GESTÃO DE SEGURANÇA DA INFORMAÇÃO EstácioAV2

Prévia do material em texto

08/06/2016 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=39210480&p1=201501381644&p2=2219820&p3=CCT0059&p4=102412&p5=AV2&p6=31/05/2016&p10=42299946 1/3
  1a Questão (Ref.: 201501559434) Pontos: 0,5  / 1,0
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque
de Buffer Overflow?
Resposta: Ataque de SQL é o ataque ao banco de dados e o de Buffer é o que ataca a vulnerabilidade
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o
padrão de entrada de dados.
  2a Questão (Ref.: 201501571050) Pontos: 0,5  / 1,0
Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas
estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas
podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com
suas palavras o que é uma VPN (Virtual Private Networks):
Resposta: VPN é uma rede privada que interliga lugares com "segurança" como se fosse uma rede em outro
ambiente
Gabarito: ­ Interligam várias Intranets através da Internet ­ Usam o conceito de tunelamento: Dados são
criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré­estabelecidos ­ Permitem
acessos remotos com segurança
  3a Questão (Ref.: 201501481769) Pontos: 1,0  / 1,0
Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de
negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em
uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿?
  Visa à proteção de todos os ativos de uma empresa que contêm informações.
Visa principalmente à proteção dos ativos patrimoniais que contêm informações.
Visa à proteção dos equipamentos de uma empresa que contêm informações.
Visam à proteção alguns poucos ativos de uma empresa que contêm informações.
Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações.
  4a Questão (Ref.: 201501478711) Pontos: 0,0  / 1,0
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá
ser melhor descrito como sendo um:
worm
  vírus
active­x
  cavalo de tróia (trojan horse)
08/06/2016 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=39210480&p1=201501381644&p2=2219820&p3=CCT0059&p4=102412&p5=AV2&p6=31/05/2016&p10=42299946 2/3
exploit
  5a Questão (Ref.: 201501664982) Pontos: 1,0  / 1,0
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o
atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a
verificação do lixo em busca de informações que possam facilitar o ataque é denominado:
SQL Injection
  Dumpster diving ou trashing
Packet Sniffing
Ataque smurf
IP Spoofing
  6a Questão (Ref.: 201501478773) Pontos: 1,0  / 1,0
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o
processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes
propósitos?
Preparação de um plano de respostas a incidentes.
Preparação de um plano de continuidade de negócios.
Descrição dos requisitos de segurança da informação para um produto.
  Preparação de um plano para aceitar todos os Riscos
Conformidade Legal e a evidência da realização dos procedimentos corretos
  7a Questão (Ref.: 201501478791) Pontos: 1,0  / 1,0
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de
processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da
informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a
NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança?
  Controle de Acesso
Desenvolvimento e Manutenção de Sistemas
Segurança em Recursos Humanos
Gerenciamento das Operações e Comunicações
Segurança Física e do Ambiente
  8a Questão (Ref.: 201501988887) Pontos: 0,0  / 1,0
Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os
recursos necessários para:
  Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 
Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.
Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
  Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar
aos ativos.
Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
08/06/2016 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=39210480&p1=201501381644&p2=2219820&p3=CCT0059&p4=102412&p5=AV2&p6=31/05/2016&p10=42299946 3/3
  9a Questão (Ref.: 201502160561) Pontos: 0,0  / 1,0
A gestão de continuidade de negócio envolve prioritariamente os seguintes processos:
Investigação e diagnóstico; resolução de problemas; recuperação
  Tratamento de incidentes; solução de problemas; acordo de nível de operação
  Análise de impacto no negócio; avaliação de risco; plano de contingência
Gestão de configuração; planejamento de capacidade; gestão de mudança
Plano de redundância; análise de risco; planejamento de capacidade
  10a Questão (Ref.: 201501559469) Pontos: 1,0  / 1,0
Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é
correto afirmar que?
A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma
chave
A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas
chaves
  A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave
A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves
diferentes