Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Compartilhar
Prévia do material em texto
GESTÃO DA SEGURANÇA DA INFORMAÇÃO AULA 1 1. O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Ameaça – compromete os objetivos da organização Impacto - Tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas , que a concretização de uma determinada ameaça causará; Vulnerabilidade – ausência de um mecanismo de proteção Valor - importância do ativo para a organização Risco. 2. O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; 3. Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível: Imagem da Empresa no Mercado. Marca de um Produto. Sistema de Informação. Confiabilidade de um Banco. Qualidade do Serviço. 4. Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que tem valor para a organização. Tudo aquilo que não manipula dados. Tudo aquilo que a empresa usa como inventario contábil. Tudo aquilo que é utilizado no Balanço Patrimonial. Tudo aquilo que não possui valor específico. 5. O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Possui valor e deve ser protegida; É a matéria-prima para o processo administrativo da tomada de decisão; É dado trabalhado, que permite ao executivo tomar decisões; Pode habilitar a empresa a alcançar seus objetivos estratégicos; Por si só não conduz a uma compreensão de determinado fato ou situação; 6. Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿? A informação é vital para o processo de tomada de decisão de qualquer corporação. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Deve ser disponibilizada sempre que solicitada. Pode conter aspectos estratégicos para a Organização que o gerou. É fundamental proteger o conhecimento gerado. AULA 2 1. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Auditoria; Disponibilidade; Confidencialidade; Integridade; Não-Repúdio; 2. A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão de orçamento. A gestão da área comercial. A gestão dos negócios da organização. A gestão do ciclo da informação interna. A gestão dos usuários. 3. O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de ¿Dado¿? Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e situações. Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de determinado fato ou situação Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou situações. Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação. 4. Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? Nas Vulnerabilidades e Ameaças. Nas Vulnerabilidades. Nas Ameaças. Nos Ativos. Nos Riscos. 5. Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"? Valor de negócio. Valor de propriedade. Valor de troca. Valor de restrição. Valor de uso. 6. As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Fragilidade presente ou associada a ativos que exploram ou processam informações. Fragilidade presente ou associada a ameaças que manipulam ou processam informações. Fragilidade presente ou associada a ativos que manipulam ou processam informações. Ameaça presente ou associada a ativos que manipulam ou processam informações. Impacto presente ou associada a ativos que manipulam ou processam informações. AULA 3 1. Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança da informação sobre confiabilidade você está verificando? Não repúdio Privacidade Integridade Disponibilidade Legalidade 2. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Confidencialidade Disponibilidade Auditoria Autenticidade Integridade 3. As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cadasistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação à Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Hardware: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. 4. As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação à Classificação das Vulnerabilidades podemos citar como exemplos de Vulnerabilidade de Software: Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. 5. O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Vulnerabilidade Risco Ameaça Problema Dependência 6. Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, II e IV, somente. I, III e IV, somente. II e III, somente. I, II, III e IV. I e III, somente. AULA 4 1. O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: Keylogger exploit vírus backdoor Spyware 2. As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. poderão ser classificadas como: Globalizadas Inconsequentes Destrutivas Tecnológicas. Voluntárias 3. Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Captura de senhas bancárias e números de cartões de crédito; Captura de outras senhas usadas em sites de comércio eletrônico; Alteração da página inicial apresentada no browser do usuário; Alteração ou destruição de arquivos; Monitoramento de URLs acessadas enquanto o usuário navega na Internet 4. Programa que parece útil, mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: vírus worm active-x exploit cavalo de tróia (trojan horse) 5. As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Naturais, Voluntarias e Vulneráveis. Ocasionais, Involuntárias e Obrigatórias. Naturais, Involuntárias e Voluntarias. Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Obrigatórias. 6. Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: exploit keylogger spyware backdoor vírus Aula 5 1. Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? DDos Phishing Scan Source Routing SQL Injection Shrink wrap code 2. Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador? Ataque á Aplicação Ataque aos Sistemas Operacionais Ataques de códigos pré-fabricados Ataque de Configuração mal feita Ataque para Obtenção de Informações 3. Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança? O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. O atacante tenta manter seu próprio domínio sobre o sistema O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". 4. João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? SYN Flooding Ip Spoofing Fraggle Fragmentação de pacotes IP Port Scanning 5. Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? Divulgação do Ataque Levantamento das Informações Exploração das Informações Obtenção de Acesso Camuflagem das Evidências 6. Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nestareceita: Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. AULA 6 1. Qual o nome do ataque que tem o intuito de enviar uma quantidade em "massa" de e-mails muitas das vezes indesejáveis? Adware Spam Rootkit Spyware Backdoor 2. Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores? DoS Monitor Keylogger Spyware Sniffer 3. Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos? Backdoor Adware Dumpster diving DoS Defacement 4. Qual o nome do ataque que tem como objetivo desfigurar a página de um site? Disfiguration Worm Backdoor Defacement Spam 5. Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo? Rootkit Phishing Defacement Spyware Backdoor 6. Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Exploratório. Método Quantitativo Método Numérico. Método Qualitativo Método Classificatório AULA 7 1. A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Desenvolvimento e Manutenção de Sistemas Segurança Física e do Ambiente Controle de Acesso Segurança em Recursos Humanos Gerenciamento das Operações e Comunicações 2. Uma organização governamental adotou as seguintes diretrizes em relação às cópias de segurança: Definição e formalização de uma política de cópias de segurança (backups) que inclua o código-fonte e a base de dados com base nas necessidades de negócio, incluindo procedimentos regulares de recuperação e observando as recomendações contidas no controle adequado da Norma NBR ISO/IEC 27002. Considerando a necessidade de proteger o sigilo das informações, deve-se avaliar a conveniência de criptografar os dados gravados nas mídias das cópias de segurança, conforme recomenda a diretriz para implementação do controle adequado da Norma NBR ISO/IEC 27002. Estas diretrizes se referem à seção da Norma que possui em uma de suas categorias, o controle Cópias de Segurança. Qual é esta seção? 11 - Controle de Acesso, que fornece diretrizes para áreas seguras da organização. 9 - Segurança Física e do Ambiente, que trata do controle do acesso lógico às informações da organização 14 - Gestão da Continuidade do Negócio, que é a maior seção da Norma, e fornece diretrizes para a segurança dos aplicativos, arquivos de sistema, processos de desenvolvimento e suporte e gestão de vulnerabilidades técnicas. 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação, que trata das medidas a serem tomadas para prevenir a interrupção das atividades e proteger os processos críticos contra defeitos, falhas ou desastres significativos da organização. 10 - Gerenciamento das Operações e Comunicações, que é a maior seção da Norma, e trata das operações dos serviços tecnológicos da organização. 3. Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Diretrizes; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Manuais; Normas e Relatórios Diretrizes; Normas e Relatórios Manuais; Normas e Procedimentos 4. A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança Física e do Ambiente. Controle de Acesso. Segurança dos Ativos. Gerenciamento das Operações e Comunicações. Segurança em Recursos Humanos. 5. Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/orientação sistemática dos cenários de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação 6. Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 4-3-5-2-1. 1-2-4-3-5. 2-3-1-5-4. 4-3-1-2-5. 5-1-4-3-2. AULA 8 1. A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas Corretivas e Correção Corrigidas e Preventivas Corretivas e Corrigidas Prevenção e Preventivas 2. Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 3. Não se pode dizer que há segurança da informação, a menos que ela seja controlada e gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI) é uma série de ações tomadas com oobjetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantêm em perspectiva os objetivos do negócio e as expectativas do cliente. Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A política do BIA. Identificar e avaliar as opções para o tratamento das vulnerabilidades. A politica de gestão de continuidade de negócio. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar, Analisar e avaliar os riscos. 4. Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Contábil e Física. Administrativa, Física e Programada. Lógica, Administrativa e Contábil. Lógica, Física e Programada. Administrativa, Física e Lógica. 5. A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas. Corretivas e Preventivas. Prevenção e Preventivas. Corrigidas e Preventivas. Corretivas e Correção. 6. Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. AULA 9 1. O Plano de Continuidade do Negócio...... deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. define uma ação de continuidade imediata e temporária. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. 2. Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Determinando a estratégia de continuidade de negócios. Incluindo a GCN na cultura da organização. Testando, mantendo e analisando criticamente os preparativos de GCN. Desenvolvendo e implementando uma resposta de GCN. Entendendo a organização. 3. Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização. 4. Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. 5. Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas As metas e objetivos definidos sejam comprometidos por interrupções inesperadas As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas 5. Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. O PRD é mais abrangente que o PCN. O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PCN só pode ser implementado se o PRD já tiver em uso. AULA 10 1. Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto? Firewall Indireto Firewall de Borda Firewall Proxy Filtro com Pacotes Firewall com Estado 2. O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: Confirmar a identidade do usuário. Controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador. Testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subsequentes. Criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso. Confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. 3. Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves. A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes. A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes. Acriptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave 4. Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 5. Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados: A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos. Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Havia uma VPN interligando várias Intranets através da Internet. Na empresa havia Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. 6. Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA: A Chave Publica pode ser divulgada livremente Chave Publica e Privada são utilizadas por algoritmos assimétricos A Chave Privada deve ser mantida em segredo pelo seu Dono A Chave Publica não pode ser divulgada livremente, somente a Chave Privada. Cada pessoa ou entidade mantém duas chaves SIMULADO AV1 1. Algumas formas para se defender das ameaças são: É fundamental ter um programa antivírus em sua máquina, além de instalado, é preciso que ele esteja sempre atualizado. A grande maioria dos programas atuais faz isso automaticamente, mas não custa nada ficar de olho na data da última atualização de seu software. O que são Ameaças para a Gestão de Segurança da Informação? Representam perigo para os ativos - fatores externos; Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios; Podem afetar aspectos básicos da segurança. 2. No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que consiste o processo de classificação da Informação? O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. 3. O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Impacto. Ameaça. Risco. Valor. Vulnerabilidade. 4. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Auditoria Privacidade Confidencialidade Integridade Disponibilidade 5. Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Vulnerabilidade. Risco. Ameaça. Impacto. Valor. 6. O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Possui valor e deve ser protegida; É dado trabalhado, que permite ao executivo tomar decisões; Pode habilitar a empresa a alcançar seus objetivos estratégicos; É a matéria-prima para o processo administrativo da tomada de decisão; 7. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a sequência na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? Dado - Informação - Conhecimento Dado - Informação - Dados Brutos Dado - Conhecimento Bruto - Informação Bruta Dado - Informação - Informação Bruta Dado - Conhecimento - Informação 8. Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿? É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. A informação é vital para o processo de tomada de decisão de qualquer corporação. Pode conter aspectos estratégicos para a Organização que o gerou. Deve ser disponibilizada sempre que solicitada. 9. Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Impacto. Insegurança Ameaça. Risco. Vulnerabilidade. 10. Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: Vírus backdoor spyware exploit keylogger SIMULADO AV2 1. O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. 2. O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cadaorganização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Determinando a estratégia" do GCN: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 3. A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas Corretivas e Preventivas Corrigidas e Preventivas Prevenção e Preventivas Corretivas e Correção 4. Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI 5. A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: Implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. Implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado Implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. Implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. Implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. 6. A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de câmeras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada? Desencorajamento Reação Limitação Preventiva Correção 7. Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Suporte técnico. Procedimentos elaborados. Conscientização dos usuários. Segregação de funções. Auditoria. 8. Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: III e IV. I e II. I e III. II. II e III. 9. Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/revisão sistemática dos ativos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação 10. Uma organização governamental adotou as seguintes diretrizes em relação às cópias de segurança: Definição e formalização de uma política de cópias de segurança (backups) que inclua o código-fonte e a base de dados com base nas necessidades de negócio, incluindo procedimentos regulares de recuperação e observando as recomendações contidas no controle adequado da Norma NBR ISO/IEC 27002. Considerando a necessidade de proteger o sigilo das informações, deve-se avaliar a conveniência de criptografar os dados gravados nas mídias das cópias de segurança, conforme recomenda a diretriz para implementação do controle adequado da Norma NBR ISO/IEC 27002. Estas diretrizes se referem à seção da Norma que possui em uma de suas categorias, o controle Cópias de Segurança. Qual é esta seção? 14 - Gestão da Continuidade do Negócio, que é a maior seção da Norma, e fornece diretrizes para a segurança dos aplicativos, arquivos de sistema, processos de desenvolvimento e suporte e gestão de vulnerabilidades técnicas. 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação, que trata das medidas a serem tomadas para prevenir a interrupção das atividades e proteger os processos críticos contra defeitos, falhas ou desastres significativos da organização. 9 - Segurança Física e do Ambiente, que trata do controle do acesso lógico às informações da organização 10 - Gerenciamento das Operações e Comunicações, que é a maior seção da Norma, e trata das operações dos serviços tecnológicos da organização. 11 - Controle de Acesso, que fornece diretrizes para áreas seguras da organização.
Continue navegando
Materiais relacionados
78 pág.
23 pág.
Perguntas relacionadas
Compartilhar