Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AVS_201409016651 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AVS Aluno: 201409016651 - MONICA CELINA DOS SANTOS ARAUJO Professor: RENATO DOS PASSOS GUIMARAES Turma: 9002/AB Nota da Prova: 5,0 Nota de Partic.: 2 Data: 03/07/2015 15:06:41 1a Questão (Ref.: 201409059279) Pontos:0,0 / 1,5 A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? Resposta: Ameaças diretas: Exemplo: Quando um usuário passa intencionalmente sua password para um colega de trabalho que não possui autorização para acessar determinado sistema. Ameaças indiretas: Exemplo: Quando o usuário não tem a intenção de prejudicar a segurança da empresa, porém esquece o computador ligado com dados exposto da organização. Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente. 2a Questão (Ref.: 201409169552) Pontos:1,0 / 1,5 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN: Resposta: Parte do princípio que é preciso entender como funciona a organização, seus processos, sua política, fato determinante para analisar e especificar como pode se dar a gestão de sistema de informação nessa organização. Gabarito: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê- los. 3a Questão (Ref.: 201409246499) Pontos:0,5 / 0,5 A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Página 1 de 4 10/07/2015 Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. a Questão (Ref.: 201409594974) Pontos:0,5 / 0,5 Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: I. Usar uma linguagem conhecida. II. Usar meios adequados aos tipos de mensagens e usuários. III. Adotar estilo simples e claro. IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. V. Respeitar a cultura organizacional e a do país a que se destina. As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução. As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança. 5a Questão (Ref.: 201409584283) Pontos:0,5 / 0,5 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Autenticidade Confidencialidade Integridade Auditoria Disponibilidade 6a Questão (Ref.: 201409077290) Pontos:0,5 / 0,5 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Métodos Detectivos Medidas Corretivas e Reativas Medidas Preventivas Métodos Quantitativos Medidas Perceptivas Página 2 de 4 10/07/2015 7a Questão (Ref.: 201409077235) Pontos:0,0 / 0,5 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? Port Scanning Fraggle SYN Flooding Ip Spoofing Fragmentação de pacotes IP a Questão (Ref.: 201409609847) Pontos:0,0 / 0,5 Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ? Backdoor Adware 0day Spam Rootkit 9a Questão (Ref.: 201409164946) Pontos:1,0 / 1,0 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 10a Questão (Ref.: 201409587409) Pontos:1,0 / 1,0 O Plano de Continuidade do Negócio...... prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. define uma ação de continuidade imediatae temporária. deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. Período de não visualização da prova: desde 27/06/2015 até 08/07/2015. Página 3 de 4 10/07/2015 Página 4 de 4 10/07/2015
Compartilhar