AV e AVS Gestão da Segurança da Informação

Prévia do material em texto

Fechar
	CCT0185_AV_201401347452 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO  
	Avaliação: AV
	Aluno: 201401347452 - NORIVAL PRAVATO 
	Nota da Prova: 5,0    Nota de Partic.: 2     Av. Parcial.: 2     Data: 17/11/2015 08:58:43 (F)
	
	 1a Questão (Ref.: 139617)
	Pontos: 1,5  / 1,5 
	No contexto da segurança da informação , defina os conceitos de Ativo, Vulnerabilidade e Ameaça. 
		
	
Resposta: Ativo é todo o produto,processo e pesoas dentro de uma organização,que se pretende proteger contra qualquer tipo de ameaça. Vulnerabilidade é a ausência de proteção ou falhas em mecanismos de proteção existentes. Ameaça é uma probabilidade de se explorar uma vulnerabilidade existente em um sistema de informação. 
	
Gabarito: Ativo: qualquer coisa que tenha valor para a organização. Vulnerabilidade: A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. Ameaça: Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas. 
		
	
	
	 2a Questão (Ref.: 151235)
	Pontos: 0,0  / 1,5 
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Act" do PDCA:
		
	
Resposta: A etapa "Act" é a implementação de procedimentos de monitoração de análise críticas.
	
Gabarito: Act (Manter e melhorar o SGSI): - A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
		
	
	
	 3a Questão (Ref.: 61965)
	Pontos: 0,5  / 0,5 
	Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?
		
	
	Vulnerabilidade.
	
	Impacto.
	
	Ameaça.
	
	Valor.
	
	Risco.
		
	
	
	 4a Questão (Ref.: 62124)
	Pontos: 0,5  / 0,5 
	Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança?
		
	
	Pública.
	
	Irrestrito.
	
	Confidencial.
	
	Interna.
	
	Secreta.
		
	
	
	 5a Questão (Ref.: 734780)
	Pontos: 0,5  / 0,5 
	João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: 
		
	
	Mídia
	
	Humana 
	
	Física 
	
	Natural 
	
	Comunicação 
		
	
	
	 6a Questão (Ref.: 228555)
	Pontos: 0,5  / 0,5 
	Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
		
	
	Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões.
	
	Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
	
	Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
	
	Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
		
	
	
	 7a Questão (Ref.: 58931)
	Pontos: 0,0  / 0,5 
	Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo
		
	
	Source Routing 
	
	Shrink wrap code 
	
	Phishing Scan 
	
	DDos 
	
	SQL Injection 
		
	
	
	 8a Questão (Ref.: 591417)
	Pontos: 0,5  / 0,5 
	Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
		
	
	Spyware
	
	Rootkit
	
	Spammer
	
	Bot/Botnet
	
	Phishing
		Gabarito Comentado.
	
	
	 9a Questão (Ref.: 729741)
	Pontos: 0,0  / 1,0 
	O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
		Gabarito Comentado.
	
	
	 10a Questão (Ref.: 576662)
	Pontos: 1,0  / 1,0 
	Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? 
		
	
	O PCN só pode ser implementado se o PRD já tiver em uso.
	
	O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. 
	
	O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. 
	
	O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 
	
	O PRD é mais abrangente que o PCN. 
		
	
	
	
	Fechar
	CCT0185_AVS_201401347452 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO  
	Avaliação: AVS
	Aluno: 201401347452 - NORIVAL PRAVATO 
	Nota da Prova: 5,5    Nota de Partic.: 2     Av. Parcial.: 2     Data: 09/12/2015 08:30:21 (F)
	
	 1a Questão (Ref.: 40958)
	Pontos: 1,5  / 1,5 
	"Existem casos onde um software ou sistema operacionalinstalado em um computador pode conter uma abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador". 
No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas. 
		
	
Resposta: Vulnerabilidade é a falha ou ausencia de proteção existente no sistema de segurança da informação. Ameaça é a probabilidade que um ataque ocorra através da exploração de uma vulnerabilidade.
	
Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que se diz respeito a sistemas de informações.
		
	
	
	 2a Questão (Ref.: 151235)
	Pontos: 1,5  / 1,5 
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Act" do PDCA:
		
	
Resposta: ACT (Manter e melhorar ) A organização deve agir para mater e melhorar o SGSI,deve agir de forma preventiva e corretiva para o bom funcionamento do SGSI.
	
Gabarito: Act (Manter e melhorar o SGSI): - A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
		
	
	
	 3a Questão (Ref.: 59366)
	Pontos: 0,5  / 0,5 
	Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo?
		
	
	O crescimento explosivo dos cursos relacionados com a tecnologia da informação;
	
	O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações;
	
	O Aumento no consumo de softwares licenciados;
	
	O uso da internet para sites de relacionamento;
	
	O crescimento explosivo da venda de computadores e sistemas livres;
		
	
	
	 4a Questão (Ref.: 734370)
	Pontos: 0,5  / 0,5 
	VULNERABILIDADE DE SEGURANÇA O ciclo de vida da informação Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como João pode ter certeza de que está dialogando com seu banco e não com alguém que se faz passar por ele? Neste caso estamos falando de: 
		
	
	Confidencialidade
	
	Não-repúdio
	
	Disponibilidade 
	
	Legalidade
	
	Autenticação 
		
	
	
	 5a Questão (Ref.: 132983)
	Pontos: 0,0  / 0,5 
	No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque?
		
	
	Vulnerabilidade de Comunicação
	
	Vulnerabilidade Mídia
	
	Vulnerabilidade Natural
	
	Vulnerabilidade de Software
	
	Vulnerabilidade Física
		
	
	
	 6a Questão (Ref.: 58907)
	Pontos: 0,5  / 0,5 
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		
	
	Passivo
	
	Forte
	
	Secreto
	
	Fraco
	
	Ativo
		Gabarito Comentado.
	
	
	 7a Questão (Ref.: 569023)
	Pontos: 0,0  / 0,5 
	Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. 
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams: 
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam-se em leis e regulamentações inexistentes. 
Estão corretas: 
		
	
	Nenhuma afirmativa está correta 
	
	II, IV e VI 
	
	I, III e V 
	
	Todas as afirmativas estão corretas 
	
	I, II, III, V e VI 
		Gabarito Comentado.
	
	
	 8a Questão (Ref.: 591536)
	Pontos: 0,0  / 0,5 
	Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ?
		
	
	Spyware
	
	Phishing
	
	Rootkit
	
	Defacement
	
	Backdoor
		
	
	
	 9a Questão (Ref.: 146630)
	Pontos: 1,0  / 1,0 
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
		
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 
	
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 
		
	
	
	 10a Questão (Ref.: 740761)
	Pontos: 0,0  / 1,0 
	Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. 
		
	
	Chave privada 
	
	Chave criptografada privada 
	
	Chave certificada 
	
	Chave criptografada pública 
	
	Chave pública