N2_A5

Prévia do material em texto

N2/A5
PERGUNTA 1
1. É muito comum pessoas se utilizarem de senhas fáceis com poucos dígitos. Entretanto, políticas de criação/manutenção de senhas devem ser definidas na organização. Caso não seja definido, um agente ameaçador poderá quebrá-la facilmente. Por esse motivo que um acesso bem seguro é quando se mistura diferentes técnicas de autenticação. Às vezes, utilizar-se de somente senha para garantir a autenticação não é uma boa opção, dependendo do contexto é mais interessante utilizar-se da autenticação por propriedade. Ela também é muito bem aceita, pois não exige muito esforço por parte do usuário. Essa técnica também pode ser utilizada com autenticação por conhecimento. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Conforme o assunto discutido no parágrafo anterior escolha a melhor sentença que o melhor o represente.
	
	
	É quando o usuário usa a biometria.
	
	
	É quando o usuário usa uma senha.
	
	
	É quando o usuário informa caracteres especiais com letras e números.
	
	
	É quando o usuário possui algo que lhe pertença, exemplo crachá.
	
	
	É quando o usuário se utiliza da sua digital.
1 pontos   
PERGUNTA 2
1. Um dos princípios mais críticos da tríade da Segurança da Informação é a confidencialidade. Ao se excluir esse princípio, terceiros podem assumir outras identidades, passando-se por seus reais proprietários e ocasionando uma série de problemas. Organizações que possuem seus negócios com base na confidencialidade (instituições financeiras, redes sociais) necessitam tomar medidas que minimizem tal dano. Dentre o universo de ataques, um dos meios mais eficazes de se obter informações confidenciais é por meio da engenharia social. Nem todos os membros de uma organização têm ideia de que podem ser alvos desse tipo de ataque. (KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.)
De acordo com o princípio de confidencialidade, avalie as assertivas a seguir. Em seguida, assinale a alternativa com as afirmativas corretas.
I.                    Treinar os empregados contra eventuais ataques de engenharia social, seguindo padrões estabelecidos pela organização.
II.                 Instalar softwares próprios e especializados para monitoramento, identificação de vírus, trojans etc.
III.              Minerar dados na entrada ao invés de na saída.
IV.              Otimizar o tempo médio de recuperação.
V.                Configurar softwares para serem desatualizados, evitando novos erros.
	
	
	III, IV
	
	
	IV, V.
	
	
	I, II.
	
	
	II, V.
	
	
	II, III.
1 pontos   
PERGUNTA 3
1. O risco é um termo presente em toda a nossa vida. Por exemplo, entrar no mar sem saber nadar traz consigo o risco de afogamento. Percebemos que o risco está associado a alerta/perigo e pode causar algum dano irreversível. Para a Segurança da Informação, o risco possui o mesmo sentido. É algo com que os gestores devem se preocupar para garantir maior segurança para a organização. Não é à toa que existem diversas normas, guias e processos para se gerenciar um risco. Consequentemente, o gerenciamento ajuda a conhecê-lo e definir contramedidas. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
De acordo com a definição da palavra risco para a Segurança da Informação, assinale a alternativa que melhor a descreva.
	
	
	Riscos são problemas simples que podem ser resolvidos com pouco custo.
	
	
	Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição.
	
	
	É o ato de definir contramedidas para garantir a segurança.
	
	
	É algo comum, porém devemos apenas observá-lo.
	
	
	Eles ocasionam os mesmos impactos para diferentes organizações.
1 pontos   
PERGUNTA 4
1. Uma análise de risco bem elaborada resultará em maior segurança para a organização. Com o gerenciamento de riscos, podemos minimizar as vulnerabilidades e, consequentemente, as possíveis ameaças. Entretanto, a análise deve estar em sinergia com o alinhamento estratégico da organização, em que cada ativo possui seu grau de importância de acordo com o negócio. Basicamente, quando consideramos os riscos, temos quatro objetivos. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
De acordo com o material estudado, identifique os objetivos principais da análise de risco.
	
	
	Modificar estatisticamente o custo do incidente.
	
	
	Escolher processos/normas fora da ISO e PMI.
	
	
	Terceirizar a mão de obra com base no orçamento da organização.
	
	
	Mapear ativos, identificar vulnerabilidades e ameaças, ponderar estatisticamente o risco e equilibrar custos.
	
	
	Alterar leis e regulamentos em vigência.
1 pontos   
PERGUNTA 5
1. A perícia forense é um tipo de perícia criada para o combate de crimes digitais, através do uso de análises e métodos de identificação e coleta de evidências. Existem várias ferramentas no mercado que foram desenvolvidas especialmente para a área de perícia computacional. Algumas delas são uma fase específica da perícia, enquanto outras possuem um conjunto de ferramentas que podem ser utilizadas em todas as etapas da investigação computacional. (ELEUTÉRIO, P. M. S.; MACHADO, M. P. Desvendando a computação forense. São Paulo: Novatec, 2011.)
Qual é o software que possui mais de 300 ferramentas capazes de realizar testes e análiseS de vulnerabilidade e que é bastante utilizado para encontrar furos em sistemas e sites invadidos por criminosos virtuais? Assinale a alternativa correta.
	
	
	Caine
	
	
	Backtrack.
	
