Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Avaliação: CCT0059_AV1_201308023405 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV1 Aluno: 201308023405 DIEGO FERREIRA DE ALMEIDA Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9002/BG Nota da Prova: 8,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 01/10/2015 18:11:45 1a Questão (Ref.: 201308087723) Pontos: 0,5 / 0,5 Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? Deve ser disponibilizada sempre que solicitada. Pode conter aspectos estratégicos para a Organização que o gerou. É necessário disponibilizála para quem tem a real necessidade de conhecêla. A informação é vital para o processo de tomada de decisão de qualquer corporação. É fundamental proteger o conhecimento gerado. 2a Questão (Ref.: 201308087732) Pontos: 0,5 / 0,5 Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Impacto . Vulnerabilidade. insegurança Risco. Ameaça. 3a Questão (Ref.: 201308270913) Pontos: 0,5 / 0,5 O ciclo de vida de uma informação é composto e identificado pelos momentos vividos pela informação que a colocam em risco. Os momentos são vivenciados justamente quando os ativos físicos, tecnológicos e humanos fazem uso da informação, sustentando processos que por sua vez, mantêm a operação da empresa. Estes momentos são denominados: Criação, compartilhamento, utilização e descarte Manuseio, armazenamento, transporte e descarte Iniciação, processamento, utilização e remoção Criação, utilização, armazenamento e compartilhamento Manuseio, transporte, compartilhamento e remoção 4a Questão (Ref.: 201308604538) Pontos: 0,5 / 0,5 Você está analisando um documento e precisa verificar se os dados estão corretos. Qual aspecto de segurança da informação sobre confiabilidade você está verificando? Disponibilidade Integridade Não repúdio Privacidade Legalidade 5a Questão (Ref.: 201308725403) Pontos: 1,0 / 1,0 A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Física. Vulnerabilidade de Comunicação. Vulnerabilidade Natural. Vulnerabilidade de Software. Vulnerabilidade de Mídias. 6a Questão (Ref.: 201308725422) Pontos: 1,0 / 1,0 Ataque a de modemsroteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o modemroteador para utilizar um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Mídias. Vulnerabilidade Física. Vulnerabilidade de Hardware. Vulnerabilidade Natural. Vulnerabilidade de Comunicação. 7a Questão (Ref.: 201308085110) Pontos: 1,0 / 1,0 Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: verdadeira falsa, pois não devemos considerar que diferentes ameaças existem . parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. falsa, pois os impactos são sempre iguais para ameaças diferentes. falsa, pois não depende do ativo afetado. 8a Questão (Ref.: 201308084620) Pontos: 1,0 / 1,0 Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Worm Java Script Adware Spyware Activex 9a Questão (Ref.: 201308725979) Pontos: 1,0 / 1,0 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque: Port Scanning. Dumpster diving ou trashing. Ip Spoofing. Phishing Scam. Packet Sniffing. 10a Questão (Ref.: 201308725974) Pontos: 1,0 / 1,0 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: Ip Spoofing. Packet Sniffing. Syn Flooding. Port Scanning. Dumpster diving ou trashing. Fechar Avaliação: CCT0059_AV1_201307260802 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV1 Aluno: 201307260802 - ERICO DOS SANTOS SILVA Professor: RENATO DOS PASSOS GUIMARAES Turma: 9012/L Nota da Prova: 6,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 15/04/2015 08:15:22 1a Questão (Ref.: 201307865674) Pontos: 0,5 / 0,5 Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? Confiabilidade, Integridade e Disponibilidade Autenticidade, Legalidade e Privacidade Privacidade, Governabilidade e Confidencialidade Disponibilidade, Privacidade e Segurabilidade Integridade, Legalidade e Confiabilidade 2a Questão (Ref.: 201307348860) Pontos: 0,5 / 0,5 Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? Deve ser disponibilizada sempre que solicitada. A informação é vital para o processo de tomada de decisão de qualquer corporação. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. É fundamental proteger o conhecimento gerado. Pode conter aspectos estratégicos para a Organização que o gerou. 3a Questão (Ref.: 201307863540) Pontos: 0,5 / 0,5 Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: I. Usar uma linguagem conhecida. II. Usar meiosadequados aos tipos de mensagens e usuários. III. Adotar estilo simples e claro. IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. V. Respeitar a cultura organizacional e a do país a que se destina. As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução. As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança. 4a Questão (Ref.: 201307349006) Pontos: 0,5 / 0,5 Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Irrestrito. Secreta. Pública. Confidencial. Interna. 