GESTÃO DE SEGURANÇA DA INFORMAÇÃO EXERC. 3

Prévia do material em texto

1.
		Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
		
	
	
	
	
	Vulnerabilidade Natural.
	
	 
	Vulnerabilidade de Software.
	
	
	Vulnerabilidade de Comunicação.
	
	
	Vulnerabilidade de Mídias.
	
	
	Vulnerabilidade Física.
	
	
	
		2.
		Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
		
	
	
	
	
	São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
	
	 
	Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
	
	
	Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
	
	
	É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
	
	
	Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários.
	
	
	
		3.
		Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de que tipo?
		
	
	
	
	
	Acesso físico.
	
	
	Vírus de computador.
	
	
	Back doors.
	
	
	Cavalos de tróia.
	
	 
	Engenharia social.
	 Gabarito Comentado
	
	
		4.
		Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
		
	
	
	
	
	Vulnerabilidade de Mídias.
	
	 
	Vulnerabilidade Humana.
	
	
	Vulnerabilidade de Hardware.
	
	
	Vulnerabilidade Natural.
	
	
	Vulnerabilidade Física.
	 Gabarito Comentado
	
	
		5.
		Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		
	
	
	
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
	
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	 
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	 Gabarito Comentado
	
	
		6.
		Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo:
		
	
	
	
	
	Física
	
	 
	Comunicação
	
	
	Natural
	
	 
	Humana
	
	
	Mídia
	 Gabarito Comentado
	
	
		7.
		Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	
	
	
	
	Auditoria
	
	
	Autenticidade
	
	
	Integridade
	
	 
	Disponibilidade
	
	
	Confidencialidade
	 Gabarito Comentado
	 Gabarito Comentado
	
	
		8.
		Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física:
		
	
	
	
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	
	Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).
	
	 
	Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas.
	
	
	Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
	
	
	Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações.