Exercícios de Aula - Gestão de Segurança da Informação

Prévia do material em texto

EXERCÍCIO
	1.
	S – GESTÃO DA SEGURANÇA DA INFORMAÇÃO
	O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
		Quest.: 1
	
	
	
	
	Apoio às Operações
	
	
	Apoio às Estratégias para vantagem competitiva
	
	
	Apoio à tomada de decisão empresarial
	
	
	Apoio aos Processos
	
	 
	Apoio ao uso da Internet e do ambiente wireless
	
	
		2.
		Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível:
		Quest.: 2
	
	
	
	
	Confiabilidade de um Banco.
	
	 
	Sistema de Informação.
	
	
	Qualidade do Serviço.
	
	
	Marca de um Produto.
	
	
	Imagem da Empresa no Mercado.
	
	
		3.
		Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos?
		Quest.: 3
	
	
	
	
	Contábil e Não Contábil.
	
	
	Tangível e Físico.
	
	
	Intangível e Qualitativo.
	
	
	Material e Tangível.
	
	 
	Tangível e Intangível.
AULA 02
	
		1.
		Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança?
		Quest.: 1
	
	
	
	
	Secreta.
	
	 
	Irrestrito.
	
	
	As opções (a) e (c) estão corretas.
	
	
	Interna.
	
	
	Confidencial.
	
	
		2.
		Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação:
		Quest.: 2
	
	
	
	
	Confiabilidade, Disponibilidade e Integridade.
	
	
	Confidencialidade, Descrição e Integridade.
	
	 
	Confidencialidade, Disponibilidade e Integridade.
	
	
	Confiabilidade, Disponibilidade e Intencionalidade.
	
	
	Confidencialidade, Indisponibilidade e Integridade.
	
	
		3.
		Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação?
		Quest.: 3
	
	
	
	
	Valor de troca.
	
	
	Valor de propriedade.
	
	
	Valor de uso.
	
	 
	Valor de orçamento.
	
	
	Valor de restrição.
AULA 03
	
	
		1.
		Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		Quest.: 1
	
	
	
	 
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	 
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos
	
	
		2.
		Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque?
		Quest.: 2
	
	
	
	
	Vulnerabilidade Mídia
	
	
	Vulnerabilidade Natural
	
	
	Vulnerabilidade Física
	
	 
	Vulnerabilidade de Software
	
	 
	Vulnerabilidade de Comunicação
	
	
		3.
		Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
		Quest.: 3
	
	
	
	
	Vulnerabilidade Natural
	
	
	Vulnerabilidade Física
	
	 
	Vulnerabilidade Software
	
	 
	Vulnerabilidade Comunicação
	
	
	Vulnerabilidade Mídias
AULA 04
	
	 1a Questão (Ref.: 201301589451)
	
	As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
		
	
	Naturais, Voluntarias e Obrigatórias.
	
	Naturais, Involuntárias e Obrigatórias.
	
	Ocasionais, Involuntárias e Obrigatórias.
	 
	Naturais, Involuntárias e Voluntarias.
	
	Naturais, Voluntarias e Vulneráveis.
	
	
	 2a Questão (Ref.: 201301589920)
	
	Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é:
		
	
	falsa, pois os impactos são sempre iguais para ameaças diferentes.
	
	falsa, pois não depende do ativo afetado.
	
	falsa, pois não devemos considerar que diferentes ameaças existem .
	 
	parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
	 
	verdadeira
	
	
	 3a Questão (Ref.: 201301589462)
	
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		
	
	Fraco
	
	Passivo
	 
	Ativo
	
	Forte
	
	Secreto
AULA 05
	
	Faltam 5 minutos para o término do exercício.
	
	
		1.
	
		Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ?
		Quest.: 1
	
	
	
	
	
	O atacante tenta manter seu próprio domínio sobre o sistema
	
	
	O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
	
	
	O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
	
	
	O Atacante penetra do sistema para explorarvulnerabilidades encontradas no sistema.
	
	
	O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
	
	Faltam 5 minutos para o término do exercício.
	
	
		2.
	
		A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de:
		Quest.: 2
	
	
	
	
	
	Fragmentação de pacotes IP
	
	
	Buffer Overflow
	
	
	Fraggle
	
	
	Smurf
	
	
	SQL injection
	
	Faltam 5 minutos para o término do exercício.
	
	
		3.
	
