GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Avaliação: CCT0185_AVS_201409016651 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AVS
Aluno: 201409016651 - MONICA CELINA DOS SANTOS ARAUJO 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9002/AB
Nota da Prova: 5,0 Nota de Partic.: 2 Data: 03/07/2015 15:06:41
1a Questão (Ref.: 201409059279) Pontos:0,0 / 1,5
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como 
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas?
Resposta: Ameaças diretas: Exemplo: Quando um usuário passa intencionalmente sua password para um colega de 
trabalho que não possui autorização para acessar determinado sistema. Ameaças indiretas: Exemplo: Quando o 
usuário não tem a intenção de prejudicar a segurança da empresa, porém esquece o computador ligado com dados 
exposto da organização.
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças 
existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção: é o 
conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e 
reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas 
medidas só atuam quando ocorre um incidente.
2a Questão (Ref.: 201409169552) Pontos:1,0 / 1,5
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser 
implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do 
programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN:
Resposta: Parte do princípio que é preciso entender como funciona a organização, seus processos, sua política, fato 
determinante para analisar e especificar como pode se dar a gestão de sistema de informação nessa organização.
Gabarito: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a 
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-
los.
3a Questão (Ref.: 201409246499) Pontos:0,5 / 0,5
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus 
respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a 
disponibilidade, qual das definições abaixo expressa melhor este princípio:
Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou 
ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou 
processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior.
Página 1 de 4
10/07/2015
Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira 
não autorizada e aprovada.
Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou 
processos.
Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para 
um usuário, entidade, sistema ou processo autorizado e aprovado. 
a Questão (Ref.: 201409594974) Pontos:0,5 / 0,5
Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: 
I. Usar uma linguagem conhecida. 
II. Usar meios adequados aos tipos de mensagens e usuários. 
III. Adotar estilo simples e claro. 
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. 
V. Respeitar a cultura organizacional e a do país a que se destina. 
As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os 
usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. 
As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída 
considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. 
As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja 
ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. 
As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma 
multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua 
tradução. 
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto 
da política de segurança.
5a Questão (Ref.: 201409584283) Pontos:0,5 / 0,5
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança 
da informação para este sistema na propriedade relacionada à:
Autenticidade 
Confidencialidade
Integridade 
Auditoria 
Disponibilidade 
6a Questão (Ref.: 201409077290) Pontos:0,5 / 0,5
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de 
gerar efeitos adversos na organização são consideradas:
Métodos Detectivos
Medidas Corretivas e Reativas
Medidas Preventivas
Métodos Quantitativos
Medidas Perceptivas
Página 2 de 4
10/07/2015
7a Questão (Ref.: 201409077235) Pontos:0,0 / 0,5
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através 
do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o 
tipo de ataque que o invasor está tentando utilizar?
Port Scanning
Fraggle 
SYN Flooding
Ip Spoofing
Fragmentação de pacotes IP
a Questão (Ref.: 201409609847) Pontos:0,0 / 0,5
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ?
Backdoor
Adware
0day
Spam
Rootkit
9a Questão (Ref.: 201409164946) Pontos:1,0 / 1,0
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001.
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR 
ISO/IEC 27001.
10a Questão (Ref.: 201409587409) Pontos:1,0 / 1,0
O Plano de Continuidade do Negócio......
prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de 
alguém como os processos organizacionais.
define uma ação de continuidade imediatae temporária.
deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou 
não.
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos 
aos ativos de informação.
Período de não visualização da prova: desde 27/06/2015 até 08/07/2015.
Página 3 de 4
10/07/2015
Página 4 de 4
10/07/2015