gestao seguranca informacao

Prévia do material em texto

Avaliação: CCT0185_AV2_201101111356 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201101111356 - LUCIANO BARBOSA LIMA
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9005/AG
Nota da Prova: 7,0 de 8,0 Nota do Trabalho: Nota de Participação: 0 Data: 12/06/2013 08:11:21
 1a Questão (Cód.: 139617) Pontos: 1,5 / 1,5
No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça.
Resposta: Ativo: Todo recurso importante para a empresa. Ao quais compõe a entrega de produtos e serviços
fundamentais. Vulnerabilidade: é uma falha ou defeito de segurança ao qual um ativo é submetido. Ameaça:
Um evento que tem a capacidade de explorar as vulnerabilidades. E assim, causar um impacto nos ativos.
Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um
mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial
em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou
prejuízos decorrentes de situações inesperadas.
 2a Questão (Cód.: 139634) Pontos: 0,0 / 1,0
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você
está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações
que você deve realizar:
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços
desnecessários para a organização.
 Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de
produtos e serviços fundamentais para a organização.
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços
desnecessários para a organização.
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços
fundamentais para a organização.
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços
fundamentais para a organização.
 3a Questão (Cód.: 45779) Pontos: 0,5 / 0,5
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três
princípios básicos:
Flexibilidade, agilidade e conformidade
Autenticidade, originalidade e abrangência
Integridade, prevenção e proteção
Prevenção, proteção e reação
 Integridade, confidencialidade e disponibilidade
 4a Questão (Cód.: 139659) Pontos: 0,5 / 0,5
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA :
A Chave Privada deve ser mantida em segredo pelo seu Dono
Cada pessoa ou entidade mantém duas chaves
 A Chave Publica não pode ser divulgada livremente, somente a Chave Privada
Chave Publica e Privada são utilizadas por algoritmos assimétricos
A Chave Publica pode ser divulgada livremente
 5a Questão (Cód.: 132979) Pontos: 1,0 / 1,0
Maio/2011 - A Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de
usuários da rede online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde
um servidor de aplicações conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a
companhia, os hackers encobriram o ataque como uma compra na plataforma online de Sony e depois de
passar do servidor site, O ataque, que foi considerado um dos maiores, no sentido do vazamento de dados
confidenciais, da história obrigou a Sony a reconstruir grande parte da sua rede, causado um prejuízo de 171
milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns serviços menos essenciais
foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos os serviços. . Qual
você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade de Comunicação
Vulnerabilidade de Mídias
Vulnerabilidade Natural
 Vulnerabilidade de Software
Vulnerabilidade Física
 6a Questão (Cód.: 139626) Pontos: 1,5 / 1,5
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque
de Buffer Overflow?
Resposta: O ataque do tipo SQL Injection se aproveita das vulnerabilidades nos banco de dados. O ataque do
tipo Buffer Overflow utiliza de várias requisições a fim de sobrecarregar o sistema.
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o
padrão de entrada de dados.
 7a Questão (Cód.: 59365) Pontos: 0,5 / 0,5
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma
ameaça¿. Podemos dizer que é:
 verdadeira
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça.
falsa, pois não depende do ativo afetado.
falsa, pois não devemos considerar que diferentes ameaças existem .
falsa, pois os impactos são sempre iguais para ameaças diferentes.
 8a Questão (Cód.: 62123) Pontos: 0,5 / 0,5
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um
tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da
informação relacionada à:
Não-Repúdio;
 Integridade;
Auditoria;
Autenticidade;
Confidencialidade;
 9a Questão (Cód.: 58979) Pontos: 0,5 / 0,5
Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um
determinado risco não vale a pena ser aplicado:
Comunicação do Risco
 Aceitação do Risco
Garantia do Risco
Monitoramento do Risco
Recusar o Risco
 10a Questão (Cód.: 59360) Pontos: 0,5 / 0,5
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos
dizer que:
 A afirmativa é verdadeira.
A afirmativa é verdadeira somente para vulnerabilidades lógicas.
A afirmativa é falsa.
A afirmativa é verdadeira somente para vulnerabilidades físicas.
A afirmativa é verdadeira somente para ameaças identificadas.
Período de não visualização da prova: desde 03/06/2013 até 18/06/2013.