ead 2 e 4

Prévia do material em texto

Pergunta 1
1 em 1 pontos
	
	
	
	Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil, é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
A respeito da análise qualitativa de risco, assinale a alternativa que apresente uma técnica de levantamento:
	Resposta Selecionada:
	 
Brainstorming.
	Resposta Correta:
	 
Brainstorming.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, conforme estudado durante a leitura do livro-texto, as principais técnicas utilizadas na análise qualitativa são: brainstorming, Delphi, entrevistas, discussões etc. Observa-se aqui que são exploradas técnicas que envolvem um grupo de pessoas.
	
	
	
	
· Pergunta 2
· 1 em 1 pontos
	
	
	
	Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões, é possível identificar e priorizar os principais ativos de uma organização. Dentre o universo de diferentes tipos de ataques, existe um, que é muito comum e que visa sobrecarregar algum serviço (por exemplo, de um site) enviando milhares de requisições. 
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
A respeito dos tipos de ataque, assinale a alternativa que identifique a ameaça que visa sobrecarregar algum serviço enviando milhares de requisições:
	Resposta Selecionada:
	 
Negação de serviço (DoS – Denial of Service).
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a negação de serviço visa indisponibilizar as operações oferecidas. Por meio de inúmeras requisições, é possível sobrecarregar o servidor e desligar, ou torná-lo tão lento que não será viável operá-lo. Existe uma variante dele, que é a negação de serviço distribuída. A sua diferença é que, com esse ataque, usam-se milhares de computadores sequestrados.
	
	
	
	
· Pergunta 3
· 1 em 1 pontos
	
	
	
	Há também um tipo de ataque de que visa obter informações sobre uma determinada organização ou indivíduo por meio de seus funcionários/pessoas próximos. Ele busca explorar a boa-fé das pessoas a fim de obter algum tipo de informação sigilosa.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que represente tal conceito:
	Resposta Selecionada:
	 
Engenharia social.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a engenharia social é, sem dúvida, um meio de ataque muito poderoso. Ele visa obter informações de pessoas novatas ou que não conhecem a importância da informação. Por meio dela, dados sigilosos/importantes podem ser obtidos com uma boa conversa e um sorriso no rosto.
	
	
	
	
· Pergunta 4
· 1 em 1 pontos
	
	
	
	Uma avaliação de risco é uma análise completa do seu local de trabalho para identificar coisas, situações, processos etc. que podem causar danos, principalmente às pessoas. Após a identificação, você analisa e avalia a probabilidade e a gravidade do risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta exemplos de processos de gerenciamento de risco:
	Resposta Selecionada:
	 
Podem-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, de acordo com o que foi visto durante os estudos e baseado na citação do enunciado, as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Desse modo, por meio dessas boas práticas pode-se gerenciar melhor o risco.
	
	
	
	
· Pergunta 5
· 1 em 1 pontos
	
	
	
	O ataque via cavalo de Troia tem como objetivo esconder-se na máquina-alvo e em um tempo oportuno efetuar uma série de coletas de informações ou simplesmente causar algum prejuízo. Ele pode colher cookies , senhas, números de cartões, informações de redes sociais etc. Por meio desse tipo de ataque, é possível se instalar novos programas, além de alterar configurações no navegador.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que descreva a definição apresentada:
	Resposta Selecionada:
	 
Spyware.
	Resposta Correta:
	 
Spyware.
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois um spyware tem como objetivo obter informações confidenciais de suas vítimas. Por meio de softwares maliciosos, é possível capturar teclas e até prints da tela. Esse tipo de ataque é bastante usado para a obtenção de senhas e números de cartões de crédito.
	
	
	
	
· Pergunta 6
· 1 em 1 pontos
	
	
	
	Uma vez conhecido o risco, priorizado e medido, deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco. Quando se identifica um risco, temos de definir uma contramedida. Nem sempre é o que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco, tornando a contramedida inviável.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Nesse sentido, assinale a alternativa que apresenta as estratégias estudadas:
	Resposta Selecionada:
	 
Tolerância, redução e prevenção.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, no livro-texto, vimos que, uma vez identificado o risco, devemos tomar uma contramedida, que, basicamente, podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). Note que a escolha de qual contramedida tomar está associada ao custo e tempo despendidos para a contramedida.
	
