AV 2 - Gestão de segurança da informação

Prévia do material em texto

04/12/13 BDQ Prova
file:///D:/Documents/My Box Files/Faculdade/2º período/Gestão de Segurança da Informação/Estácio_files/bdq_prova_resultado_preview_aluno.htm 1/3
 
Avaliação: CCT0059_AV2_201301638102 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201301638102 - FABIANO ABRAHAO ALMEIDA DA MOTTA
Professor: SHEILA DE GOES MONTEIRO Turma: 9018/R
Nota da Prova: 3,5 de 8,0 Nota do Trab.: Nota de Partic.: Data: 30/11/2013 09:00:32
 1a Questão (Ref.: 201301760870) Pontos: 0,0 / 0,5
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço
IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço
IP , que foi mascarado pelo atacante.
 Dumpster Diving ou Trashing
Phishing Scan
Smurf
Shrink Wrap Code
 Fraggle
 2a Questão (Ref.: 201301764021) Pontos: 0,5 / 0,5
Maria trabalha como engenheira química de uma importante empresa do ramo farmaceútico em um projeto
inédito e que irá permitir a sua empresa obter um diferencial competitivo em relação aos concorrentes. As
informações com que Maria trabalha deve ser classificada como interna e restrita a um grupo seleto dentro da
organização, devendo a sua integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro,
sendo vital para a companhia. Em qual nível de segurança a informação deve ser classificada?
Proibida
Secreta
Interna
Pública
 Confidencial
 3a Questão (Ref.: 201301834895) Pontos: 1,0 / 1,0
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender
a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal,
Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado
hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo
vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a
vulnerabilidade neste ataque?
Vulnerabilidade Mídia
 Vulnerabilidade de Software
Vulnerabilidade de Comunicação
Vulnerabilidade Física
Vulnerabilidade Natural
04/12/13 BDQ Prova
file:///D:/Documents/My Box Files/Faculdade/2º período/Gestão de Segurança da Informação/Estácio_files/bdq_prova_resultado_preview_aluno.htm 2/3
 4a Questão (Ref.: 201301841532) Pontos: Sem Correç. / 1,5
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um
aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de
vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade?
Resposta: Análise - Verificar o(s) risco(s) associado(s) a essa vulnerabilidade; Teste - Verificar o(s) impacto(s)
que esta(s) vulnerabilidade(s) pode(m) causar como forma a conceber possíveis soluções; Pesquisa - Verificar
vulnerabilidades que não estão aparentes, não sabidas de ante mão pela Gestão de Segurança da Informação
Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das
empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina
ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou
aplicação que podem comprometer a segurança.
 5a Questão (Ref.: 201301841537) Pontos: Sem Correç. / 1,5
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf.
Resposta: Smurf - Utiliza geralmente emails que ofereçam alguma vantagem extraordinária ao receptor da
mensagem;
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o
domínio de broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os
hosts do domínio de broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante,
ficando desabilitada de suas funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando
apenas o fato que utiliza-se de pacotes do protocolo UDP.
 6a Questão (Ref.: 201301760808) Pontos: 0,5 / 0,5
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das
ameaças quanto a sua intencionalidade?
Naturais, Voluntarias e Obrigatórias.
 Naturais, Involuntárias e Voluntarias.
Naturais, Voluntarias e Vulneráveis.
Naturais, Involuntárias e Obrigatórias.
Ocasionais, Involuntárias e Obrigatórias.
 7a Questão (Ref.: 201301841570) Pontos: 0,0 / 0,5
Um IDS pode implementar diversos algoritmos de detecção de ataque. Qual das alternativas abaixo está
INCORRETA quando tratamos de mecanismos (algoritmos) de detecção utilizando algoritmo de detecção por
anomalia?
Os dados coletados são armazenados com registros históricos da atividade considerada anormal do
sistema
 Os dados coletados são comparados com registros históricos da atividade considerada normal do sistema
04/12/13 BDQ Prova
file:///D:/Documents/My Box Files/Faculdade/2º período/Gestão de Segurança da Informação/Estácio_files/bdq_prova_resultado_preview_aluno.htm 3/3
Os dados coletados são comparados com registros recentes da atividade considerada anormal do
sistema
 Os dados coletados não são armazenados com registros históricos da atividade considerada normal do
sistema
Os dados coletados não são comparados com registros históricos da atividade não considerada normal
do sistema
 8a Questão (Ref.: 201301761260) Pontos: 1,0 / 1,0
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a
organização certificada:
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e
melhores práticas de segurança reconhecidas no mercado
implementou um sistema para gerência da segurança da informação de acordo com os padrões de
segurança de empresas de maior porte reconhecidas no mercado.
implementou um sistema para gerência da segurança da informação de acordo com os padrões
nacionais das empresas de TI.
implementou um sistema para gerência da segurança da informação de acordo com os desejos de
segurança dos funcionários e padrões comerciais.
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos
desejos de segurança dos Gerentes de TI.
 9a Questão (Ref.: 201301764018) Pontos: 0,0 / 0,5
Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça
ocorrer e o impacto que ela trará, maior será _________.¿
O valor do Impacto.
 O risco associado a ameaça.
A Vulnerabilidade do Risco.
 O risco associado a este incidente.
A Vulnerabilidade do Ativo.
 10a Questão (Ref.: 201301764074) Pontos: 0,5 / 0,5
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros
ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções
abaixo apresenta os quatro aspectos importantes para a classificação das informações?
Confiabilidade, integridade, risco e valor.
Confidencialidade, vulnerabilidade, disponibilidade e valor.
 Confidencialidade, integridade, disponibilidade e valor.
Confidencialidade, integridade, disponibilidade e vulnerabilidade .
Confiabilidade, integridade, vulnerabilidade e valor.
Período de não visualização da prova: desde 21/11/2013 até 03/12/2013.