		Suponha que um hacker esteja planejando um ataque a uma empresa. Inicialmente irá utilizar diversos artifícios e mecanismos para se aproximar da empresa ou rede a ser atacada. Como se chama este primeiro passo do atacante?
		Quest.: 3
	
	
	
	
	
	Explorando informações.
	
	
	Acessando a empresa
	
	
	Levantamento das Informações de forma passiva.
	
	
	Engenharia Social
	
	
	Levantamento das Informações de forma ativa
AULA 06
	
	
	
		1.
		Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		Quest.: 1
	
	
	
	
	Diretrizes.
	
	 
	Normas.
	
	 
	Procedimentos.
	
	
	Relatório Estratégico.
	
	
	Manuais.
	
	
		2.
		Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter":
		Quest.: 2
	
	
	
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	 
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	
	
		3.
		Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando?
		Quest.: 3
	
	
	
	
	Deter
	
	
	Discriminar
	
	
	Dificultar
	
	
	Detectar
	
	 
	Desencorajar
	
AULA 07
	
		1.
		Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
		Quest.: 1
	
	
	
	 
	Requisitos de negócio, Análise de risco, Requisitos legais
	
	
	Análise de vulnerabilidades, requisitos legais e classificação da informação
	
	
	Classificação da informação, requisitos de negócio e análise de risco
	
	
	Análise de risco, análise do impacto de negócio (BIA), classificação da informação
	
	
	Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
	
	
		2.
		Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?
		Quest.: 2
	
	
	
	 
	Diretrizes.
	
	
	Procedimentos.
	
	
	Manuais.
	
	
	Relatório Estratégico.
	
	
	Normas.
	
	
		3.
		Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma:
		Quest.: 3
	
	
	
	
	Identificação/avaliação sistemática dos eventos de segurança da informação
	
	
	Análise/avaliação sistemática dos incidentes de segurança da informação
	
	
	Análise/revisão sistemática dos ativos de segurança da informação
	
	
	Análise/orientação sistemática dos cenários de segurança da informação
	
	 
	Análise/avaliação sistemática dos riscos de segurança da informação
AULA 08
	
	 1a Questão (Ref.: 201301589905)
	
	A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
		
	 
	Preventiva.
	 
	Limitação.
	
	Recuperação .
	
	Correção.
	
	Reação.
	
	
	 2a Questão (Ref.: 201301589909)
	
	A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
		
	
	Reação
	
	Limitação
	
	Correção
	 
	Desencorajamento
	
	Preventiva
	
	
	 3a Questão (Ref.: 201301677188)
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Corrigidas e Preventivas
	 
	Corretivas e Preventivas
	
	Corretivas e Correção
	
	Corretivas e Corrigidas
	
	Prevenção e Preventivas
AULA 09
	
		1.
		Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
		Quest.: 1
	
	
	
	
	Comunicar-se com as partes interessadas
	
	
	Controlar o incidente
	
	 
	Afastar o incidente do cliente
	
	
	Tomar controle da situação
	
	
	Confirmar a natureza e extensão do incidente
	
	
		2.
		Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar:
		Quest.: 2
	
	
	
	
	Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	
	
	Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.
	
	
	Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	 
	Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	
	Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização.
	
	
		3.
		Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?
		Quest.: 3
	
	
	
	
	Análise de vulnerabilidade
	
	
	Classificação da informaçãoAnálise de impacto dos negócios (BIA)
	
	
	Auditoria interna
	
	
	Análise de risco
AULA 10
	
	 1a Questão (Ref.: 201301670208)
	
	Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
		
	 
	na Zona Demilitarizada (DMZ) protegida
	 
	na rede interna da organização
	
	em uma subrede externa protegida por um proxy
	
	ligado diretamente no roteador de borda
	
	na Zona Demilitarizada (DMZ) suja
	
	
	 2a Questão (Ref.: 201301670205)
	
	Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar :
		
	
	Um detector de intrusão
	
	Um roteador de borda
	
	Um filtro de pacotes
	
	Um firewall com estado
	 
	Um servidor proxy
	
	
	 3a Questão (Ref.: 201301670199)
	
	Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
		
	
	ligado diretamente no roteador de borda
	 
	na Zona Desmilitarizada (DMZ) protegida
	
	na Zona Desmilitarizada (DMZ) suja
	
	em uma subrede interna protegida por um proxy
	
	na rede interna da organização