QUESTÕES - SEGURANÇA EM CLOUD COMPUTING

Prévia do material em texto

SEGURANÇA EM CLOUD COMPUTING
Norma que trata da implementação operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI:
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
===============================================================================================
Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação:
PDCA
HIPAA
CMMI
SISP
3W5H
===============================================================================================
Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas.
Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e melhoria do SGSI.
Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão de Segurança da Informação.
Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria internas e análise de risco.
===============================================================================================
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
Suporte Técnico.
Auditoria.
Segregação de funções.
Conscientização dos usuários.
Procedimentos elaborados.
===============================================================================================
João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso, como denominamos este tipo de risco?
Risco verdadeiro.
Risco percebido.
Risco real.
Risco tratado.
Risco residual.
===============================================================================================
Existe uma série de benefícios na implementação da Gestão de Risco em uma organização. Analise as questões a seguir e identifique a opção que NÃO representa um benefício:
Melhorar a efetividade das decisões para controlar os riscos.
Eliminar os riscos completamente e não precisar mais tratá-los.
Melhorar a eficácia no controle de riscos.
Manter a reputação e imagem da organização.
Entender os riscos associados ao negócio e a gestão da informação.
Você trabalha na equipe de segurança de sua empresa e recebeu um estagiário para trabalhar na equipe. Ao chegar ele perguntou o conceito de risco. Você prontamente respondeu que Risco é....:
Probabilidade de uma ameaça explorar uma vulnerabilidade.
Probabilidade de um incidente ocorrer mais vezes.
Probabilidade de uma ameaça explorar um incidente.
Probabilidade de um ativo explorar uma ameaça.
Probabilidade de um ativo explorar uma vulnerabilidade.
===============================================================================================
João trabalha na área de gestão de risco da empresa Zanfas e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e, portanto, não vale a pena tratá-lo. Nesse caso, João:
Aceita o risco.
Rejeita o risco.
Ignora o risco.
Comunica o risco.
Trata o risco a qualquer custo.
===============================================================================================
Norma que tem como principal objetivo estabelecer orientações para Gestão de Riscos:
ISO 27001
ISO 27033
ISO 27002
ISO 27799
ISO 27005
===============================================================================================
Norma que tem como principal objetivo estabelecer, implementar e operar um Sistema de gestão de Segurança da Informação (SGSI):
ISO 27001
ISO 27006
ISO 27002
ISO 27004
ISO 27005
===============================================================================================
Norma que tem como objetivo fornecer diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles:
ISO 27001
ISO 27006
ISO 27002
ISO 27004
ISO 27005
===============================================================================================
Norma que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização.
ISO 27009
ISO 27014
ISO 27011
ISO 27799
ISO 27033
===============================================================================================
Na segurança física o primeiro tipo de controle que deve ser feito é _________________ . Esta é a primeira barreira que deve ser estabelecida.
O controle de acesso.
A leitura de cartão.
O leitor biométrico.
O man trap.
A trava de proteção.
===============================================================================================
Caracteriza-se por auxiliar na identificação, coibição e captura de invasores. Neste mecanismo somente uma pessoa pode ficar na área chamada de __________________.
Controle de acesso.
Sistema de vigilância eletrônico.
Man Trap.
Portão eletrônico.
Área biométrica.
===============================================================================================
Na implantação da Gestão de Continuidade de Negócios, é importante que a GCN esteja no nível mais alto da organização para garantir que:
As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
As metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas.
As metas e objetivos definidos sejam comprometidos por interrupções inesperadas.
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas.
===============================================================================================
A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Na adoção dessas medidas quais fatores deverão ser levado em consideração?
O período máximo de interrupção tolerável da atividade crítica, os custos de implementação de cada estratégia e as consequências de não se tomar uma ação.
O período máximo de interrupção tolerável da atividade crítica, a realização de auditoria e implementação de redundância.
Custos de implementação de cada estratégia, as consequências de não se tomar uma ação e a realização de auditoria.
As consequências de não se tomar uma ação, a realização de auditoria e implementação de redundância.
Custos de implementação de cada estratégia, as consequências de não se tomar uma ação e a implementação de redundância.
===============================================================================================
Na implantação da Gestão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:
As metas e objetivos definidos sejam comprometidos por interrupções inesperada 
As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 
As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas
As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas 
As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
===============================================================================================
Qual dos métodos de criptografia a seguir utiliza chave privada e pública?
Simétrica
Assimétrica
Composta
Criptoanálise
Quântica
===============================================================================================
Qual a técnica de criptografia que utiliza um processo matemático sobre uma mensagem, originando um valor numérico que é utilizado para medir a integridade dos dados?RSA
Hash
UDP
PGP
3DES
===============================================================================================
__________________________ valida a autenticidade da pessoa que assina um documento, bem como a integridade dos dados contidos no documento.
A assinatura digital
A esteganografia
O bit de paridade
A criptoanálise
A criptografia quântica
===============================================================================================
Qual dos tipos de codificação a seguir é baseado na inclusão de mensagens ocultas em figuras?
Transposição
Substituição
Embaralhamento
Esteganografia
Inclusão
===============================================================================================
Qual o ataque que tenta forjar um IP de um host de uma rede da qual não faz parte?
TCP SYN
Man in the Middle
Ip Spoofing
Null Session
SQL Injection
===============================================================================================
O ataque _______________________ caracteriza-se por atuar diretamente através da captura de dados entre dois pontos de transmissão.
TCP SYN
Man in the Middle
Ip Spoofing
Null Session
SQL Injection
===============================================================================================
O ataque ____________ têm como finalidade principal parar o serviço de um host de destino.
