Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão (Ref.: 201407536116) Pontos: 1,0 / 1,0 Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade? Resposta: A análise das vulnerabilidades: se preocupa principalmente com a identificação de possiveis falhas de segurança. O teste das vulnerabilidades tem a função de testar a parte de segurança, com o objetivo de saber se a vulnerabilidade ainda persiste. A pesquisa de vulnerabilidade tem o intuito de pesquisar possiveis novas vulnerabilidades, tendo como base vulnerabilidades já conhecidas, para assim poder pesquisar outras desconhecidas. Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança. 2a Questão (Ref.: 201407547730) Pontos: 1,0 / 1,0 A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o PlanDoCheckAct (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Check" do PDCA: Resposta: A etapa "check", do PDCA, tem o objetivo de analisar incidentes de segurança,vulnerabilidades, assim como seus possiveis impactos na organização, com o objetivo de reduzilos.Caso estaja tudo certo, poderá passar para a proxima etapa, a etapa "Act". Gabarito: Check (monitorar e analisar criticamente o SGSI): A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bemsucedida, e os incidente de segurança da informação. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados. 3a Questão (Ref.: 201408130822) Pontos: 1,0 / 1,0 Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Ativo Intangível Tangível Abstrato Passivo 4a Questão (Ref.: 201407458624) Pontos: 0,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de restrição. Valor de troca. Valor de orçamento. Valor de propriedade. Valor de uso. 5a Questão (Ref.: 201408096173) Pontos: 1,0 / 1,0 Ataque a de modemsroteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o modemroteador para utilizar um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Comunicação. Vulnerabilidade de Mídias. Vulnerabilidade Física. Vulnerabilidade Natural. Vulnerabilidade de Hardware. 6a Questão (Ref.: 201407455470) Pontos: 1,0 / 1,0 Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Medidas Corretivas e Reativas Métodos Detectivos Métodos Quantitativos Medidas Preventivas Medidas Perceptivas 7a Questão (Ref.: 201408096720) Pontos: 0,5 / 0,5 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no threewayhandshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque: Fraggle. Port Scanning. Syn Flooding. Ip Spoofing. Packet Sniffing. 8a Questão (Ref.: 201407455461) Pontos: 0,5 / 0,5 É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos? Preparação de um plano de continuidade de negócios. Preparação de um plano de respostas a incidentes. Descrição dos requisitos de segurança da informação para um produto. Preparação de um plano para aceitar todos os Riscos Conformidade Legal e a evidência da realização dos procedimentos corretos 9a Questão (Ref.: 201407455481) Pontos: 0,0 / 0,5 Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27003 ISO/IEC 27005 ISO/IEC 27002 ISO/IEC 27004 ISO/IEC 27001 10a Questão (Ref.: 201407536149) Pontos: 0,0 / 0,5 Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? ligado diretamente no roteador de borda na rede interna da organização em uma subrede externa protegida por um proxy na Zona Demilitarizada (DMZ) protegida na Zona Demilitarizada (DMZ) suja Período de não visualização da prova: desde 08/06/2016 até 21/06/2016.
Compartilhar