AV2 Gestão SI 2016

Prévia do material em texto

Avaliação: CCT0059_AV2_201401093183 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201401093183 - ROGERIO AGUILERA RIBEIRO
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9005/AE
Nota da Prova: 8,0 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 09/12/2016 20:41:58
 1a Questão (Ref.: 201401260661) Pontos: 1,0 / 1,0
A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido nessa 
área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas 
está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma 
política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o investimento na 
área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são Vulnerabilidades para a 
Segurança das Informações?
Resposta: São uma série de fatores que podem impactar a segurança de uma organização. Podendo ser a ausência 
de um mecanismo de proteção ou falhas em um mecanismo de proteção existente.
Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
 2a Questão (Ref.: 201401337452) Pontos: 1,0 / 1,0
Descreva o processo de Criptografia de Chave Assimétrica.
Resposta: Processo que possa se comunicar de forma segura, podendo utilizar chave pública ou privada, emitidas 
por autoridade certificadora confiável.
Gabarito: Os algoritmos assimétricos utilizam-se de duas chaves diferentes, uma em cada extremidade do 
processo. As duas chaves são associadas através de um relacionamento matemático, pertencendo a apenas um 
participante, que as utilizará para se comunicar com todos os outros de modo seguro. Essas duas chaves são 
geradas de tal maneira que a partir de uma delas não é possível calcular a outra a um custo computacional viável, 
possibilitando a divulgação de uma delas, denominada chave pública, sem colocar em risco o segredo da outra, 
denominada chave secreta ou privada Uma das chaves será utilizada para codificar e outra para decodificar 
mensagens. Neste método cada pessoa ou entidade mantém duas chaves: ¿ uma pública, que pode ser divulgada 
livremente, ¿ e outra privada, que deve ser mantida em segredo pelo seu dono.
 3a Questão (Ref.: 201401164466) Pontos: 1,0 / 1,0
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de 
proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?
Valor.
Ameaça.
Impacto.
Risco.
 
Vulnerabilidade.
 4a Questão (Ref.: 201401235481) Pontos: 1,0 / 1,0
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e 
foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, 
incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão 
inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo 
e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a 
investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que
foi a vulnerabilidade para este ataque?
Vulnerabilidade Comunicação
Vulnerabilidade Mídias
Vulnerabilidade Física
 
Vulnerabilidade Software
Vulnerabilidade Natural
 5a Questão (Ref.: 201401802628) Pontos: 1,0 / 1,0
Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se 
viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da 
informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança 
da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo 
documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de 
informação:
Estudo do atacante, Descoberta de informações e Formalização da invasão.
Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas.
 
Levantamento das informações, Exploração das informações e Obtenção do acesso.
Scaming de protocolos, Pedido de informações e Invasão do sistema.
Engenharia Social, Invasão do sistema e Alteração das informções.
 6a Questão (Ref.: 201401161479) Pontos: 0,0 / 1,0
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação:
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos
 
Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos
 7a Questão (Ref.: 201401843236) Pontos: 1,0 / 1,0
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
Um incidente de segurança da informação é indicado por um evento de segurança da informação 
esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar
a segurança da informação.
A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um 
risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.
 
Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um 
Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os 
quais toda a família está baseada e se integra.
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias 
principais de segurança e uma seção introdutória que aborda a questões de contingência.
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para 
atender aos requisitos identificados exclusivamente por meio da classificação das informações.
 8a Questão (Ref.: 201401347691) Pontos: 0,0 / 1,0
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos 
e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de 
implementação da norma ISO/IEC 27001 em qualquer organização:
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do 
SGSI
 
Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI 
pela direção e Melhoria do SGSI
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco.
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
 9a Questão (Ref.: 201401242144) Pontos: 1,0 / 1,0
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?
Manutenção, desenvolvimento e implementação do programa
Planejamento, maturação e desenvolvimento
Planejamento, estudo e implementação do programa
 
Planejamento, desenvolvimento e implementação do programa
Manutenção, implementação do programa e maturação
 10a Questão (Ref.: 201401193799) Pontos: 1,0 / 1,0
Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves 
assimétricas, sendo uma delas pública e a outra, privada,emitidas por autoridade certificadora confiável. Uma 
mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 
1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 
2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 
3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. 
A mensagem de Ana para Bernardo deve ser assinada
e criptografada com a chave privada de Bernardo.
 
com a chave privada de Ana e criptografada com a chave pública de Bernardo.
com a chave privada de Bernardo e criptografada com a chave pública de Ana.
e criptografada com a chave pública de Ana.
com a chave pública de Ana e criptografada com a chave privada de Bernardo.