	
	
	
· Pergunta 7
· 1 em 1 pontos
	
	
	
	Uma organização deve conhecer bem as suas ameaças. Por meio da identificação delas, é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Isso está diretamente ligado aos ativos da organização. Em uma organização, têm-se ativos que são os alvos favoritos de ameaças.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique os principais ativos de uma organização:
	Resposta Selecionada:
	 
Propriedade intelectual, dados financeiros e disponibilidade.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois os principais ativos de uma organização são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos para a definição apropriada de contramedidas.
	
	
	
	
· Pergunta 8
· 1 em 1 pontos
	
	
	
	Uma organização sem o conhecimento de seus riscos nunca estará segura, pois poderá estar vulnerável a qualquer tipo de ameaça. Sabe-se que, para realizar uma avaliação de risco adequada, devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e, por fim, as regras de negócios.
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Com base na avaliação de risco estudada, assinale a alternativa que indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos.Resposta Selecionada:
	 
Podem-se identificar, priorizar e medir os riscos.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois, durante os estudos, você viu que, quando avaliamos os riscos, estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. De posse dessa definição, será a partir daí que podemos medi-los para uma efetiva contramedida.
	
	
	
	
· Pergunta 9
· 1 em 1 pontos
	
	
	
	Apesar de existirem inúmeros tipos de ataques, efetuá-los de maneira manual é, sem dúvida, dispendioso, pois o ataque deve ser rápido e objetivo. Para isso, pode-se contar com sistemas que visam automatizar seus ataques, trazendo uma maior e mais eficiente organização. Um exemplo desse tipo de ferramenta é o Kali do Linux.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Nesse sentido, assinale a alternativa que indique quais os tipos de ferramentas utilizadas em ataques:
	Resposta Selecionada:
	 
Varreduras de vulnerabilidades, portas, captura de teclado etc.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois as ferramentas visam buscar alvos fáceis em um conjunto de inúmeras possibilidades. Por exemplo, com o Kali do Linux, é possível ver se um determinado sistema possui brecha para SQL Injection, senhas comuns etc. Porém, tais ferramentas podem ser úteis para uma organização, na medida em que se pode identificar suas vulnerabilidades primeiramente.
	
	
	
	
· Pergunta 10
· 1 em 1 pontos
	
	
	
	Infelizmente, uma ameaça está presente em todas as organizações. Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e, por meio de um software de monitoramento, é possível saber o momento que ela acontece. 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002 . São Paulo: Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada, existe outra medida cujo principal objetivo é solucionar/reduzir o dano causado pelo incidente. Assinale a alternativa que melhor descreva essa outra medida:
	Resposta Selecionada:
	 
Repressão.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização, deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida, pode-se apenas invadir, mas, com ações adequadas, pode-se bloquear o agente causador antes de obter qualquer informação.
	
	
	
	
Terça-feira, 27 de Outubro de 2020 18h21min06s BRT
Pergunta 1
1 em 1 pontos
	
	
	
	Para que seja considerada "computação em nuvem", você precisa acessar seus dados ou programas pela Internet, ou pelo menos ter esses dados sincronizados com outras informações na Web. No entanto, ainda existem preocupações com a segurança, especialmente para as empresas que movem seus dados entre muitos serviços em nuvem, o que levou ao crescimento de ferramentas de segurança em nuvem.
 
Como é possível obter a confidencialidade destes dados e informações na nuvem?
	Resposta Selecionada:
	 
Ao restringir o acesso à informação
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois dados restritos são quaisquer informações confidenciais ou pessoais protegidas por lei ou política e que exigem o mais alto nível de controle de acesso e proteção de segurança, seja no armazenamento ou em trânsito. Restringindo o acesso aos dados podemos garantir a confidencialidade.
	
	
	
	
· Pergunta 2
· 1 em 1 pontos
	
	
	
	Os serviços de computação em nuvem abrangem uma vasta gama de opções, desde o básico de armazenamento, rede e poder de processamento até processamento de linguagem natural e inteligência artificial, além de aplicativos padrões de escritório. Devido ao grande número de opções, cresce a preocupação com a segurança. 
 
Dentre as afirmações a seguir, marque a correta:
	Resposta Selecionada:
	 
Diferentes tipos de modelos de serviço de computação em nuvem fornecem diferentes níveis de serviços de segurança
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois cada tipo de serviço de computação em nuvem fornece diferentes níveis de serviço de segurança, por exemplo, você obtém a menor quantidade de segurança integrada com um provedor de Infraestrutura como serviço e o máximo com um provedor de software como serviço.
	
