Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Turma: 9002/AB Avaliação: CCT0185_AV » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV Professor: SHEILA DE GOES MONTEIRO Nota da Prova: 6,5 Nota de Partic.: 1 Av. Parcial 2 Data: 14/11/2015 10:10:02 1a Questão (Ref.: 201308312176) Pontos: 1,0 / 1,5 Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três princípios. Resposta: A integridade garante que os arquivos chegarão integros ao seu destino, ou seja, sem se corromperem ou serem violados no percursso; A confiabilidade garante acesso confiável, ou seja, permite acesso apenas para os usuários que tem permissão; e A disponibilidade garante que o sistema ou arquivos estejam sempre disponíveis aos usuários com permissão de acesso. Gabarito: Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários 2a Questão (Ref.: 201308323800) Pontos: 1,0 / 1,5 Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com suas palavras o que é uma VPN (Virtual Private Networks): Resposta: Uma VPN é uma rede virtual privada que consiste numa rede própria da organização, com acesso que pode ser realizado pela internet, além de ser restrito aos funcionários da organização. Gabarito: - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem acessos remotos com segurança 3a Questão (Ref.: 201308234523) Pontos: 0,5 / 0,5 Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Risco. Valor. Ameaça. Impacto. Vulnerabilidade. 4a Questão (Ref.: 201308784196) Pontos: 0,5 / 0,5 Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: Integridade; Autenticidade; Auditoria; Confidencialidade; Não-Repúdio; 5a Questão (Ref.: 201308738530) Pontos: 0,0 / 0,5 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. 6a Questão (Ref.: 201308231465) Pontos: 0,5 / 0,5 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Passivo Fraco Secreto Forte 7a Questão (Ref.: 201308872685) Pontos: 0,5 / 0,5 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. Scaming de protocolos, Pedido de informações e Invasão do sistema. Estudo do atacante, Descoberta de informações e Formalização da invasão. Levantamento das informações, Exploração das informações e Obtenção do acesso. Engenharia Social, Invasão do sistema e Alteração das informções. 8a Questão (Ref.: 201308231523) Pontos: 0,5 / 0,5 É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos? Preparação de um plano de continuidade de negócios. Descrição dos requisitos de segurança da informação para um produto. Conformidade Legal e a evidência da realização dos procedimentos corretos Preparação de um plano de respostas a incidentes. Preparação de um plano para aceitar todos os Riscos 9a Questão (Ref.: 201308438069) Pontos: 1,0 / 1,0 A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, ações especulações, ameaças estratégias, ameaças determinações, ações oportunidades, vulnerabilidades 10a Questão (Ref.: 201308438427) Pontos: 1,0 / 1,0 Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados: Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. Havia uma VPN interligando várias Intranets através da Internet. Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos. Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. Período de não visualização da prova: desde 12/11/2015 até 24/11/2015. Disco local Estácio
Compartilhar