aulas 5 a 10 gestão de segurança da Informação

Prévia do material em texto

Nesta aula você irá estudar sobre ameaças ao sistema de informação.
1. Irá compreender o que são ameaças de segurança.
2. Conhecer os principais tipos de ameaças.
3. Identificar as diferenças entre ameaças passivas e ativas.
http://estacio.webaula.com.br/Cursos/gsgisi/docs/04GSI_aula04_doc02.pdf
http://estacio.webaula.com.br/Cursos/gsgisi/docs/cartilhacodigo_maliciosos_aula04.pdf
Nesta aula você irá Compreender o que são ataques à segurança da Informação. 
1. O planejamento de um ataque;
2. Os principais tipos de ataques.
Com o avanço das tecnologias e a valorização da informação nas organizações, o profissional da área de TI necessita atualmente além de ter conhecimento e entendimento profundo das características de funcionamento de sistemas de arquivos, programas de computador e padrões de comunicação em redes de computadores, noção sobre psicologia dos atacantes, seus perfis de comportamento e motivações que os levam a realizar um ataque. 
Deverá também ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela organização.
,
	Aluno: JOSÉ CARLOS GOMES PIRES
	Matrícula: 201301726141
	Disciplina: CCT0185 - GESTAO DE SEG. INFOR 
	Período Acad.: 2016.3 EAD (GT) / EX
	Deseja carregar mais 3 novas questões a este teste de conhecimento?
	
Prezado (a) Aluno(a),
Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3).
Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	
		1.
		Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque:
		
	
	
	
	
	Ip Spoofing.
	
	
	Dumpster diving ou trashing.
	
	 
	Phishing Scam.
	
	
	Packet Sniffing.
	
	
	Port Scanning.
	 Gabarito Comentado
	
	
		2.
		Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ?
		
	
	
	
	
	O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
	
	
	O atacante tenta manter seu próprio domínio sobre o sistema
	
	
	O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
	
	 
	O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
	
	
	O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
	
	
	
		3.
		Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante.
		
	
	
	
	
	Phishing Scan
	
	
	Shrink Wrap Code
	
	
	Smurf
	
	
	Dumpster Diving ou Trashing
	
	 
	Fraggle
	 Gabarito Comentado
	
	
		4.
		João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar?
		
	
	
	
	
	Fragmentação de pacotes IP
	
	 
	SYN Flooding
	
	
	Ip Spoofing
	
	 
	Fraggle
	
	
	Port Scanning
	
	
	
		5.
		Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de
		
	
	
	
	
	Fragmentação de Pacotes IP
	
	
	Fraggle
	
	
	Buffer Overflow
	
	 
	SQL Injection
	
	 
	Smurf
	 Gabarito Comentado
	 Gabarito Comentado
	
	
		6.
		Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico.
		
	
	
	
	
	Exploits.
	
	 
	Phishing.
	
	
	Trojans.
	
	
	Hijackers.
	
	
	Wabbit.
	 Gabarito Comentado
	
	
		7.
		Qual o nome do ataque é foi utilizado em guerras na Grécia, é hoje é aplicado como conceito a área computacional. O ataque é enviado um possível programa, mas que na verdade é um código malicioso. Qual o nome desse código malicioso ?
		
	
	
	
	 
	Spyware
	
	
	Adware
	
	 
	Trojan
	
	
	Rootkit
	
	
	Backdoor
	 Gabarito Comentado
	
	
		8.
		Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso podemos afirmar que João está realizando um ataque do tipo:
		
	
	
	
	
	Conhecimento prévio
	
	
	Força bruta
	
	
	escaneamento
	
	 
	Engenharia social
	
	
	De conhecimento
Nesta aula você irá compreender a Gestão de Riscos em Segurança da Informação: 
1. Os conceitos básicos.
2. Como estabelecer o contexto do risco.
3. As etapas da gestão de risco.
4. A Análise e avaliação do risco.
5. O Tratamento dos riscos.
6. A Aceitação e comunicação do risco.
7. O monitoramento e revisão dos riscos.
8. Os Riscos, medidas de segurança e o ciclo de segurança.
	Aluno: JOSÉ CARLOS GOMES PIRES
	Matrícula: 201301726141
	Disciplina: CCT0185 - GESTAO DE SEG. INFOR 
	Período Acad.: 2016.3 EAD (GT) / EX
	Deseja carregar mais 3 novas questões a este teste de conhecimento?
	
Prezado (a) Aluno(a),
Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3).
Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	
		1.
		Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
		
	
	
	
	
	Spyware
	
	 
	Bot/Botnet
	
	
	Spammer
	
	
	Phishing
	
	
	Rootkit
	 Gabarito Comentado
	
	
		2.É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos?
		
	
	
	
	
	Descrição dos requisitos de segurança da informação para um produto.
	
	 
	Conformidade Legal e a evidência da realização dos procedimentos corretos
	
	
	Preparação de um plano de respostas a incidentes.
	
	 
	Preparação de um plano para aceitar todos os Riscos
	
	
	Preparação de um plano de continuidade de negócios.
	 Gabarito Comentado
	
	
		3.
		Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar":
		
	
	
	
	 
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	
	
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	 Gabarito Comentado
	
	
		4.
		Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:
		
	
	
	
	
	Melhorar a efetividade das decisões para controlar os riscos
	
	
	Melhorar a eficácia no controle de riscos
	
	
	Manter a reputação e imagem da organização
	
	 
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	
	Entender os riscos associados ao negócio e a gestão da informação
	 Gabarito Comentado
	
	
		5.
		A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?
		
	
	
	
	
	Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto
	
	
	Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto
	
	
	Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco
	
	
	Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco
	
	 
	Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
	 Gabarito Comentado
	
	
		6.
		Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
		
	
	
	
	 
	Manter e melhorar os controles
	
	
	Selecionar, implementar e operar controles para tratar os riscos.
	
	
	Verificar e analisar criticamente os riscos.
	
	
	Identificar e avaliar os riscos.
	
	 
	Manter e melhorar os riscos identificados nos ativos
	
	
	
		7.
		Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ?
		
	
	
	
	 
	Ameaça, incidente, impacto e recuperação
	
	
	Incidente, impacto, ameaça e recuperação
	
	
	Incidente, recuperação, impacto e ameaça
	
	 
	Ameaça, impacto, incidente e recuperação
	
	
	Impacto, ameaça, incidente e recuperação
	 Gabarito Comentado
	
	
		8.
		Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes ?
		
	
	
	
	
	Impacto, ameaça, incidente e recuperação
	
	
	Incidente, impacto, ameaça e recuperação
	
	
	Incidente, recuperação, impacto e ameaça
	
	
	Ameaça, impacto, incidente e recuperação
	
	 
	Ameaça, incidente, impacto e recuperação
Nesta aula, você irá: 
Compreender a norma NBR ISO/IEC 27002
1. Conhecer os Conceitos de Segurança da Informação.
2. 7.2.Normas de Segurança da Informação.
3. 7.3.Gestão de Riscos segundo a NBR 27001.
4. 7.4.Política de segurança.
5. 7.5.Segurança Organizacional. 
6. 7.6.Classificação e controle dos ativos. 
7. 7.7.Segurança em pessoas. 
8. 7.8.Segurança física e do ambiente. 
9. 7.9.Gerenciamento das operações e comunicações. 
10. 7.10.Controle de Acesso. 
11. 7.11.Desenvolvimento e Manutenção de Sistemas. 
12. 7.12.Gestão de incidentes de segurança da informação. 
13. 7.13.Gestão da Continuidade do Negócio.
14. 7.14.Conformidade.
 
	Aluno: JOSÉ CARLOS GOMES PIRES
	Matrícula: 201301726141
	Disciplina: CCT0185 - GESTAO DE SEG. INFOR 
	Período Acad.: 2016.3 EAD (GT) / EX
	Deseja carregar mais 3 novas questões a este teste de conhecimento?
	