	
	
	
· Pergunta 3
· 1 em 1 pontos
	
	
	
	Nos termos mais simples, computação em nuvem significa armazenar e acessar dados e programas pela Internet, em vez do disco rígido do computador. A nuvem é apenas uma metáfora da Internet. Algumas empresas podem relutar em hospedar dados confidenciais em um serviço que também é usado por concorrentes. Mudar para um aplicativo SaaS (Software como Serviço) também pode significar que você está usando os mesmos aplicativos que um concorrente, o que pode dificultar a criação de qualquer vantagem competitiva se esse aplicativo for essencial para os seus negócios.
 
Qual dos seguintes riscos é realmente aumentado por tecnologias de segurança específicas da nuvem?
 
	Resposta Selecionada:
	 
Ataque de superfície
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois um ataque de superfície é a soma total de vulnerabilidades que podem ser exploradas para realizar um ataque de segurança. Os ataques de superfície podem ser físicos ou digitais. Para manter a rede segura, os administradores de rede devem procurar proativamente maneiras de reduzir o número e o tamanho dos ataques de superfície.
	
	
	
	
· Pergunta 4
· 1 em 1 pontos
	
	
	
	Os modelos de computação em nuvem são quase infinitamente escaláveis. A nuvem se estende ao lado das necessidades flutuantes da organização, oferecendo disponibilidade ideal de recursos o tempo todo. Embora possa ser fácil começar a usar um novo aplicativo na nuvem, migrar dados ou aplicativos existentes para a nuvem pode ser muito mais complicado e caro.
 
Qual modelo de implantação em nuvem é operado exclusivamente para uma única organização e seus usuários autorizados?
 
	Resposta Selecionada:
	 
Nuvem privada
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois o modelo de implantação de nuvem privada se parece mais com o modelo de servidor interno tradicional. Em muitos casos, uma organização mantém uma nuvem privada no local e presta serviços a usuários internos por meio da intranet. Em outros casos, a organização contrata um fornecedor de nuvem de terceiros para hospedar e manter servidores exclusivos fora do local.
	
	
	
	
· Pergunta 5
· 1 em 1 pontos
	
	
	
	Uma auditoria de TI pode ser definida como qualquer auditoria que englobe a revisão e avaliação de sistemas automatizados de processamento de informações, processos não automatizados relacionados e as interfaces entre eles. As auditorias são sempre resultado de alguma preocupação com o gerenciamento de ativos. A parte envolvida pode ser uma agência reguladora, um proprietário de ativos ou qualquer parte interessada na operação do ambiente de sistemas. 
Qual configuração de auditoria controla os logs locais 
em um computador?
	Resposta Selecionada:
	 
Eventos de logon
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois a política de eventos de logon define a auditoria de todos os eventos gerados em um computador, usados ​​para validar as tentativas do usuário de efetuar logon ou logoff de outro computador. Para contas de usuário local (logins locais), esses eventos são gerados e armazenados no computador local quando um usuário local é autenticado nesse computador.· Pergunta 6
· 1 em 1 pontos
	
	
	
	Existem dois tipos de ameaça à segurança em IoT: ameaça humana e uma ameaça natural (terremoto, incêndio, enchente, tsunami, etc). Qualquer ameaça que ocorra devido a calamidades naturais pode causar danos graves aos dispositivos de IoT. Nesses casos, é criada uma volta para proteger os dados. Entretanto, qualquer dano a esses dispositivos não pode ser reparado. Por outro lado, fazemos tudo para conter as ameaças humanas aos dispositivos IoT. 
Assinale quais são os exemplos de ataque maliciosos:
	Resposta Selecionada:
	 
Reconhecimento cibernético e ataque de força bruta.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta.  A alternativa está correta, pois no reconhecimento cibernético o invasor usa técnicas para realizar espionagem no usuário alvo e obter acesso a informações secretas nos sistemas existentes. No ataque de força bruta os invasores tentam adivinhar a senha do usuário com a ajuda do software automatizado, que faz várias tentativas, a menos que obtenha a senha correta para conceder acesso.
	