	
	PeriBR.
	
	
	EnCase.
	
	
	SIFT.
1 pontos   
PERGUNTA 6
1. Além de políticas de segurança lógicas e físicas, uma organização deve se preocupar com políticas que visam prevenir ameaças da natureza, como incêndios, alagamento, terremotos, etc. Geralmente, para se prevenir contra essas ameaças, sistemas de backup ficam em localizações diferentes. Caso ocorra algum problema, não destrua todas as informações, pois é muito improvável que ações na natureza ocorram de forma simultânea em locais diferentes. Esse tipo de política de segurança está além da definição física ou lógica. Visto que, tais eventos podem ter resultados catastróficos, logo medidas de contenção devem ser elaboradas a fim de minimizar os danos. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
De acordo com o texto anterior e com o material estudado escolha a opção que descreva esse tipo de política de segurança.
	
	
	Política de segurança ambiental.
	
	
	Política de segurança externa.
	
	
	Política de segurança física.
	
	
	Política de segurança lógica.
	
	
	Política de segurança institucional.
1 pontos   
PERGUNTA 7
1. Em um ambiente organizacional, se preocupar com o descarte de informações é um fator bastante crítico. Pois, descartar informações (relatórios, equipamentos de armazenamento) sem um devido tratamento pode acarretar em uma espionagem. Onde, um agente ameaçador pode vascular as informações descartadas a fim de obter algum tipo de vantagem sobre o sistema. Vimos todas as etapas de um controle de acesso, entretanto pode-se negligenciar essa segurança no momento de seu descarte. Esse tipo de ação é definido nas políticas de riscos de uma organização. Ao se ter acesso a esses dados, mesmo que desatualizado, é possível ter uma visão maior do todo, colhendo informações importantes/vitais. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação : com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
De acordo com o contexto de descarte de informações selecione uma sentença que apresente itens que devem ser observados durante o descarte.
	
	
	Políticas e gestão.
	
	
	Indivíduos e dados.
	
	
	Processos e softwares.
	
	
	Hardware e papeis.
	
	
	Software e contexto.
1 pontos   
PERGUNTA 8
1. Quandoadquirimos um serviço, sempre desejamos que esteja disponível sempre que julgarmos necessário. Por exemplo, telefonia móvel. Não adianta ter uma ultra velocidade na Internet se ela só funciona em horas distintas do dia. A partir do momento em que o serviço começa a falhar/cair, perde credibilidade. Em consequência, ficamos cada vez mais insatisfeitos, e há uma possibilidade maior em migrar para o concorrente. Dependendo da criticidade (nível de exigência) do sistema, é requisitada uma maior taxa de disponibilidade. Empresas de armazenamento de sites, por exemplo, informam seu uptime (capacidade de permanecer on-line) em torno de 99,95 até 100%. (KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.)
De acordo com a definição de disponibilidade, assinale a alternativa com o conceito de tempo médio para falha.
	
	
	Soma o tempo total de paralisação do serviço.
	
	
	Quantidade de tempo entre uma falha e outra.
	
	
	Tempo gasto para restabelecer o serviço manualmente.
	
	
	Tempo gasto para corrigir e voltar o serviço.
	
	
	Conta o tempo total de uma falha.
1 pontos   
PERGUNTA 9
1. A preocupação com a Segurança da Informação deve ser de todos os colaboradores da organização, e não apenas de um grupo de pessoas. Se não estiver na mente de todos, não haverá sucesso em nenhuma iniciativa de segurança. Em um mundo no qual a dependência da informação cresce a cada momento e vírus e casos de ataques de invasão aumentam exponencialmente, ganha importância ter um responsável ou patrocinador de iniciativas de segurança corporativa. Para tentar sanar essa preocupação, organizações estão investindo em profissionais de Segurança da Informação para trabalhar em equipe tendo a função de promover ataques aos sistemas, com o intuito de descobrir vulnerabilidades. (LYRA, M. R. Segurança e auditoria em sistemas de informação . Rio de Janeiro: Ciência Moderna, 2008. FONSECA, F. Cybersecurity: prepare-se para o pior. Fonte , Belo Horizonte, ano 14, n. 18, p. 109-115, dez. 2017.)
 
Qual é o nome desta equipe de profissionais?
	
	
	Red Team.
	
	
	Blue Team.
	
	
	Black Team.
	
	
	Green Team.
	
	
	Brown Team.
1 pontos   
PERGUNTA 10
1. No primeiro nível organizacional, tem-se a definição de como a empresa será no futuro. Esse conjunto de objetivos guiarão as ações/atividades, da organização, que serão desempenhadas por um período de tempo a fim de atingir o status desejado. Nesse primeiro nível, deve-se levar em consideração o mercado, focando principalmente na competitividade. Uma vez definida a estratégia a qual a organização deverá seguir, de médio a longo prazo, deve-se quebrar tais estratégias em atividades menores, geralmente em curto e médio prazo, direcionadas a setores da organização. (HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018.)
 
Conforme o último texto, escolha a opção abaixo a qual descreva qual nível organizacional está sendo discutido.
	
	
	Tático.
	
	
	Funcional.
	
	
	Estratégico.
	
	
	Operacional.
	
	
	Comercial.