5a Questão (Ref.: 201307532051) Pontos: 1,0 / 1,0 Observe a figura acima e complete corretamente a legenda dos desenhos: Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 6a Questão (Ref.: 201307552380) Pontos: 1,0 / 1,0 Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 7a Questão (Ref.: 201307345775) Pontos: 1,0 / 1,0 Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Monitoramento de URLs acessadas enquanto o usuário navega na Internet Captura de senhas bancárias e números de cartões de crédito; Alteração ou destruição de arquivos; Alteração da página inicial apresentada no browser do usuário; Captura de outras senhas usadas em sites de comércio eletrônico; 8a Questão (Ref.: 201307515437) Pontos: 1,0 / 1,0 Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 9a Questão (Ref.: 201307897405) Pontos: 0,0 / 1,0 João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? SYN Flooding Port Scanning Ip Spoofing Fragmentação de pacotes IP Fraggle 10a Questão (Ref.: 201307345813) Pontos: 0,0 / 1,0 Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo SQL Injection Source Routing DDos Shrink wrap code Phishing Scan Período de não visualização da prova: desde 14/04/2015 até 04/05/2015. 22/10/2015 BDQ Prova http://simulado.estacio.br/bdq_prova_resultado_preview.asp 1/4 Avaliação: CCT0059_AV1_201307260977 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV1 Aluno: 201307260977 GUILHERME JUDICE DE ANDRADE Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9002/BG Nota da Prova: 6,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 08/10/2015 17:10:58 (F) 1a Questão (Ref.: 734334) Pontos: 0,0 / 0,5 Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido: Legalidade Confiabilidade Disponibilidade Confidencialidade Integridade 2a Questão (Ref.: 734326) Pontos: 0,0 / 0,5 Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Tangível Intangível Abstrato Passivo Ativo 3a Questão (Ref.: 62164) Pontos: 0,5 / 0,5A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão do ciclo da informação interna. A gestão da área comercial. A gestão dos negócios da organização . A gestão de orçamento. A gestão dos usuários. Pontos: 0,5 / 0,5 22/10/2015 BDQ Prova http://simulado.estacio.br/bdq_prova_resultado_preview.asp 2/4 4a Questão (Ref.: 62108) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessála. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Nãorepúdio; Disponibilidade; Privacidade; Integridade; Confidencialidade; 5a Questão (Ref.: 228535) Pontos: 1,0 / 1,0 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. 6a Questão (Ref.: 265504) Pontos: 1,0 / 1,0 Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física: Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações. Gabarito Comentado. 7a Questão (Ref.: 228555) Pontos: 0,0 / 1,0 Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 22/10/2015 BDQ Prova http://simulado.estacio.br/bdq_prova_resultado_preview.asp 3/4 Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Danos quase sempre internos são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 8a Questão (Ref.: 58893) Pontos: 1,0 / 1,0 Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Monitoramento de URLs acessadas enquanto o usuário navega na Internet Captura de senhas bancárias e números de cartões de crédito; Alteração ou destruição de arquivos; Captura de outras senhas usadas em sites de comércio eletrônico; Alteração da página inicial apresentada no browser do usuário; 9a Questão (Ref.: 700127) Pontos: 1,0 / 1,0 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: Scaming de protocolos, Pedido de informações e Invasão do sistema. Levantamento das informações, Exploração das informações e Obtenção do acesso. Estudo do atacante, Descoberta de informações e Formalização da invasão. Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. Engenharia Social, Invasão do sistema e Alteração das informções. 10a Questão (Ref.: 700134) Pontos: 1,0 / 1,0 Ataques a sistemas de computação são tipos de crimes virtuais que visam, entre outras coisas, obter informações que se encontram em sistemas alheios. Crimes dos quais todos os internautas e empresas correm o risco de sofrer, mas que nem sempre sabem exatamente o que são, como agem e quais danos podem vir a causar aos computadores e sistemas. Qual dos itens abaixo "não" pertence ao ciclo de um ataque: Exploração das informações. Obtenção do acesso. Levantamento das informações. Camuflagem das evidências. Quebra de sigilo bancário. Gabarito Comentado. Período de não visualização da prova: desde 01/10/2015 até 21/10/2015. 22/10/2015 BDQ Prova http://simulado.estacio.br/bdq_prova_resultado_preview.asp 4/4
Compartilhar