GSI_AV1

Prévia do material em texto

Fechar
Avaliação: CCT0059_AV1_201308023405 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV1
Aluno: 201308023405 ­ DIEGO FERREIRA DE ALMEIDA
Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9002/BG
Nota da Prova: 8,0 de 8,0         Nota do Trab.: 0        Nota de Partic.: 2        Data: 01/10/2015 18:11:45
  1a Questão (Ref.: 201308087723) Pontos: 0,5  / 0,5
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como
a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira
quando tratamos do conceito de ¿Informação¿ ?
  Deve ser disponibilizada sempre que solicitada.
Pode conter aspectos estratégicos para a Organização que o gerou.
É necessário disponibilizá­la para quem tem a real necessidade de conhecê­la.
A informação é vital para o processo de tomada de decisão de qualquer corporação.
É fundamental proteger o conhecimento gerado.
  2a Questão (Ref.: 201308087732) Pontos: 0,5  / 0,5
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar
no estudo e implementação de um processo de gestão de segurança em uma organização?
Impacto .
Vulnerabilidade.
  insegurança
Risco.
Ameaça.
  3a Questão (Ref.: 201308270913) Pontos: 0,5  / 0,5
O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a
colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos
fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes
momentos são denominados:
Criação, compartilhamento, utilização e descarte
  Manuseio, armazenamento, transporte e descarte
Iniciação, processamento, utilização e remoção
Criação, utilização, armazenamento e compartilhamento
Manuseio, transporte, compartilhamento e remoção
  4a Questão (Ref.: 201308604538) Pontos: 0,5  / 0,5
Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança
da informação sobre confiabilidade você está verificando?
Disponibilidade
  Integridade
Não repúdio
Privacidade
Legalidade
  5a Questão (Ref.: 201308725403) Pontos: 1,0  / 1,0
A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN e Cartoon
Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot conseguiu entrar na
segurança da informação da TBS usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O
Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao Spybot, Agobot e outros. Ele forma
uma rede zumbi com os computadores infectados, permitindo que seu criador obtenha controle total do sistema
infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
Vulnerabilidade Física.
Vulnerabilidade de Comunicação.
Vulnerabilidade Natural.
  Vulnerabilidade de Software.
Vulnerabilidade de Mídias.
  6a Questão (Ref.: 201308725422) Pontos: 1,0  / 1,0
Ataque a de modems­roteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de
equipamento. Na prática, o problema permitia que um hacker alterasse o modem­roteador para utilizar um
determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas
para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor
de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue
enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o
tipo de vulnerabilidade utilizada neste caso?
Vulnerabilidade de Mídias.
Vulnerabilidade Física.
  Vulnerabilidade de Hardware.
Vulnerabilidade Natural.
Vulnerabilidade de Comunicação.
  7a Questão (Ref.: 201308085110) Pontos: 1,0  / 1,0
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma
ameaça¿. Podemos dizer que é:
  verdadeira
falsa, pois não devemos considerar que diferentes ameaças existem .
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
falsa, pois os impactos são sempre iguais para ameaças diferentes.
falsa, pois não depende do ativo afetado.
  8a Questão (Ref.: 201308084620) Pontos: 1,0  / 1,0
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja
através de algum outro programa instalado em um computador pode ser descrito como sendo um:
Worm
Java Script
  Adware
Spyware
Active­x
  9a Questão (Ref.: 201308725979) Pontos: 1,0  / 1,0
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do
envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para
furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados
pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição
conhecida, como um banco, empresa ou site popular. Qual seria este ataque:
Port Scanning.
Dumpster diving ou trashing.
Ip Spoofing.
  Phishing Scam.
Packet Sniffing.
  10a Questão (Ref.: 201308725974) Pontos: 1,0  / 1,0
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na
verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito
utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é
interessante que as informações críticas da organização (planilhas de custos,  senhas e outros  dados
importantes)  sejam triturados ou destruídos de alguma forma. Qual seria este ataque:
Ip Spoofing.
Packet Sniffing.
Syn Flooding.
Port Scanning.
  Dumpster diving ou trashing.
 
