av2 GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Fechar
	Avaliação: CCT0059_AV2_200901339311 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV2
	Aluno: 
	Professor:
	RENATO DOS PASSOS GUIMARAES
	Turma: 
	Nota da Prova: 2,5 de 8,0  Nota do Trab.: 0    Nota de Partic.: 2  Data: 30/11/2015 15:04:30
	
	 1a Questão (Ref.: 200901512860)
	Pontos: 0,0  / 1,5
	Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três princípios.
		
	
Resposta: Pessoas: pois o risco de que funcionários vazem informação propositalmente ou não é muito grande por isso a empresa deve investir em programas ensinando ética e treinando seus funcionários para que um possível erro humano não aconteça. Dados: os dados da empresa são de extrema importância assim deverá ser feito um plano para que se veja a importancia dos dados e defender os de mais importância.
	
Gabarito: Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários
	
	
	 2a Questão (Ref.: 200901524482)
	Pontos: 1,0  / 1,5
	Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com suas palavras um "FIREWALL":
		
	
Resposta: Firewall: é para se controlar o que se entra e sai falando de informações. Ele controla todos os dados que estão entrando e saindo pois pode se ter um "ataque" de algum vírus ou algo parecido que pode comprometer o sigilo de dados valiosos para a empresa.
	
Gabarito: Isola a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos Permite apenas acesso autorizado à rede interna (conjunto de usuários e servidores autenticados)
	
	
	 3a Questão (Ref.: 200902107568)
	Pontos: 0,5  / 0,5
	Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação?
		
	
	Ativo
	
	Passivo
	
	Tangível
	 
	Intangível
	
	Abstrato
	
	
	 4a Questão (Ref.: 200901435362)
	Pontos: 0,0  / 0,5
	Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta?
		
	 
	Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações.
	 
	Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações.
	
	Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações.
	
	Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações.
	
	Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações.
	
	
	 5a Questão (Ref.: 200901939214)
	Pontos: 0,0  / 0,5
	Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		
	 
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	 
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
	
	
	 6a Questão (Ref.: 200902108078)
	Pontos: 0,0  / 0,5
	Pedro construiu um software de cartão virtual animado que além de executar as funções para as quais foi aparentemente projetado, também executa outras funções sem o conhecimento do usuário, como captar a senha do usuário por exemplo. Neste caso podemos afirmar que Pedro construiu um:
		
	 
	Trojan
	 
	Screenlogger
	
	Backdoor
	
	Worm
	
	Keylogger
	
	
	 7a Questão (Ref.: 200901432173)
	Pontos: 0,0  / 0,5
	Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo
		
	 
	SQL Injection
	
	Source Routing
	
	Shrink wrap code
	 
	Phishing Scan
	
	DDos
	
	
	 8a Questão (Ref.: 200901964773)
	Pontos: 0,0  / 0,5
	Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ?
		
	
	Spam
	
	Backdoor
	
	Rootkit
	 
	Adware
	 
	0day
	
	
	 9a Questão (Ref.: 200901942280)
	Pontos: 1,0  / 1,0
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	
	 10a Questão (Ref.: 200901608151)
	Pontos: 0,0  / 1,0
	BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
		
	 
	Simples e Objetiva.
	
	Natural e Desordenada
	 
	Qualitativa e Quantitativa
	
	Estatística e Ordenada
	
	Clara e Intelegível