Av2 Gestao da Segurança da Informação

Prévia do material em texto

14/12/2016 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=137236680&p1=201502292751&p2=2250507&p3=CCT0334&p4=102536&p5=AV2&p6=06/12/2016&p10=54997853 1/3
Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9001/AA
Nota da Prova: 9,0 de 10,0  Nota do Trab.: 0    Nota de Partic.: 0  Data: 06/12/2016 15:41:24
  1a Questão (Ref.: 201502480186) Pontos: 1,0  / 1,0
A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido
nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das
empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm
alguma política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o
investimento na área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são
Vulnerabilidades para a Segurança das Informações?
 
Resposta: As vulnerabilidades são pontos fracos encontrados em cada ativo e que precisam ser
tratados/analisados levando em conta cada situação de risco/ameaça.
 
 
Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques ­ fatores negativos internos. Permitem o
aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
 
 
Fundamentação do(a) Professor(a): Resposta Correta.
  2a Questão (Ref.: 201502567212) Pontos: 1,0  / 1,0
Em um sistema de Gestão de Segurança da Informação (SGSI) baseado na norma ISO/IEC 27001, existe uma
ação denominada ¿análise crítica do SGSI pela direção¿. Explique em que consiste esta ação:
 
Resposta: Consiste em verificar se o SGSI que vai ser implementando esta de acordo com os
ativos/produtos/serviços fornecedidos, se os procedimentos estão compatíveis e com as regras definidas pela
Norma e pelo perfil da empresa.
 
 
Gabarito: A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua
contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças.
 
 
Fundamentação do(a) Professor(a): Resposta Correta.
  3a Questão (Ref.: 201503056360) Pontos: 1,0  / 1,0
Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos
funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois
caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da
segurança está envolvido:
Confidencialidade
Integridade
  Disponibilidade
Confiabilidade
Legalidade
  4a Questão (Ref.: 201502380931) Pontos: 1,0  / 1,0
O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um
computador que podem ser desde o texto de um e­mail, até informações mais sensíveis, como senhas
bancárias e números de cartões de crédito é conhecido como:
14/12/2016 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=137236680&p1=201502292751&p2=2250507&p3=CCT0334&p4=102536&p5=AV2&p6=06/12/2016&p10=54997853 2/3
vírus
Spyware
exploit
backdoor
  Keylogger
  5a Questão (Ref.: 201502380962) Pontos: 1,0  / 1,0
Um hacker está planejando um ataque a uma importante empresa de E­commerce. Desta forma será
necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu
objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP.
Neste caso estamos nos referindo a um ataque do tipo:
  Port Scanning
Three­way­handshake
SYN Flooding
Fraggle
Fragmentação de Pacotes IP
  6a Questão (Ref.: 201502380992) Pontos: 1,0  / 1,0
Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
Manter e melhorar os controles
Verificar e analisar criticamente os riscos.
Identificar e avaliar os riscos.
Selecionar, implementar e operar controles para tratar os riscos.
  Manter e melhorar os riscos identificados nos ativos
  7a Questão (Ref.: 201502468656) Pontos: 0,0  / 1,0
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
  Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da
norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma
NBR ISO/IEC 27001.
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma
NBR ISO/IEC 27001.
  Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos
da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR
ISO/IEC 27001.
  8a Questão (Ref.: 201502381349) Pontos: 1,0  / 1,0
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos
eventos monitorados e através de ações:
Corrigidas e Preventivas.
Corretivas e Correção.
  Corretivas e Preventivas.
Corretivas e Corrigidas.
14/12/2016 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=137236680&p1=201502292751&p2=2250507&p3=CCT0334&p4=102536&p5=AV2&p6=06/12/2016&p10=54997853 3/3
Prevenção e Preventivas.
  9a Questão (Ref.: 201502587753) Pontos: 1,0  / 1,0
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a
interrupções, a Gestão de continuidade de negócio deverá torna­se parte dos valores da organização,
através da sua inclusão na cultura da empresa.
A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus
produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma
interrupção.
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de
gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de
recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou
restaurar as operações.
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades
de melhorias possíveis.
  Para o estabelecimento do programa de GCN é necessário entender a organização para definir a
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para
fornecê­los.
  10a Questão (Ref.: 201502461677) Pontos: 1,0  / 1,0
Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um
comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores,
e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego
da rede. Neste caso você irá utilizar:
Um analisador de protocolo para auxiliar na análise do tráfego da rede
Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
Um sniffer de rede, para analisar o tráfego da rede
Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
  Um detector de intrusão para realizar a análise do tráfego da rede