Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA AULA 01 1. A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a sequencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? Dado - Informação – Conhecimento 2. O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio ao uso da Internet e do ambiente wireless 3. Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização? Insegurança 4. O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 5. Trata-se de "[...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação. Tal conceito refere-se a: Dado 6. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados “engenheiros”. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo “engenheiros” acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade 7. Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização destes ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Tangível e Intangível. 8. Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de Ativo de Informação? São aqueles que produzem, processam, transmitem ou armazenam informações. 2. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados “auditores”. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo “auditores” acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade; 3. Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? Irrestrito. 4. As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Fragilidade presente ou associada a ativos que manipulam ou processam informações. 5. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados “auditores”. Um usuário de um outro grupo, o grupo “estudante”, tenta acessar o sistema em busca de uma informação que somente o grupo “auditores” tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Confidencialidade; 6. A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Confidencialidade, integridade, disponibilidade e valor. 7. Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Medidas Preventivas 8. Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: Não-repúdio xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade 2. O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Ameaça 3. Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software 4. As contas do Gmail de jornalistasestrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade de Software 5. Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 6. Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando: "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site, mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Software 7. Em setembro de 2012, o sistema militar que controla armas nucleares, localizado na Casa Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Humana. 8. A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Software. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware? active-x 2. Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: vírus 3. Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor? Keylogger 4. As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões etc. poderão ser classificadas como: Voluntárias 5. Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II. Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II (5) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. (2) Software que insere propagandas em outros programas. (4) Brecha inserida pelo próprio programador de um sistema para uma invasão. (3) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. (1) Programa espião. A sequência correta é: 5, 2, 4, 3, 1. 6. Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro. III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos. Estão CORRETAS as afirmativas: I, II e III. 7. Com relação às ameaças ao sistema de informação, assinale a opção correta: Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão. 8. A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers, mas na verdade estas pessoas têm amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação à descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las. Apenas a sentença I está correta. Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida. Qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protegê-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 2. Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? DDos 3. Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar nasegurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como itens básicos, reconhecidos, de um ataque a sistemas de informação: Levantamento das informações, Exploração das informações e Obtenção do acesso. 4. Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: O ataque explora a metodologia de estabelecimento de conexões do protocolo TCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviado, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são desta forma, desprezadas, prejudicando a disponibilidade do sistema. Qual seria este ataque: Syn Flooding. 5. Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante? Backdoor 6. Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado: Dumpster diving ou trashing 7. Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Phishing. 8. Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas dos protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: Port Scanning. Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infraestrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Desencorajar 2. Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante? Bot/Botnet 3. Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. 4. Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado: Aceitação do Risco 5. Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta? 0day 6. Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo? Phishing 7. Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 8. Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Integridade, confidencialidade e disponibilidade 2. Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 4-3-1-2-5. 3. Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Autenticidade; 4. Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 5. Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. 6. Quando devem ser executadas as ações corretivas? Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição 7. Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 8. A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é A reputação da organização Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1. A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A avaliação dos riscos e incidentes desejados 2. A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de câmeras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada? Desencorajamento 3. No contexto da Segurança da Informação, qual das opções abaixo não pode ser considerada como um Problema de Segurança: Restrição Financeira. 4. O SGSI torna-se pré-requisito a ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. 5. A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas. 6. Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Conscientização dos usuários. 7. Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando: Integridade 8. A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: Análise de impacto no negócio; avaliação de risco; plano de contingência 2. Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Autenticidade; 3. De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e (ou) atividades críticas e recursos de suporte de uma organização. 4. O Plano de Continuidade do Negócio.... prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 5. Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. 6. Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 7. O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. 8. BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios, pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Qualitativa e Quantitativa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 1. Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais. Indique a opção que contenha todas as afirmações verdadeiras. I e III. 2. Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: Compartilhamento de informações com os stakeholders 3. Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. Firewall. 4. Seja qual for o objeto da contingência: uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe defuncionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer? Hot-site 5. São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: Pessoas 6. Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um detector de intrusão para realizar a análise do tráfego da rede 7. Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar: Um servidor proxy 8. Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto? Firewall Proxy
Compartilhar