Baixe o app para aproveitar ainda mais
Prévia do material em texto
Exercício: CCT0185_EX_A1_ Matrícula: 2016 Aluno(a): MARCIO Data: 03/09/2017 15:44:31 (Finalizada) 1a Questão (Ref.: 201602170758) Fórum de Dúvidas (3 de 22) Saiba (3) O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Ameaça. Risco. Impacto. Valor. Vulnerabilidade. 2a Questão (Ref.: 201602168050) Fórum de Dúvidas (2 de 22) Saiba (3) Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um exemplo de Ativo Intangível: Marca de um Produto. Sistema de Informação. Confiabilidade de um Banco. Qualidade do Serviço. Imagem da Empresa no Mercado. 3a Questão (Ref.: 201602170773) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedades. Qual das opções abaixo descreve o conceito de ¿Ativos¿ para a Segurança da Informação: Tudo aquilo que é utilizado no Balanço Patrimonial. Tudo aquilo que não possui valor específico. Tudo aquilo que tem valor para a organização. Tudo aquilo que não manipula dados. Tudo aquilo que a empresa usa como inventario contábil. 4a Questão (Ref.: 201602170779) