AV2 de Gestão da Segurança da Informação

•

ESTÁCIO

3

0

3

0

Matheus Hardman

07/12/2015

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Gestão de Segurança da Informação

13.559 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

Avaliação: CCT0059_AV2_201401212875 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: - MATHEUS HARDMAN DE ATHAYDE
Professor:
RENATO DOS PASSOS GUIMARAES
Turma: 9010/BO
Nota da Prova: 7,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 30/11/2015 19:11:13
�
1a Questão (Ref.: 201401472216)
Pontos: 1,5 / 1,5
No cenário da figura abaixo estão dois generais.
Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais. Ponha-se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a montagem da estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens escritas; 2 : Você não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não confia plenamente nos seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula 5.

Resposta: Levantamento das Informações, depois Exploração das Informações, Obtenção, Manutenção e Camuflagem

Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar, através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua localização. Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos concentração de soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o ataque sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase são exploradas as vulnerabilidades encontradas no exercito inimigo. Manutenção do acesso Aqui os generais tentarão manter seu próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará dominado, frágil e comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência nas instalações do inimigo, sem deixar que desconfie quais foram as suas táticas usadas para obter o sucesso.

�
2a Questão (Ref.: 201401385404)
Pontos: 1,0 / 1,5
Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com suas palavras o que é uma VPN (Virtual Private Networks):

Resposta: É uma Rede Privada de Acesso, onde faz uso de criptografia, firewall, autenticação de usuario.

Gabarito: - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem acessos remotos com segurança

�
3a Questão (Ref.: 201401296123)
Pontos: 0,5 / 0,5
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿?

Visam à proteção alguns poucos ativos de uma empresa que contêm informações.

Visa à proteção dos equipamentos de uma empresa que contêm informações.

Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações.

Visa principalmente à proteção dos ativos patrimoniais que contêm informações.
Visa à proteção de todos os ativos de uma empresa que contêm informações.

�
4a Questão (Ref.: 201401296146)
Pontos: 0,5 / 0,5
Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:

Confidencialidade, Descrição e Integridade.

Confiabilidade, Disponibilidade e Integridade.

Confiabilidade, Disponibilidade e Intencionalidade.
Confidencialidade, Disponibilidade e Integridade.

Confidencialidade, Indisponibilidade e Integridade.

�
5a Questão (Ref.: 201401933835)
Pontos: 0,5 / 0,5
Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?

Vulnerabilidade Física.

Vulnerabilidade de Mídias.

Vulnerabilidade Natural.
Vulnerabilidade de Software.

Vulnerabilidade de Comunicação.

�
6a Questão (Ref.: 201401857475)
Pontos: 0,5 / 0,5
Analise as seguintes afirmativas sobre ameaças à Segurança da Informação:
I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário.
II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro.
III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos.
Estão CORRETAS as afirmativas:

II e III, apenas.

I e II, apenas.

I e III, apenas.
I, II e III.

II apenas

�
7a Questão (Ref.: 201401462750)
Pontos: 0,5 / 0,5
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita:

Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema.

É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.

Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.

Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais.
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans.

�
8a Questão (Ref.: 201401844723)
Pontos: 0,0 / 0,5
Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes ?

Incidente, recuperação, impacto e ameaça

Impacto, ameaça, incidente e recuperação
Ameaça, impacto, incidente e recuperação

Incidente, impacto, ameaça e recuperação
Ameaça, incidente, impacto e recuperação

�
9a Questão (Ref.: 201401974887)
Pontos: 1,0 / 1,0
Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta.A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.
Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas.

A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.

No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.

Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.

�
10a Questão (Ref.: 201401296279)
Pontos: 1,0 / 1,0
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?

Não-Repúdio;

Integridade;

Confidencialidade;

Auditoria;
Autenticidade;