TCP SYN
DDoS
Ip Spoofing
Null Session
SQL Injection
===============================================================================================
Qual o estado de uma porta TCP durante o ataque TCP SYN?
SYN_WAIT
SYN_RECV
LISTENING
WAITING
SYN_END
===============================================================================================
Modelo de controle de acesso em que um usuário não pode ter um acesso de leitura a uma informação que tenha o nível de classificação mais alto do que o nível de permissão deste usuário e também não pode escrever em uma informação que tenha o nível de classificação inferior ao nível de permissão do usuário:
BIBA
TADACS
Bell La Padula
Clark-Wilson
Fluxo de informação
===============================================================================================
Neste modelo de controle de acesso o usuário pode ter um acesso de escrita a uma informação que tenha o nível de classificação mais alto do que o nível de permissão do usuário e também não poder ler em uma informação que tenha o nível de classificação inferior ao nível de permissão do usuário.
BIBA
TADACS
Bell La Padula
Clark-Wilson
Fluxo de informação
===============================================================================================
Modelo de controle de acesso baseado na premissa de integridade da informação. Neste modelo o usuário não pode ter acesso direto à informação, neste caso ele precisa acessar a informação através de uma aplicação que valide o usuário e avalie o nível de segurança requerido pela informação:
BIBA
TADACS
Bell La Padula
Clark-Wilson
Fluxo de informação
===============================================================================================
Modelo em que o administrador do sistema é responsável por atribuir as devidas permissões para os usuários.
Controle de acesso Mandatório.
Controle de acesso Discricionário.
Controle de acesso baseado em Cargo.
Controle de acesso baseado em Regras.
Controle Lógico.
===============================================================================================
O GRC é a integração no âmbito organizacional de três grandes ações:
Gestão, risco e conformidade.
Gerência, risco e conformidade.
Governança, gestão de risco e compliance.
Gestão de TI, Risco de TI e conformidade de TI.
Governança corporativa, risco de TI e conformidade.
===============================================================================================
Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve seguir:
Governança
Gestão
Compliance
Conformidade
Análise de risco
===============================================================================================
Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa:
Governança
Gestão
Compliance
Conformidade
Análise de risco
===============================================================================================
Ação fundamental para o GRC e considerada o ponto de partida para a implementação do Compliance nas organizações:
Conscientização da organização em SI.
Análise de risco.
Classificação da informação.
Auditoria periódica.
Continuidade de negócio.
===============================================================================================
Maria necessita implementar a gestão de risco na organização em que trabalha e para isso deseja adotar as melhores práticas no assunto e seguir a orientação de norma no assunto. Neste caso, Maria deseja utilizar uma norma específica para tratar da questão em sua organização. Qual das opções abaixo representa esta norma? 
ISO 27005 
ISO 27000 
ISO 27001 
ISO 27003 
ISO 27002
===============================================================================================
A norma ISO 27002 serve de orientação para as organizações implementarem controles de segurança da informação comum ente aceitos. Não faz parte dos controles desta norma:
Implementação de um SGSI 
Segurança nas operações 
Segurança física do ambiente 
Controle de acesso 
Segurança em processo de desenvolvi mento
===============================================================================================
Suponha que Maria deseja acessar os serviços oferecidos pelo seu Banco através da Internet. Como Maria podera ter certeza que as informações transmitidas entre ela e o banco e vice-versa, não foram alteradas durante a transmissão? NEste caso estamos falando de:
Não-Repudio
Autenticação
Confidencialidade
Integridade
Disponibilidade
===============================================================================================
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
Conscientização dos usuários.
Auditoria
Segregação de funções.
Suporte Técnico
Procedimentos elaborados
===============================================================================================
Se considerarmos as diferentes ações de implementação da segurança da informação em uma organização e sua abrangência organizacional, percebemos a importância da estruturação e do planejamento das ações de segurança em curso de forma a permitir que esta empresa possa organizar e monitorar a eficácia e eficiência destas ações. Neste sentido qual é a norma que trata especificamente sobre governança de segurança?
ISO 27014
ISO 27001
ISO 27002
ISO 27005
ISO 27000
===============================================================================================
Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve Seguir:
Gestão
Análise de risco
Governança
Compliance
Conformidade
===============================================================================================
Foi projetada para ser utilizada como uma referência na seleção de controles de segurança (SGSI) e serve de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. Estamos falando da norma:
ISO 27004
ISO 27003
ISO 27001
ISO 27002
ISO 27000
===============================================================================================
A empresa XPTO foi invadida através de seu sistema de vendas pela internet. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados na tela principal do sistema neste caso foi utilizado um ataque do tipo:
Smurf
Fragmentação de pacotes IP
Buffer Overflow
SQL injection 
Fraggle
===============================================================================================
Modelo Onde o Administrador do sistema é responsável por atribuir as devidas permissões para osusuários.
Controle de acesso Discricionário
Controle de acesso baseado em Cargo
Controle de acesso baseado em Regras
Controle Lógico
Controle de acesso Mandatório
===============================================================================================
Uma Política de Segurança da Informação é um documento que deve descrever as práticas que a organização espera que sejam seguidas por todos os empregados para proteger seus ativos de informação. Um dos documentos que compõe esta política são as normas que são utilizadas na:
Camada operacional da organização
Camada organizacional interna
Camada tácita da organização 
Camada explícita da organização
Camada estratégica da organização
===============================================================================================
A norma ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências nas instalações e informações da organização. Ne ste caso estamos falando de qual tipo de ação de segurança?
Segurança de recursos humanos
Gerenciamento das operações e comunicações
Segurança de ativos
Segurança física e do ambiente
Controle de acesso