Av2GestãodaSegInf_MarcoJorge

Prévia do material em texto

Avaliação: CCT0185_AV2_201201170541 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 201201170541 - MARCO ANTONIO SILVA JORGE 
Professor: 
SHEILA DE GOES MONTEIRO 
SERGIO RODRIGUES AFFONSO FRANCO 
Turma: 9003/AM 
Nota da Prova: 5,5 de 8,0 Nota do Trabalho: Nota de Participação: 1 Data: 10/06/2013 13:09:20 
 
 
 1a Questão (Cód.: 139617) Pontos: 1,5 / 1,5 
No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
 
 
Resposta: Ativo: tudo que tem valor para a organização, Vulnerabilidade: alguma falha ou falta de dispositivo 
de segurança, ameça: algo que pode ocasionar um dano a algum ativo da organização causando um impacto. 
 
 
Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um 
mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial 
em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou 
prejuízos decorrentes de situações inesperadas. 
 
 
 
 2a Questão (Cód.: 132981) Pontos: 0,0 / 1,0 
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, 
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de 
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para 
varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi 
utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não 
comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a 
vulnerabilidade para este ataque? 
 
 
Vulnerabilidade Mídias 
 
Vulnerabilidade Física 
 Vulnerabilidade Software 
 
Vulnerabilidade Natural 
 Vulnerabilidade Comunicação 
 
 
 
 3a Questão (Cód.: 61951) Pontos: 0,5 / 0,5 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e 
de segurança¿, podemos dizer que: 
 
 
A afirmação é falsa. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 
A afirmação é somente falsa para as empresas privadas. 
 
A afirmação é somente verdadeira para as empresas privadas. 
 A afirmação é verdadeira. 
 
 
 
 4a Questão (Cód.: 139631) Pontos: 0,0 / 1,0 
Analise a frase abaixo: ¿Capacidade de uma organização de resistir aos efeitos de um incidente.¿ Assinale qual 
das opções representa o conceito correto da frase acima: 
 
 
Recuperação 
 Resiliência 
 
Restauração 
 Resistência 
 
Rescaldo 
 
 
 
 5a Questão (Cód.: 139626) Pontos: 1,5 / 1,5 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
 
 
Resposta: O ataque do tipo SQL Injection, afeta os programas que interagem com base de dados em banco de 
dados SQL, e o ataque de Buffer Overflow é um ataque que envia dados ou informações inconsistentes para o 
programa, que espera por dados específicos. 
 
 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que 
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o 
padrão de entrada de dados. 
 
 
 
 6a Questão (Cód.: 59365) Pontos: 0,5 / 0,5 
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma 
ameaça¿. Podemos dizer que é: 
 
 verdadeira 
 
falsa, pois não devemos considerar que diferentes ameaças existem . 
 
falsa, pois não depende do ativo afetado. 
 
falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 
 
 
 7a Questão (Cód.: 58980) Pontos: 0,0 / 0,5 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são 
utilizados termos com menções mais subjetivas, tais como alto, médio e baixo: 
 
 
Método Exploratório 
 
Método Subjetivo. 
 Método Classificatório. 
 
Método Quantitativo 
 Método Qualitativo 
 
 
 
 8a Questão (Cód.: 94144) Pontos: 0,5 / 0,5 
A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo 
(inseguro), é conhecida como: 
 
 zona desmilitarizada (DMZ). 
 
tcp/ip. 
 
backbone. 
 
wi-fi. 
 
pki. 
 
 
 
 9a Questão (Cód.: 59360) Pontos: 0,5 / 0,5 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
 
 
A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 
A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 
A afirmativa é falsa. 
 A afirmativa é verdadeira. 
 
A afirmativa é verdadeira somente para ameaças identificadas. 
 
 
 
 10a Questão (Cód.: 58987) Pontos: 0,5 / 0,5 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a 
sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de 
Segurança? 
 
 Gestão da Continuidade do Negócio 
 
Segurança Física e do Ambiente. 
 
Controle de Acesso 
 
Gestão de Incidentes de Segurança da Informação 
 
Gerenciamento das Operações e Comunicações