AV GESTÃO DE SEGURANÇA

Prévia do material em texto

Avaliação: CCT0185_AV_201107100283 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV 
	Aluno: 201107100283 - JOSE HUMBERTO DE SOUSA SILVA 
	Professor:
	RENATO DOS PASSOS GUIMARAES
	Turma: 9001/AA
	Nota da Prova: 7,6        Nota de Partic.: 2        Data: 12/11/2013 18:21:19 
	
	 1a Questão (Ref.: 201107249950)
	9a sem.: GESTÃO DA CONFORMIDADE NBR ISO/IEC 15999
	Pontos: 0,8  / 0,8 
	Qual das opções abaixo apresenta a Norma que orienta as organizações na estruturação e implementação da continuidade de negócio? 
		
	
	NBR ISO/IEC 16199:1
	
	NBR ISO/IEC 16999:1 
	
	NBR ISO/IEC 15999:1
	
	NBR ISO/IEC 15991:1 
	
	NBR ISO/IEC 15199:1 
	
	
	 2a Questão (Ref.: 201107169259)
	5a sem.: Ataques à Segurança
	Pontos: 0,8  / 0,8 
	Qual das opções abaixo consiste em enviar para um programa que espera por uma entrada de dados qualquer informações inconsistentes ou que não estão de acordo com o padrão de entrada de dados?
		
	
	SQL Injection
	
	Buffer Overflow
	
	Fragmentação de Pacotes IP
	
	Smurf
	
	Fraggle
	
	
	 3a Questão (Ref.: 201107169274)
	6a sem.: Gestão de Riscos em Segurança da Informação
	Pontos: 0,8  / 0,8 
	Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco:
		
	
	Risco verdadeiro;
	
	Risco percebido;
	
	Risco residual;
	
	Risco real;
	
	Risco tratado;
	
	
	 4a Questão (Ref.: 201107249931)
	3a sem.: VULNERABILIDADES DE SEGURANÇA
	Pontos: 0,8  / 0,8 
	Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade?
		
	
Resposta: Análise de vulnerabilidade é o quanto elas podem impactar. Teste de vulnerabilidade testa os sistemas/aplicações quanto à sua possibilidade de ocorrência. Pesquisa de vulnerabilidade localiza nos sistemas/aplicações possíveis vulnerabilidades que possam ter.
	
Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem comprometer a segurança. 
	
	
	 5a Questão (Ref.: 201107249936)
	5a sem.: ATAQUES A SEGURANÇA
	Pontos: 0,4  / 0,8 
	Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf.
		
	
Resposta: Fragle consiste em enviar mensagens ping para o ip do destinatário.
	
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas o fato que utiliza-se de pacotes do protocolo UDP.
	
	
	 6a Questão (Ref.: 201107172396)
	1a sem.: Introdução à Segurança da Informação
	Pontos: 0,8  / 0,8 
	Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação:
		
	
	Tudo aquilo que é utilizado no Balanço Patrimonial.
	
	Tudo aquilo que não possui valor específico.
	
	Tudo aquilo que tem valor para a organização.
	
	Tudo aquilo que a empresa usa como inventario contábil.
	
	Tudo aquilo que não manipula dados.
	
	
	 7a Questão (Ref.: 201107169674)
	1a sem.: Introdução à Segurança da Informação
	Pontos: 0,8  / 0,8 
	O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? 
		
	
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos;
	
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros;
	
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia;
	
	Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos;
	
	Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais;
	
	
	 8a Questão (Ref.: 201107169671)
	1a sem.: Introdução à Segurança da Informação
	Pontos: 0,8  / 0,8 
	Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que:
		
	
	A afirmativa é falsa.
	
	A afirmativa é verdadeira somente para vulnerabilidades lógicas.
	
	A afirmativa é verdadeira somente para vulnerabilidades físicas.
	
	A afirmativa é verdadeira.
	
	A afirmativa é verdadeira somente para ameaças identificadas.
	
	
	 9a Questão (Ref.: 201107249955)
	10a sem.: ESTRATÉGIAS DE PROTEÇÃO
	DESCARTADA 
	Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança? 
		
	
	na rede interna da organização 
	
	na Zona Desmilitarizada (DMZ) protegida 
	
	na Zona Desmilitarizada (DMZ) suja 
	
	ligado diretamente no roteador de borda 
	
	em uma subrede interna protegida por um proxy 
	
	
	 10a Questão (Ref.: 201107169222)
	5a sem.: Ataques à Segurança
	Pontos: 0,8  / 0,8 
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	
	Fragmentação de Pacotes IP
	
	Smurf
	
	SQL Injection 
	
	Buffer Overflow 
	
	Fraggle
	
	
	 11a Questão (Ref.: 201107243294)
	3a sem.: Vulnerabilidades de Segurança
	Pontos: 0,8  / 0,8 
	No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque?
		
	
	Vulnerabilidade de Software
	
	Vulnerabilidade Natural
	
	Vulnerabilidade Mídia
	
	Vulnerabilidade de Comunicação
	
	Vulnerabilidade Física