 
 Fechar 
 
Avaliação: CCT0059_AV1_201307260802 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV1 
Aluno: 201307260802 - ERICO DOS SANTOS SILVA 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9012/L 
Nota da Prova: 6,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 15/04/2015 08:15:22 
 
 1a Questão (Ref.: 201307865674) Pontos: 0,5 / 0,5 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos 
de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos 
compõem a tríade da segurança da informação? 
 
 Confiabilidade, Integridade e Disponibilidade 
 
Autenticidade, Legalidade e Privacidade 
 
Privacidade, Governabilidade e Confidencialidade 
 
Disponibilidade, Privacidade e Segurabilidade 
 
Integridade, Legalidade e Confiabilidade 
 
 
 2a Questão (Ref.: 201307348860) Pontos: 0,5 / 0,5 
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como 
a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira 
quando tratamos do conceito de ¿Informação¿ ? 
 
 Deve ser disponibilizada sempre que solicitada. 
 
A informação é vital para o processo de tomada de decisão de qualquer corporação. 
 
É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. 
 
É fundamental proteger o conhecimento gerado. 
 
Pode conter aspectos estratégicos para a Organização que o gerou. 
 
 
 3a Questão (Ref.: 201307863540) Pontos: 0,5 / 0,5 
Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: 
 
I. Usar uma linguagem conhecida. 
II. Usar meiosadequados aos tipos de mensagens e usuários. 
III. Adotar estilo simples e claro. 
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. 
V. Respeitar a cultura organizacional e a do país a que se destina. 
 
 
As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para 
uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir 
na sua tradução. 
 As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja 
ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. 
 
As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os 
usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. 
 
As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída 
considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. 
 
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no 
contexto da política de segurança. 
 
 
 4a Questão (Ref.: 201307349006) Pontos: 0,5 / 0,5 
Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo 
financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua 
empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você 
classificaria estas informações em qual nível de segurança? 
 
 
Irrestrito. 
 
Secreta. 
 
Pública. 
 Confidencial. 
 
Interna. 
 
 
 5a Questão (Ref.: 201307532051) Pontos: 1,0 / 1,0 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 
Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 
 
 6a Questão (Ref.: 201307552380) Pontos: 1,0 / 1,0 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas 
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao 
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos 
definir o que são vulnerabilidades: 
 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou 
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a 
computadores ou informações. 
 Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através 
da utilização de SQL. 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, 
criadores e disseminadores de vírus de computadores, incendiários. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
 
 7a Questão (Ref.: 201307345775) Pontos: 1,0 / 1,0 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 
 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 
Captura de senhas bancárias e números de cartões de crédito; 
 Alteração ou destruição de arquivos; 
 
Alteração da página inicial apresentada no browser do usuário; 
 
Captura de outras senhas usadas em sites de comércio eletrônico; 
 
 
 8a Questão (Ref.: 201307515437) Pontos: 1,0 / 1,0 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As 
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios 
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, 
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de 
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: 
 
 
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 
 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. 
 
Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por 
falha no treinamento, acidentes, erros ou omissões. 
 
 
 9a Questão (Ref.: 201307897405) Pontos: 0,0 / 1,0 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através 
do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual 
o tipo de ataque que o invasor está tentando utilizar? 
 
 SYN Flooding 
 
Port Scanning 
 
Ip Spoofing 
 
Fragmentação de pacotes IP 
 Fraggle 
 
 
 10a Questão (Ref.: 201307345813) Pontos: 0,0 / 1,0 
Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso 
implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso 
no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. 
Neste caso estavamos nos referindo ao ataque do tipo 
 
 
SQL Injection 
 
Source Routing 
 DDos 
 
Shrink wrap code 
 Phishing Scan 
 
 
 
Período de não visualização da prova: desde 14/04/2015 até 04/05/2015. 
 