	
	
	
· Pergunta 7
· 1 em 1 pontos
	
	
	
	O termo IoT refere-se a objetos que não estão mais relacionados apenas ao usuário, mas agora está conectado aos objetos circundantes, trocando dados e informações. Duas características de um objeto em IoT é que ele possa ser localizado e identificado em qualquer lugar no espaço e no tempo. Em IoT, depois que um dispositivo é identificado e autenticado, o sistema de controle de acesso precisa atribuí-lo a um segmento de rede específico automaticamente. 
 
Dentro deste contexto, quais são os três tipos de controle de acesso para um dispositivo IoT em um sistema de informação?
 
	Resposta Selecionada:
	 
administrativo, físico e técnico
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois os controles físicos descrevem qualquer coisa tangível usada para impedir ou detectar acesso não autorizado a áreas, sistemas ou ativos físicos (cercas, portões, biometria, etc). Os controles técnicos (também conhecidos como controles lógicos) incluem mecanismos de hardware ou software usados para proteger ativos (firewall, antivírus). Os controles administrativos referem-se a políticas, procedimentos ou diretrizes que definem práticas de pessoal ou de negócios de acordo com as metas de segurança da organização (treinamento de funcionários, por exemplo).
	
	
	
	
· Pergunta 8
· 0 em 1 pontos
	
	
	
	O planejamento da auditoria de TI envolve duas etapas principais. O primeiro passo é coletar informações e planejar um pouco. O segundo passo é entender a estrutura de controle interno existente. Mais e mais organizações estão adotando uma abordagem de auditoria baseada em riscos, usada para avaliar riscos e ajuda um auditor de TI a decidir se deve executar testes de conformidade ou substantivos. 
Quais ferramentas você pode usar para controlar a política de auditoria em computadores na sua rede?
 
	Resposta Selecionada:
	 
Configuração avançada de permissão e Diretiva de Grupo
	Resposta Correta:
	 
	Feedback da resposta:
	Sua resposta está errada.  A resposta está incorreta, pois as configurações avançadas de permissão controlam a criação da SACL (Listas de controle de acesso do sistema) usada para auditar os próprios objetos, não a política de auditoria. O Visualizador de Eventos é uma ferramenta que você pode usar para exibir o log de segurança dos resultados de uma auditoria de segurança.
	
	
	
	
· Pergunta 9
· 1 em 1 pontos
	
	
	
	Quando falamos em computação em nuvem, algumas empresas optam por implementar o Software como Serviço (SaaS), onde a mesma assina um aplicativo que acessa pela Internet. Também há PaaS (Plataforma como serviço), onde uma empresa pode criar seus próprios aplicativos. E, por fim, não se esqueça da poderosa infraestrutura como serviço (IaaS), na qual grandes empresas fornecem um backbone que pode ser "alugado" por outras empresas.
 
Qual é o principal benefício para o cliente ao usar uma solução em nuvem IaaS (Infraestrutura como Serviço)?
 
	Resposta Selecionada:
	 
Transferência do custo de propriedade
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta. A alternativa está correta, pois os benefícios da computação em nuvem incluem economia de custos (os departamentos de TI não precisam investir em servidores, armazenamento, instalações licenças etc.). No entanto, as organizações também devem levar em consideração os benefícios de ter uma equipe de TI que possa reagir de maneira mais rápida e eficaz a mudanças e oportunidades de negócios. Logo, todos estes custos são transferidos para o fornecedor do serviço.
	
	
	
	
· Pergunta 10
· 1 em 1 pontos
	
	
	
	Às vezes, as linhas entre a computação local e a computação em nuvem se confundem. Isso ocorre porque a nuvem faz parte de quase tudo em nossos computadores atualmente. Você pode facilmente ter um software local que utiliza uma forma de computação em nuvem para armazenamento. 
 
Qual é o benefício da disponibilidade de armazenamento na nuvem?
 
	Resposta Selecionada:
	 
O armazenamento adicional não requer orçamento para novos dispositivos de armazenamento maiores.
	Resposta Correta:
	 
	Feedback da resposta:
	Resposta correta.  A alternativa está correta, pois uma das grandes características da computação em nuvem é o fato de que toda a preocupação com a infraestrutura fica a cargo da empresa que fornece o serviço. Logo, se a capacidade de armazenamento em nuvem estiver em seu ponto máximo, quem deverá realizar a reconfiguração é a empresa fornecedora do serviço, e não a contratante, deste modo não é necessário orçamento para aquisição de novos dispositivos de armazenamento.
	
	
	
	
Terça-feira, 27 de Outubro de 2020 18h37min48s BRT