Gestão Seg. Informação AV2

Prévia do material em texto

Avaliação On-Line 
Avaliação: AV2-2012.3EAD-GESTÃO DE SEGURANÇA DA INFORMAÇÃO-CCT0185 
Disciplina: CCT0185 - GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 201107083061 - GERALDO LUCAS GOMES 
Nota da Prova: 6.5 Nota do Trabalho: Nota da Participação: Total: 6,5 
Prova On-Line 
 
Questão: 1 (137584) 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após 
todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de 
risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Pontos da 
Questão: 1 
 Risco real; 
 Risco verdadeiro; 
 Risco residual; 
 Risco percebido; 
 Risco tratado; 
 
Questão: 2 (137624) 
Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Pontos da Questão: 
0,5 
 Manter e melhorar os riscos identificados nos ativos 
 Identificar e avaliar os riscos. 
 Verificar e analisar criticamente os riscos. 
 Selecionar, implementar e operar controles para tratar os riscos. 
 Manter e melhorar os controles 
 
Questão: 3 (126455) 
O valor da informação para as empresas é considerado, na atualidade, como algo 
imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem 
levado à necessidade de administração desses dados de forma confiável. Neste contexto qual 
das opções abaixo poderá definir melhor o conceito de “Dado”? 
 Pontos da Questão: 1 
 Elemento identificado em sua forma trabalhada que por si só não conduz a uma 
compreensão de determinado fato ou situação. 
 Elemento não identificado e que por si só não conduz a uma compreensão de determinado 
fato ou situação. 
 Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão 
de determinado fato ou situação. 
 Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões 
de fatos ou situações. 
 Elemento identificado em sua forma trabalhada e que por si só conduz a várias 
compreensões de fatos e situações. 
 
Questão: 4 (137587) 
Página 1 de 4Visualização de Prova
19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726
Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre 
um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços 
que estão sendo executados em cada computador ? Pontos da Questão: 0,5 
 Ataques de códigos pré-fabricados 
 Ataque de Configuração mal feita 
 Ataque para Obtenção de Informações 
 Ataque á Aplicação 
 Ataque aos Sistemas Operacionais 
 
Questão: AV22011CCT018505185 (137628) 
5 - Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de 
segurança é um aspecto importante na identificação de medidas adequadas de segurança. 
Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e pesquisa de 
vulnerabilidade? Pontos da Questão: 1,5 
Resposta do Aluno: 
Análise de vulnerabilidade procura analisar as possíveis falhas que possam permitir o 
aparecemento de ameaças potenciais a organização. Ja no teste de vulnerabilidade é realizado 
simulações para testes a segurança. Na pesquisa de vulnerabilidade é realizado observando 
situações que possam expor a organização a possíveis ameaças. 
 
Gabarito: 
Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das 
empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser 
aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e 
deficiência em um produto ou aplicação que podem comprometer a segurança. 
 
Fundamentação do Professor: 
 
Pontos do Aluno: 
Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das 
empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser 
aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e 
deficiência em um produto ou aplicação que podem comprometer a segurança. 
1
 
Questão: 6 (127718) 
As Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, 
terremotos e etc. poderão ser classificadas como: 
 Pontos da Questão: 0,5 
 Globalizadas. 
 Da natureza. 
 Ocasionais. 
 Naturais. 
 Destrutivas. 
 
Questão: AV22011CCT018505191 (137539) 
7 - Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo 
Fraggle e do tipo Smurf. Pontos da Questão: 1,5 
Resposta do Aluno: 
Podemos definir os Smurfs como tipos de ataques passivos, enquanto que os ataque tipo 
Fraggle são aqueles que tem como objetivo alterar os dados do sistema. 
 
Gabarito: 
(pontuar 0,75 por cada resposta )Um ataque do tipo Fraggle consitem no envio de um 
excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como 
endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de 
Página 2 de 4Visualização de Prova
19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726
 
broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, 
ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque 
Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP. 
 
Fundamentação do Professor: 
 
Pontos do Aluno: 
questão anulada
1,5
 
Questão: 8 (137453) 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos 
regulares? Pontos da Questão: 0,5 
 Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de riscos, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem 
aos requisitos da norma NBR ISO/IEC 27001. 
 
Questão: 9 (137529) 
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, 
aos recursos de processamento de dados e aos processos de negócios com base nos requisitos 
de negócio e na segurança da informação levando em consideração as políticas para 
autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo 
referencia a que tipo de ação de Segurança: Pontos da Questão: 0,5 
 Desenvolvimento e Manutenção de Sistemas. 
 Controle de Acesso. 
 Segurança Física e do Ambiente. 
 Segurança em Recursos Humanos. 
 Gerenciamento das Operações e Comunicações. 
 
Questão: 10 (132375) 
Os possíveis defeitos de fabricação ou configuração dos equipamentos das empresas que 
podem permitir o ataque ou a alteração dos mesmos são classificados como vulnerabilidades 
de: 
 Pontos da Questão: 0,5 
 Hardware; 
 
 Mídia; 
 Software; 
 Comunicação; 
 Humana; 
Página 3 de 4Visualização de Prova
19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726
 Fechar 
Server IP : 192.168.10.137 Client IP: 164.85.68.12 Tempo de execução da página : 1,156 
Página 4 de 4Visualização de Prova
19/12/2012https://sia.estacio.br/portal/prt0010a.asp?p1=4430860&p2=13116&p3=1284726