Prezado (a) Aluno(a),
Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3).
Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	
		1.
		Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
		
	
	
	
	
	Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais
	
	 
	Classificação da informação, requisitos de negócio e análise de risco
	
	 
	Requisitos de negócio, Análise de risco, Requisitos legais
	
	
	Análise de risco, análise do impacto de negócio (BIA), classificação da informação
	
	
	Análise de vulnerabilidades, requisitos legais e classificação da informação
	 Gabarito Comentado
	
	
		2.
		Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?
		
	
	
	
	
	Procedimentos.
	
	
	Normas.
	
	 
	Relatório Estratégico.
	
	
	Manuais.
	
	 
	Diretrizes.
	 Gabarito Comentado
	
	
		3.
		Os processos que envolvem a gestão de risco são, exceto:
		
	
	
	
	
	Realizar a análise quantitativa do risco
	
	 
	Identificar os riscos
	
	
	Realizar a análise qualitativa do risco
	
	 
	Gerenciar as respostas aos riscos
	
	
	Planejar o gerenciamento de risco
	
	
	
		4.
		A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio.determinações, ações
	
	 
	estratégias, ameaças
	
	
	oportunidades, ações
	
	 
	especulações, ameaças
	
	
	oportunidades, vulnerabilidades
	
	
	
		5.
		A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é
		
	
	
	
	
	O equipamento de comunicação
	
	
	A base de dados e arquivos
	
	
	O plano de continuidade do negócio.
	
	 
	O serviço de iluminação
	
	 
	A reputação da organização
	
	
	
		6.
		Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política.
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
		
	
	
	
	 
	4-3-1-2-5.
	
	 
	2-3-1-5-4.
	
	
	5-1-4-3-2.
	
	
	4-3-5-2-1.
	
	
	1-2-4-3-5.
	 Gabarito Comentado
	
	
		7.
		Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	
	
	
	 
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	 Gabarito Comentado
	
	
		8.
		Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
		
	
	
	
	
	Prevenção, proteção e reação
	
	
	Flexibilidade, agilidade e conformidade
	
	 
	Integridade, confidencialidade e disponibilidade
	
	 
	Integridade, prevenção e proteção
	
	
	Autenticidade, originalidade e abrangência
Nesta aula, você irá:
Conhecer a norma que trata da implementação da Gestão de Segurança da Informação - NBR ISO/IEC 27001 
1. Objetivo.
2. Abordagem de processo de gestão do SGSI.
3. Aplicação da norma.
4. Sistema de gestão de segurança da informação (SGSI).
5. Responsabilidades da direção.
6. Auditorias internas do SGSI.
7. Análise crítica do SGSI pela direção.
8. Melhoria do SGSI
	Aluno: JOSÉ CARLOS GOMES PIRES
	Matrícula: 201301726141
	Disciplina: CCT0185 - GESTAO DE SEG. INFOR 
	Período Acad.: 2016.3 EAD (GT) / EX
	
Prezado (a) Aluno(a),
Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3).
Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	
		1.
		Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	
	
	 
	Identificar, Analisar e avaliar os riscos.
	
	 
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	
	A política do BIA.
	
	
	A politica de gestão de continuidade de negócio.
	 Gabarito Comentado
	
	
		2.
		O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	
	
	 
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	 
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	 Gabarito Comentado
	
	
		3.
		Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
		
	
	
	
	 
	Administrativa, Física e Programada.
	
	 
	Administrativa, Física e Lógica.
	
	
	Lógica, Administrativa e Contábil.
	
	
	Lógica, Física e Programada.
	
	
	Administrativa, Contábil e Física.
	 Gabarito Comentado
	
	
		4.
		A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	
	
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	 
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	
	
		5.
		A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteçãoque está sendo utilizada ?
		
	
	
	
	
	Preventiva
	
	
	Reação
	
	
	Limitação
	
	
	Correção
	
	
	Desencorajamento
	
	
		6.
		A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
		
	
	
	
	
	Limitação.
	
	 
	Correção.
	