 
 
 
22/10/2015 BDQ Prova
http://simulado.estacio.br/bdq_prova_resultado_preview.asp 1/4
Avaliação: CCT0059_AV1_201307260977 » GESTÃO DE SEGURANÇA DA
INFORMAÇÃO       Tipo de Avaliação: AV1
Aluno: 201307260977 ­ GUILHERME JUDICE DE ANDRADE
Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9002/BG
Nota da Prova: 6,0 de 8,0         Nota do Trab.: 0        Nota de Partic.: 2        Data: 08/10/2015 17:10:58 (F)
  1a Questão (Ref.: 734334) Pontos: 0,0  / 0,5
Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos
funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois
caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da
segurança está envolvido:
Legalidade
Confiabilidade
  Disponibilidade
Confidencialidade
  Integridade
  2a Questão (Ref.: 734326) Pontos: 0,0  / 0,5
Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro
foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio
comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta
situação?
  Tangível
  Intangível
Abstrato
Passivo
Ativo
  3a Questão (Ref.: 62164) Pontos: 0,5  / 0,5A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um
elemento fundamental para:
A gestão do ciclo da informação interna.
A gestão da área comercial.
  A gestão dos negócios da organização .
A gestão de orçamento.
A gestão dos usuários.
Pontos: 0,5  / 0,5
22/10/2015 BDQ Prova
http://simulado.estacio.br/bdq_prova_resultado_preview.asp 2/4
  4a Questão (Ref.: 62108)
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá­la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
Não­repúdio;
  Disponibilidade;
Privacidade;
Integridade;
Confidencialidade;
  5a Questão (Ref.: 228535) Pontos: 1,0  / 1,0
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
  Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações,
perda de dados ou indisponibilidade de recursos quando necessários.
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
  6a Questão (Ref.: 265504) Pontos: 1,0  / 1,0
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não
acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também
prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como
Vulnerabilidade Física:
  Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas.
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto,
destruição de propriedades ou de dados, invasões, guerras, etc.).
Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas
comunicações.
 Gabarito Comentado.
  7a Questão (Ref.: 228555) Pontos: 0,0  / 1,0
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos,
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
22/10/2015 BDQ Prova
http://simulado.estacio.br/bdq_prova_resultado_preview.asp 3/4
  Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
  Danos quase sempre internos ­ são uma das maiores ameaças ao ambiente, podem ser ocasionados por
falha no treinamento, acidentes, erros ou omissões.
  8a Questão (Ref.: 58893) Pontos: 1,0  / 1,0
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware?
Monitoramento de URLs acessadas enquanto o usuário navega na Internet
Captura de senhas bancárias e números de cartões de crédito;
  Alteração ou destruição de arquivos;
Captura de outras senhas usadas em sites de comércio eletrônico;
Alteração da página inicial apresentada no browser do usuário;
  9a Questão (Ref.: 700127) Pontos: 1,0  / 1,0
Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se
viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança
da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a
segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou
seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a
sistemas de informação:
Scaming de protocolos, Pedido de informações e Invasão do sistema.
  Levantamento das informações, Exploração das informações e Obtenção do acesso.
Estudo do atacante, Descoberta de informações e Formalização da invasão.
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas.
Engenharia Social, Invasão do sistema e Alteração das informções.
  10a Questão (Ref.: 700134) Pontos: 1,0  / 1,0
Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter
informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm
o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a
causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque:
Exploração das informações.
Obtenção do acesso.
Levantamento das informações.
Camuflagem das evidências.
  Quebra de sigilo bancário.
 Gabarito Comentado.
Período de não visualização da prova: desde 01/10/2015 até 21/10/2015.
 
22/10/2015 BDQ Prova
http://simulado.estacio.br/bdq_prova_resultado_preview.asp 4/4