Gestão de segurança da informação av

Prévia do material em texto

BDQ Prova Page 1 of 3 
http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp 06/12/2015 
 
Avaliação: CCT0185_AV_201403150362 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV 
 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/AD 
Nota da Prova: 7,0 Nota de Partic.: 1 Av. Parcial 2 Data: 19/11/2015 09:50:26 
 
A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido nessa área pode causar prejuízos 
significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresa está consciente do perigo e estamos vivendo um momento em 
que praticamente todas elas mantêm alguma política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o 
investimento n área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são Vulnerabilidades para a Segurança das 
Informações? 
Resposta: Caracterizada por fragilidades em pontos suscetíveis à ataques, invasões, roubo de dados, acesso não autorizado, ou seja, áreas onde existe 
a possibilidade de todo e qualquer tipo de ação que venha caracterizar prejuízos às organizações por exemplo. 
Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à 
continuidade dos negócios das organizações. 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem s implementados em todos os tipos 
de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas 
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN: 
Resposta: É imprescindível ter o GCN nas organizações, embora seu enfoque não seja a captação de lucros, mas sim a prevenção e garantia de estar 
preparado para dar continuidade aos negócios, em meios à possíveis catástrofes, problemas financeiros nas organizações, entre outros problemas que 
sem ele atuante, poderá resulta no fim da do ambiente organizacional. Nem todas organizações aderem ao GCN, devido ao custo alto. 
Gabarito: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da 
organização e a urgência das atividades que são necessárias para fornecêlos. 
 
Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a 
organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual 
das opções abaixo define a classificação dos tipos de ativos? 
 Intangível e Qualitativo. 
 Contábil e Não Contábil. 
 Tangível e Físico. 
 Material e Tangível. 
 Tangível e Intangível. 
 
 
 
 
 
 
 
 
 
BDQ Prova Page 2 of 3 
http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp 06/12/2015 
 
VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por 
seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos 
falando de: 
 Disponibilidade 
 Não-repúdio 
 Confidencialidade 
 Autenticação 
 Legalidade 
 5a Questão (Ref.: 201403871456) Pontos: 0,0 / 0 
Em relação às vulnerabilidades de protocolos e aplicações de acesso remotos, assinale a afirmativa correta: 
O Telnet é um padrão para acesso a terminais na Internet, que provê segurança por meio da autenticação de usuários, além de manter uma 
conexão com tráfego criptografado. 
Bots são softwares maliciosos e autônomos que se conectam por meio de um componente ICQ. Normalmente, o software usado para 
gerenciamento destes canais é modifi cado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. 
É aconselhável colocar servidores de Terminal (Terminal Servers) fora da DMZ (De-Militarized Zone) para proteger a rede interna da 
organização. 
Kerberos e SSH (Secure Shell) são soluções para autenticação remota com uso de criptografia, eliminando os problemas de soluções tais 
como o Telnet. 
Utilizando ferramentas específicas, é possível explorar a possibilidade de enviar mensagens anônimas a partir do IRC, gerando uma 
espécie de spoofing de mensagens, se o endereço IP e a porta IRC da vítima forem conhecidos. 
 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa 
instalado em um computador pode ser descrito como sendo um: 
 Active-x 
 Worm 
 Adware 
 Java Script Spyware 
 
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou 
fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado: 
 Ataque smurf 
 SQL Injection 
 Dumpster diving ou trashing 
 Packet Sniffing 
 IP Spoofing 
 
 
 
 
 
 
 
 
 
BDQ Prova Page 3 of 3 
http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp 06/12/2015 
 
Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os 
componentes associados ao risco. 
 Método Exploratório. 
 Método Qualitativo Método Numérico. 
 Método Classificatório 
 Método Quantitativo 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos 
em informática da organização XPTO deve Monitorar e Analisar criticamente SGSI, que compreende a atividade de: 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e 
melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
 Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 
 Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes 
 Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 
 Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços 
da rede de um modo indireto, ou seja, impedindo que os hosts internos s comuniquem diretamente com sites na Internet. Neste caso você optará por 
implementar : 
 Um roteador de borda 
 Um firewall com estado 
 Um filtro de pacotes 
 Um servidor proxy 
 Um detector de intrusão 
Período de não visualização da prova: desde 12/11/2015 até 24/11/2015.