	
	Reação.
	
	
	Recuperação .
	
	 
	Preventiva.
	
	
	
		7.
		A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	
	
	
	Corretivas e Correção.
	
	
	Corretivas e Corrigidas.
	
	
	Prevenção e Preventivas.
	
	
	Corrigidas e Preventivas.
	
	 
	Corretivas e Preventivas.
	
	
	
		8.
		Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	
	
	
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	 
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
Nesta aula, você irá: 
Compreender Gestão da Continuidade do Negócio Segundo a NBR ISO/IEC 15999 
1. Objetivo e escopo.
2. Termos e definições.
3. Visão geral da gestão da continuidade de negócios (GCN).
4. Elementos do ciclo de vida da gestão da continuidade de negócios.
Continuidade de negócios: Capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido.
Estratégia de continuidade de negócio: abordagem de um organização que garante a sua recuperação e continuidade, ao se defrontar com um desastre, ou outro incidente maior ou interrupção de negócios.
Impacto: consequência avaliada de um evento em particular.
Incidente: situação que pode representar ou levar a uma interrupção de negócios, perdas, emergências ou crises.
Interrupção: evento, seja previsto (por exemplo, uma greve ou furação) ou não (por exemplo, um blecaute ou terremoto) que cause desvio negativo imprevisto na entrega e execução de produtos ou serviços da organização de acordo com seus objetivos.,
Período máximo de interrupção tolerável: Duração a partir da qual a viabilidade de uma organização será ameaçada de forma inevitável, caso a entrega de produtos ou serviços não possa ser reiniciada.
Plano de continuidade de negócio(PCN): Documentação de procedimentos e informações desenvolvidas e mantida de forma que esteja pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.
Plano de gerenciamento de incidentes: Plano de ação claramente definido e documentado, para ser usado quando ocorrer um incidente que basicamente cubra as principais pessoas, recursos, serviços e outras ações que sejam necessárias para implementar o processo de gerenciamento de incidentes
Programa de gestão de continuidade de negócio: Processos contínuos de gestão e governança que são suportados pela alta direção e que recebem os recursos apropriados para garantir que os passos necessários estão sendo tomados de forma a identificar o impacto de perdas em potencial, manter estratégias e planos de recuperação viáveis e garantir a continuidade de fornecimento de produtos e serviços por meio de treinamentos, testes, manutenção e análise críticas.
Resiliência: capacidade de uma organização de resisitir aos efeitos de um incidente
 
	Aluno: JOSÉ CARLOS GOMES PIRES
	Matrícula: 201301726141
	Disciplina: CCT0185 - GESTAO DE SEG. INFOR 
	Período Acad.: 2016.3 EAD (GT) / EX
	Deseja carregar mais 3 novas questões a este teste de conhecimento?
	
Prezado (a) Aluno(a),
Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3).
Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	
		1.
		De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).
	
	
	
	
	
	GCN é a fase inicial da implantação da gestão de continuidade em uma organização.
	
	 
	A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização.
	
	
	A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização.
	
	
	A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação.
	
	
	GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.
	 Gabarito Comentado
	
	
		2.
		O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?
	
	
	
	
	 
	O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	 
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	
	A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	 Gabarito Comentado
	
	
		3.
		BIA, Business Impact Analysis é o nome em inglês de um relatórioexecutivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
	
	
	
	
	 
	Clara e Intelegível
	
	
	Estatística e Ordenada
	
	
	Natural e Desordenada
	
	 
	Qualitativa e Quantitativa
	
	
	Simples e Objetiva.
	 Gabarito Comentado
	
	
		4.
		Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?
	
	
	
	
	
	Auditoria interna
	
	
	Classificação da informação
	
	 
	Análise de impacto dos negócios (BIA)
	
	
	Análise de vulnerabilidade
	
	 
	Análise de risco
	 Gabarito Comentado
	
	
		5.
		O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"?
	
	
	
	
	
	A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis.
	
	
	Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
	
	 
	Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações.
	
	
	Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.
	
