AV2 GESTÃO DE SEGURANÇA DA INFORMAÇÃO - CCT0059

•

ESTÁCIO

4

0

4

0

matheus castro

07/12/2015

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Gestão de Segurança da Informação

13.589 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

1a Questão (Ref.: 201402254643)
Pontos: 0,0 / 1,5
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque de Buffer Overflow?

Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados.

2a Questão (Ref.: 201402360209)
Pontos: 0,0 / 1,5
No contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, como as organizações conseguem identificar as atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?

Gabarito: Através da análise de impacto dos negócios (BIA) que documenta o impacto das atividades que suportam os produtos e serviços de uma organização.

3a Questão (Ref.: 201402174377)
Pontos: 0,5 / 0,5
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que:

A afirmativa é falsa.

A afirmativa é verdadeira somente para ameaças identificadas.
A afirmativa é verdadeira.

A afirmativa é verdadeira somente para vulnerabilidades lógicas.

A afirmativa é verdadeira somente para vulnerabilidades físicas.

4a Questão (Ref.: 201402176968)
Pontos: 0,5 / 0,5
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que:

A afirmação será somente verdadeira se as empresas forem de um mesmo mercado.

A afirmação é somente verdadeira para as empresas privadas.

A afirmação é somente falsa para as empresas privadas.
A afirmação é verdadeira.

A afirmação é falsa.

5a Questão (Ref.: 201402821068)
Pontos: 0,5 / 0,5
Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir.
I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros.
II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação.
III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos.
IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento.
Representam vulnerabilidades dos ativos de informação o que consta em:

I, II e IV, somente.

II e III, somente.

I, II, III e IV.
I, III e IV, somente.

I e III, somente.

6a Questão (Ref.: 201402813680)
Pontos: 0,5 / 0,5
A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las.

As sentenças I e II estão corretas.

As sentenças I e III estão corretas.
Apenas a sentença I está correta.

Todas as sentenças estão corretas.

As sentenças II e III estão corretas.

7a Questão (Ref.: 201402173946)
Pontos: 0,5 / 0,5
João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação?

Shrink Wrap Code

Phishing Scan

Smurf

Dumpster Diving ou Trashing

Fraggle

8a Questão (Ref.: 201402173990)
Pontos: 0,5 / 0,5
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:

Melhorar a eficácia no controle de riscos

Melhorar a efetividade das decisões para controlar os riscos

Entender os riscos associados ao negócio e a gestão da informação
Eliminar os riscos completamente e não precisar mais tratá-los

Manter a reputação e imagem da organização

9a Questão (Ref.: 201402738399)
Pontos: 1,0 / 1,0
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:

I e III.

II.
II e III.

I e II.

III e IV.

10a Questão (Ref.: 201402254659)
Pontos: 1,0 / 1,0
Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que:

As metas e objetivos dos usuários sejam comprometidos por interrupções inesperadas
As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas

As metas e objetivos da alta Direção sejam comprometidos por interrupções inesperadas

As metas e objetivos definidos sejam comprometidos por interrupções inesperadas

As metas e objetivos dos clientes sejam comprometidos por interrupções inesperadas