Gestao da segurança da informação

Prévia do material em texto

Avaliação: CCT0185_AV_201307135765 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV
	Aluno: 
	Professor:
	RENATO DOS PASSOS GUIMARAES
	Turma: 9002/AB
	Nota da Prova: 4,0    Nota de Partic.: 2   Av. Parcial 2  Data: 14/11/2015 09:19:06
	
	 1a Questão (Ref.: 201307288960)
	Pontos: 0,5  / 1,5
	Dado o caráter abstrato e intangível da informação, seu valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Neste sentido descreva o ciclo de vida da informação, identificando os momentos vividos pela informação.
		
	
Resposta: A informação para a empresa é sua "alma". Os ativos(tangíveis e intangíveis) de uma forma geral é a vida da empresa. As dados gerados e processados serão as informações da empresa e assim a mesma no nível de gerenciamento da empresa poderá traçar metas e atingir objetivos. Não esquecendo que essas informações deverão ser "protegidas" contra possíveis ameaças, sendo assim a empresa deverá proteger seu ativo (informação). Então um dado é gerado (através de levantamentos, por exemplo), esses dados são processados (planilhas) e assim as empresas terão suas informações.
	
Gabarito: Manuseio: Momento em que a informação é criada e manipulada. Armazenamento: Momento em que a informação é armazenada. Transporte: Momento em que a informação é transportada. Descarte: Momento em que a informação é descartada.
	
	
	 2a Questão (Ref.: 201307300578)
	Pontos: 1,0  / 1,5
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Determinando a estratégia" do GCN:
		
	
Resposta: O elemento "determinando a estratégia" é importante para uma empresa, pois nela a mesma "faz o levantamento" das necessidades (analise de riscos, necessidades de software) e isso é muito importante para a continuidade dos negócios. O n´ves de gerenciamento das empresas, através de informações, traçam a estratégia que a mesma deverá adotar, garantindo assim o continuamento do negócio.
	
Gabarito: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
	
	 3a Questão (Ref.: 201307394506)
	Pontos: 0,5  / 0,5
	No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser:
1)      Físicas
2)      Lógicas
3)      Administrativas
 Analise as questões abaixo e relacione o tipo corretamente:
(        ) Procedimento
(        ) Fechadura
(        ) Firewall
(        ) Cadeado
(        ) Normas
		
	 
	3, 1, 2, 1, 3
	
	3, 2, 1, 2, 3
	
	2, 1, 2, 1, 3
	
	2, 2, 1, 3, 1
	
	1, 3, 1, 3, 2
	
	
	 4a Questão (Ref.: 201307211501)
	Pontos: 0,5  / 0,5
	Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo indica o tipo de "valor da informação" que pode ser atribuído ao seguinte conceito: "Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas"?
		
	
	Valor de troca.
	
	Valor de uso.
	
	Valor de propriedade.
	 
	Valor de restrição.
	
	Valor de negócio.
	
	
	 5a Questão (Ref.: 201307414845)
	Pontos: 0,5  / 0,5
	Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física:
		
	
	Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	 
	Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas.
	
	Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).
	
	Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações.
	
	
	 6a Questão (Ref.: 201307884166)
	Pontos: 0,0  / 0,5
	Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um:
		
	
	Backdoor
	
	Worm
	 
	Keylogger
	 
	Screenlogger
	
	Trojan
	
	
	 7a Questão (Ref.: 201307208295)
	Pontos: 0,0  / 0,5
	Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques?
		
	
	Ataque aos Sistemas Operacionais
	
	Ataque para Obtenção de Informações
	 
	Ataques Genéricos
	 
	Ataque de Configuração mal feita
	
	Ataque à Aplicação
	
	
	 8a Questão (Ref.: 201307415073)
	Pontos: 0,0  / 0,5
	Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos:
		
	 
	A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras.
	
	Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados.
	
	Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo.
	 
	Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
	
	Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
	
	
	 9a Questão (Ref.: 201307415213)
	Pontos: 0,0  / 1,0
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
		
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	 
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientizaçãoe treinamento e gerenciar as ações e os recursos do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
	 
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	
	 10a Questão (Ref.: 201307726010)
	Pontos: 1,0  / 1,0
	Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização?
		
	
	O local de armazenamento deve estar a, no mínimo, 25 quilômetros da organização.
	
	O local de armazenamento deve estar protegido por guardas armados.
	
	O local de armazenamento deve estar a, no mínimo, 40 quilômetros da organização.
	 
	O local de armazenamento deve estar protegido contra acessos não autorizados.
	
	O local de armazenamento deve ser de fácil acesso durante o expediente.