Buscar

AV2 GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 4 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

Fechar 
 
Avaliação: GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 
Professor: 
 
Turma: 
Nota da Prova: 9,7 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 06/06/2016 16:34:41 
 
 
 1a Questão (Ref.: 201407943021) Pontos: 1,0 / 1,0 
Segundo informação disponibilizadas no site Techie Buzz, a página oficial do projeto MySQL foi atacada através 
de SQL_Injection (alguns sites referem que foram utilizados mecanismos mais elaborados como XSS e blind 
SQLi). Ao que tudo indica, além do ataque ter sido efetuado com sucesso foram roubados dados importantes da 
empresa. Qual você acha que foi a vulnerabilidade utilizada neste caso? 
 
 
Resposta: Vulnerabilidade de Software. 
 
 
Gabarito: Seria uma vulnerabilidade de Software já que um software que permite um SQL_injection está mal 
configurado quando de seu desenvolvimento. 
 
 
Fundamentação do(a) Professor(a): Resposta correta 
 
 
 
 2a Questão (Ref.: 201407943954) Pontos: 0,7 / 1,0 
O objetivo de um Plano de Continuidade de Negócio (PCN) é assegurar a continuidade das operações da 
organização na eventualidade de uma indisponibilidade prolongada dos recursos que dão suporte à realização 
dessas operações (equipamentos, sistemas de informação, instalações, pessoal e informações). Quais as 
atividades deverão ser envolvidas num programa de GCN para que seja implementado nas organizações e 
alcance os objetivos definidos na Política de Continuidade de Negócios? 
 
 
Resposta: Planejamento do Plano de Continuidade de Negócio, Análise e produção do escopo do Plano de 
Continuidade de Negócio, Implantação do Plano de Continuidade de Negócios e Monitoração/Gerenciamento do 
Plano de Continuidade de Negócios. 
 
 
Gabarito: Atribuição de responsabilidades, Implementação da continuidade de negócios na organização, Gestão 
contínua da continuidade de negócios 
 
 
Fundamentação do(a) Professor(a): Resposta parcialmente correta 
 
 
 
 3a Questão (Ref.: 201407185380) Pontos: 1,0 / 1,0 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
Confidencialidade; 
 
Integridade; 
 
Privacidade; 
 Disponibilidade; 
 
Não-repúdio; 
 
 
 
 4a Questão (Ref.: 201407182637) Pontos: 1,0 / 1,0 
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos 
diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma 
ameaça¿. Podemos dizer que é: 
 
 
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 
falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 verdadeira 
 
falsa, pois não devemos considerar que diferentes ameaças existem . 
 
falsa, pois não depende do ativo afetado. 
 
 
 
 5a Questão (Ref.: 201407182183) Pontos: 1,0 / 1,0 
Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque 
externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de 
cadastro do cliente. Neste caso, foi utilizado um ataque de 
 
 SQL Injection 
 
Smurf 
 
Fragmentação de Pacotes IP 
 
Buffer Overflow 
 
Fraggle 
 
 
 
 6a Questão (Ref.: 201407714810) Pontos: 1,0 / 1,0 
Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de instalação de jogos, 
aplicativos e softwares ? 
 
 
Backdoor 
 Adware 
 
Spyware 
 
Rootkit 
 
Trojan 
 
 
 
 7a Questão (Ref.: 201407864007) Pontos: 1,0 / 1,0 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um 
Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais 
toda a família está baseada e se integra. 
 
A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. 
Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. 
 
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais 
de segurança e uma seção introdutória que aborda a questões de contingência. 
 
Um incidente de segurança da informação é indicado por um evento de segurança da informação 
esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a 
segurança da informação. 
 
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para 
atender aos requisitos identificados exclusivamente por meio da classificação das informações. 
 
 
 
 8a Questão (Ref.: 201407269905) Pontos: 1,0 / 1,0 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos 
eventos monitorados e através de ações: 
 
 
Corrigidas e Preventivas 
 
Corretivas e Corrigidas 
 
Prevenção e Preventivas 
 Corretivas e Preventivas 
 
Corretivas e Correção 
 
 
 
 9a Questão (Ref.: 201407262906) Pontos: 1,0 / 1,0 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você 
está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações 
que você deve realizar: 
 
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços 
fundamentais para a organização. 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços 
fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços 
desnecessários para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de 
produtos e serviços fundamentais para a organização. 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços 
desnecessários para a organização. 
 
 
 
 10a Questão (Ref.: 201407389141) Pontos: 1,0 / 1,0 
Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a 
empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para 
a recuperação destes dados: 
 
 
Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação 
intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. 
 
Havia uma VPN interligando várias Intranets através da Internet. 
 
Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são 
conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste 
dispositivo. 
 Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração 
de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma 
política pré-determinada. 
 
A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, 
permitindoque alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou 
modificações e acessos ilegais aos dados internos.

Materiais relacionados

Perguntas relacionadas

Materiais recentes

Perguntas Recentes