	
	Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção.
	 Gabarito Comentado
	
	
		6.
		Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?
	
	
	
	
	 
	Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas.
	
	 
	Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas.
	
	
	Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas.
	 Gabarito Comentado
	
	
		7.
		Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?
	
	
	
	
	
	Tomar controle da situação
	
	 
	Controlar o incidente
	
	 
	Afastar o incidente do cliente
	
	
	Comunicar-se com as partes interessadas
	
	
	Confirmar a natureza e extensão do incidente
	 Gabarito Comentado
	
	
		8.
		Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?
	
	
	
	
	
	Planejamento, maturação e desenvolvimento
	
	
	Manutenção, implementação do programa e maturação
	
	
	Manutenção, desenvolvimento e implementação do programa
	
	 
	Planejamento, estudo e implementação do programa
	
	 
	Planejamento, desenvolvimento e implementação do programa
Nesta aula, você irá: 
Conhecer as principais estratégias de proteção aplicadas nas organizações através da implementação de: 
1. Proteção em camadas.
2. do estudo das melhores práticas:
Cuidados com senhas.
Educação dos usuários.
Controle de acesso.
Uso eficaz de antivirus e antispywares.
Backups (cópia de segurança).
Plano de continuidade de negócios.
Criptografia e certificação digital.
 
 
,
	Aluno: JOSÉ CARLOS GOMES PIRES
	Matrícula: 201301726141
	Disciplina: CCT0185 - GESTAO DE SEG. INFOR 
	Período Acad.: 2016.3 EAD (GT) / EX
	Deseja carregar mais 3 novas questões a este teste de conhecimento?
	
Prezado (a) Aluno(a),
Você fará agora seu EXERCÍCIO DE FIXAÇÃO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha (3).
Após a finalização do exercício, você terá acesso ao gabarito. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	
		1.
		Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar :
		
	
	
	
	
	Um roteador de borda
	
	 
	Um firewall com estado
	
	
	Um detector de intrusão
	
	 
	Um servidor proxy
	
	
	Um filtro de pacotes
	 Gabarito Comentado
	
	
		2.
		Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados.
		
	
	
	
	
	Antivírus.
	
	
	Mailing.
	
	
	Adware.
	
	 
	Firewall.
	
	
	Spyware.
	
	
	
		3.
		Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer?
		
	
	
	
	
	Acordo de reciprocidade
	
	 
	Realocação de operação
	
	 
	Hot-site
	
	
	Warm-site
	
	
	Cold-site
	 Gabarito Comentado
	
	
		4.
		São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto:
		
	
	
	
	 
	Pessoas
	
	
	Informação
	
	
	Softwares
	
	
	Hardware
	
	 
	Serviços
	
	
	
		5.
		Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possamestar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar:
		
	
	
	
	 
	Um detector de intrusão para realizar a análise do tráfego da rede
	
	 
	Um firewall para auxiliar na análise do tráfego da rede
	
	
	Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall
	
	
	Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
	
	
	Um analisador de espectro de rede, para analisar o tráfego da rede
	 Gabarito Comentado
	
	
		6.
		Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA :
		
	
	
	
	 
	A Chave Publica pode ser divulgada livremente
	
	
	Chave Publica e Privada são utilizadas por algoritmos assimétricos
	
	 
	A Chave Publica não pode ser divulgada livremente, somente a Chave Privada
	
	
	Cada pessoa ou entidade mantém duas chaves
	
	
	A Chave Privada deve ser mantida em segredo pelo seu Dono
	
	
	
		7.
		Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
		
	
	
	
	 
	na rede interna da organização
	
	
	na Zona Demilitarizada (DMZ) suja
	
	
	na Zona Demilitarizada (DMZ) protegida
	
	
	ligado diretamente no roteador de borda
	
	
	em uma subrede externa protegida por um proxy
	 Gabarito Comentado
	
	
		8.
		Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que?
		
	
	
	
	
	A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes
	
	
	A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave
	
	
	A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves
	
	 
	A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave
	
	
	A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes