:
	
	
	
	
		Resposta Selecionada:
	 
Humanas e não-humanas
	Resposta Correta:
	 
Humanas e não-humanas
	Comentário da resposta:
	Resposta correta: A alternativa está correta, pois os tipos de ameaça podem ser humanas que podem variar entre intencionais e não intencionais. Enquanto que a não humanas podem estar relacionadas a eventos da natureza, como incêndios, enchentes, sobrecargas elétricas, etc.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Quando se tem uma vulnerabilidade abre-se espaço para agentes ameaçadores. Em consequência, pode-se resultar em incidentes que podem causar inúmeros prejuízos a uma organização.
Para evitar uma ameaça deve-se tomar contramedidas específicas e eficientes que podem minimizar o impacto, resultando em uma melhor proteção da organização.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nas medidas de proteção escolha a opção abaixo que melhor represente uma ação tomada antes da ocorrência de um incidente.
	
	
	
	
		Resposta Selecionada:
	 
Preventiva
	Resposta Correta:
	 
Preventiva
	Comentário da resposta:
	Resposta correta: A alternativa está correta, pois uma medida preventiva visa antecipar um incidente. Por exemplo, sabe-se que o número de furtos a carro é bastante elevado no Brasil e uma pessoa precavida faz um seguro, além disso colocam medidas de segurança como alarmes e rastreadores.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	 Infelizmente, uma ameaça está presente em todas as organizações. E ignorá-las é um erro muito comum dentro de uma organização. Ou por desconhecimento ou simplesmente por contenção de despesas. Isso é aceitável, pois a aplicação de normas e boas práticas requer tempo e investimento, coisas que nem todas as organizações estão dispostas a gastar.
Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e por meio de um software de monitoramento é possível saber o momento que ela acontece. Uma vez detectada toma-se medidas para resolvê-la.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada existe uma outra medida que também está relacionada com as demais. Seu principal objetivo é solucionar/reduzir o dano causado pelo incidente. Marque a alternativa que melhor descreva essa medida.
	
	
	
	
		Resposta Selecionada:
	 
Repressão
	Resposta Correta:
	 
Repressão
	Comentário da resposta:
	Resposta Correta: A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida pode-se apenas invadir, mas com ações adequadas pode-se bloquear o agente causador antes de obter qualquer informação.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Gerenciar o risco é imprescindível para mapeamento os ativos de uma organização. Em consequência, pode-se identificar as vulnerabilidades, ponderá-los estatisticamente e equilibrar seus os custos.
A tolerância ao risco (aceitar) é uma das estratégias mais simples para contramedidas. Por meio delas podemos simplesmente aceitar o risco como ele é. É chegado a essa conclusão porque ou a contramedida é tão inviável (financeiramente/tempo) que é melhor aceitar o dano ou simplesmente o dano causado não causa grandes prejuízos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nas estratégias de contramedidas de risco marque a alternativa que melhor descreva a estratégia que visa neutralizar um risco.
	
	
	
	
		Resposta Selecionada:
	 
Prevenção
	Resposta Correta:
	 
Prevenção
	Comentário da resposta:
	Resposta correta: A alternativa está correta, A prevenção é a estratégia que visa eliminar um risco com uma contramedida adequada, prevenir sempre terá um investimento menor do que controles de recuperação, toda vez que conseguir antecipar determinado risco, o seu tratamento é em torno de 90% menor no custo dos controles, sempre será mais barato prevenir do que consertar ou recuperar o que já foi perdido..
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Eles podem estar as vezes explícitos, bem como implícitos, dificultando dimensionar seu dano real. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira.
Na avaliação de riscos, independentemente do modelo de processo utilizado temos que saber a dimensão do risco. A partir dele podemos definir custos e estratégias apropriadas.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado identifique as principais formas de se medir um risco:
~Resposta correta: A alternativa está correta, pois para se medir um risco utilização duas formas básicas, a análise quantitativa (considera-se números tangíveis, como custos, quantidade de acesso...). Por outro lado, o qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco.
	
	
	
	
		Resposta Selecionada:
	 
Quantitativa e qualitativa
	Resposta Correta:
	 
Quantitativa e qualitativa
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Uma vez conhecido o risco, priorizado e medido deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco.
Quando se identifica um risco temos que definir uma contramedida. Nem sempre é que esperamos,mas seu custo pode até ultrapassar o dano causado pelo risco. Logo, tornando a contramedida inviável.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nesse contexto escolha a alternativa abaixo que apresenta as estratégias estudadas:
	
	
	
	
		Resposta Selecionada:
	 
Tolerância, redução e prevenção
	Resposta Correta:
	 
Tolerância, redução e prevenção
	Comentário da resposta:
	Resposta correta: A alternativa está correta, pois  uma vez identificado o risco devemos tomar um contramedida e basicamente podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). A escolha está associada ao custo e tempo despendidos para a contramedida.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	 Sabemos que gerenciar os riscos é a melhor opção para conhecer os ativos mais importantes como a sua prioridade. Por meio do gerenciamento também pode-se realizar medidas para verificar se os controles realizados estão realmente sendo efetivos ou não.
Ao se conhecer o risco e perceber que o mesmo pode causar poucos danos, resultando em prejuízos menores pode-se escolhe-se uma medida protetiva adequada com menores custos.
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
Escolha a opção abaixo que melhor a descreva:
	
	
	
	
		Resposta Selecionada:
	 
Aceitação
	Resposta Correta:
	 
Aceitação
	Comentário da resposta:
	Resposta correta: A alternativa está correta, Quando uma ameaça não causa tanto dano uma boa opção é aceitá-las. Assim, mesmo que ocorra o prejuízo é baixo. Às vezes uma contramedida pode ser mais cara que o próprio risco em si, toda vez que o controle e correção for mais alto seu custo a melhor opção é aceitar o risco, mas o mesmo deve estar dentro de um parâmetro de danos mínimos e não impactantes..
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	 Um agente ameaçador pode aproveitar de vulnerabilidades de uma organização para realizar uma série de ataques. Realizar contramedidas adequadas auxiliam a organização e minimizar tais danos.
Um evento anormal pode disparar um incidente, que consequentemente pode gerar uma ameaça. Essas ameaças podem ser originadas a partir de vários fatores, como exemplo de um ex-empregado que estava insatisfeito com seu salário ou falta de reconhecimento.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base nos motivos de agentes ameaçadores tentarem invadir/roubar/etc uma organização escolha a opção que pode ser uma de suas intenções/estratégias:
	
	
	
	
		Resposta Selecionada:
	 
Notoriedade
	Resposta Correta:
	 
Notoriedade
	Comentário da resposta:
	Resposta correta: A alternativa está correta, pois a notoriedade pode ser um dos motivos que levam a agentes ameaçadores a invadirem/roubar informações. Quanto mais der repercussão na mídia/mercado mais o nome do agente será respeitado em relação a outros agentes.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Vimos os conceitos de evento e incidente e eles podem confundir a princípio, mas perceba que um pode iniciar o outro até chegar em um dano, ocasionando prejuízos a uma organização. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, onde pode-se abrir oportunidades para ataques.
Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo (algo importante/tem valor da organização). Em consequência um incidente pode ocorrer pelo gatilho de um ou mais eventos.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base no texto anterior e no material de estudo escolha a opção abaixo que melhor descreve o conceito de “incidente não desejado”.
	
	
	
	
		Resposta Selecionada:
	 
Ameaça
	Resposta Correta:
	 
Ameaça
	Comentário da resposta:
	Resposta correta: A alternativa está correta, A ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, toda ameaça deve ser classificada e visto o seu grau de impacto nas operações da organização, desta forma podemos traçar estratégias de contenção em casos de ameaças críticas..