AV SET 2016 GESTAO DA SEGURANCA DA INFORMACAO

Prévia do material em texto

Fechar 
 
Avaliação: CCT0185_AV_201405030755 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV 
Aluno: 201405030755 - ADRIANA REGINA DA SILVA 
Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9001/AA 
Nota da Prova: 7,0 Nota de Partic.: 0 Av. Parcial 2 Data: 15/09/2016 16:00:06 
 
 
 1a Questão (Ref.: 201405271884) Pontos: 0,5 / 1,0 
No cenário da figura abaixo estão dois generais. 
 
Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais. Ponha-se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a montagem da estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens escritas; 2 : Você não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não confia plenamente nos seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula 5. 
 Resposta: O primeiro passo é saber a localização do inimigo. Sabendo de sua localização, eu procuraria por vulnerabilidades em sua formação e através dessas vulnerabilidades, enviaria um mensageiro ao outro general, com uma mensagem criptografada que só os generais conhecem, estabelendo momento e local de uma ataque em conjunto com o exército dele. Nessa mensagem conteria também uma solicitação de confirmação do general aliado, também criptografada. Assim, seria possível o ataque em massa e derrotaríamos o inimigo. 
 Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar, através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua localização. Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos concentração de soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o ataque sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase são exploradas as vulnerabilidades encontradas no exercito inimigo. Manutenção do acesso Aqui os generais tentarão manter seu próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará dominado, frágil e comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência nas instalações do inimigo, sem deixar que desconfie quais foram as suas táticas usadas para obter o sucesso. 
 Fundamentação do(a) Professor(a): Resposta parcialmente correta 
 
 
 
 2a Questão (Ref.: 201405185066) Pontos: 0,5 / 1,0 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN: 
 Resposta: O Elemento Entendendo a Organização diz que é preciso conhecer a fundo a empresa para saber quais produtos ou serviços terão prioridade e que níveis de segurança deverão ser destinados a eles, visando sempre a continuidade dos processos da organização em caso de ocorrência de algum evento. 
 Gabarito: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. 
 Fundamentação do(a) Professor(a): Resposta parcialmente correta 
 
 
 
 3a Questão (Ref.: 201405267626) Pontos: 1,0 / 1,0 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 
 Disponibilidade 
 
Auditoria 
 
Integridade 
 
Privacidade 
 
Confidencialidade 
 
 
 
 4a Questão (Ref.: 201405768192) Pontos: 1,0 / 1,0 
A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. 
 
 
o não-repúdio 
 a integridade 
 
a legalidade 
 
a confidencialidade 
 
a disponibilidade 
 
 
 
 5a Questão (Ref.: 201405299334) Pontos: 1,0 / 1,0 
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física: 
 
 
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). 
 
Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.). 
 
Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações. 
 Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 
 
Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura). 
 
 
 
 6a Questão (Ref.: 201405093195) Pontos: 1,0 / 1,0 
Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: 
 
 
parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
 
falsa, pois os impactos são sempre iguais para ameaças diferentes. 
 verdadeira 
 
falsa, pois não depende do ativo afetado. 
 
falsa, pois não devemos considerar que diferentes ameaças existem . 
 
 
 
 7a Questão (Ref.: 201405092712) Pontos: 0,5 / 0,5 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
 
 
Fraco 
 Passivo 
 
Secreto 
 
Forte 
 
Ativo 
 
 
 
 8a Questão (Ref.: 201405092798) Pontos: 0,5 / 0,5 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Manter a reputação e imagem da organização 
 
Melhorar a efetividade das decisões para controlar os riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Melhorar a eficácia no controle de riscos 
 
 
 
 9a Questão (Ref.: 201405092813) Pontos: 0,5 / 0,5 
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? 
 
 
Segurança Física e do Ambiente 
 
Gerenciamento das Operações e Comunicações 
 
Desenvolvimento e Manutenção de Sistemas 
 Controle de Acesso 
 
Segurança em Recursos Humanos 
 
 
 
 10a Questão (Ref.: 201405173464) Pontos: 0,5 / 0,5 
Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que vocêdeve realizar: 
 
 
Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização. 
 Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. 
 
Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. 
 
Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.