AV GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2017.1

Prévia do material em texto

Avaliação: CCT0185_AV_201305028821 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV
	Aluno: 
	Professor:
	
	Turma: 9001/AA
	Nota da Prova: 5,5    Nota de Partic.: 0,5   Av. Parcial 2  Data: 05/06/2017 21:24:32
	
	 1a Questão (Ref.: 201305189864)
	Pontos: 1,0  / 1,0
	Algumas formas para se defender das ameaças são: É fundamental ter um programa antivírus em sua máquina, além de instalado, é preciso que ele esteja sempre atualizado. A grande maioria dos programas atuais faz isso automaticamente, mas não custa nada ficar de olho na data da última atualização de seu software. O que são Ameaças para a Gestão de Segurança da Informação?
		
	
Resposta: Ameaças são possiveis ações externas ou internas a organização que podem gerar prejuízo a empresa. Exixtem ameaçãs voluntárias e involuntárias.
	
Gabarito: Representam perigo para os ativos - fatores externos; Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios; Podem afetar aspectos básicos da segurança.
	
	
	 2a Questão (Ref.: 201305266654)
	Pontos: 0,0  / 1,0
	Descreva o processo de Criptografia de Chave Assimétrica.
		
	
Resposta: O processo de criptografia visa proteger informações através de uma linguagem que só as pessoas interessadas/autorizadas consigam entender.
	
Gabarito: Os algoritmos assimétricos utilizam-se de duas chaves diferentes, uma em cada extremidade do processo. As duas chaves são associadas através de um relacionamento matemático, pertencendo a apenas um participante, que as utilizará para se comunicar com todos os outros de modo seguro. Essas duas chaves são geradas de tal maneira que a partir de uma delas não é possível calcular a outra a um custo computacional viável, possibilitando a divulgação de uma delas, denominada chave pública, sem colocar em risco o segredo da outra, denominada chave secreta ou privada Uma das chaves será utilizada para codificar e outra para decodificar mensagens. Neste método cada pessoa ou entidade mantém duas chaves: ¿ uma pública, que pode ser divulgada livremente, ¿ e outra privada, que deve ser mantida em segredo pelo seu dono.
	
	
	 3a Questão (Ref.: 201305766029)
	Pontos: 1,0  / 1,0
	Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação?
		
	
	Tangível
	
	Ativo
	
	Abstrato
	 
	Intangível
	
	Passivo
	
	
	 4a Questão (Ref.: 201305093811)
	Pontos: 1,0  / 1,0
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	
	Integridade;
	
	Confidencialidade;
	 
	Disponibilidade;
	
	Privacidade;
	
	Não-repúdio;
	
	
	 5a Questão (Ref.: 201305737756)
	Pontos: 1,0  / 1,0
	Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e....
		
	
	dos controles e do risco residual.
	
	do risco e dos controles.
	
	das ameaças e das contramedidas.
	 
	do ativo e das ameaças.
	
	do ativo e dos controles.
	
	
	 6a Questão (Ref.: 201305090608)
	Pontos: 1,0  / 1,0
	O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como:
		
	 
	Keylogger
	
	vírus
	
	exploit
	
	backdoor
	
	Spyware
	
	
	 7a Questão (Ref.: 201305090614)
	Pontos: 0,0  / 0,5
	Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	 
	Smurf
	
	Fragmentação de Pacotes IP
	
	Buffer Overflow
	 
	SQL Injection
	
	Fraggle
	
	
	 8a Questão (Ref.: 201305090667)
	Pontos: 0,5  / 0,5
	Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi:
		
	 
	Medidas preventivas
	
	Medidas de controles
	
	Medidas corretivas
	
	Métodos detectivos
	
	Medidas reativas
	
	
	 9a Questão (Ref.: 201305077482)
	Pontos: 0,0  / 0,5
	Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
		
	 
	Prevenção, proteção e reação
	
	Autenticidade, originalidade e abrangência
	
	Flexibilidade, agilidade e conformidade
	 
	Integridade, confidencialidade e disponibilidade
	
	Integridade, prevenção e proteção
	
	
	 10a Questão (Ref.: 201305297430)
	Pontos: 0,0  / 0,5
	O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?
		
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	 
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	 
	A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	
	O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.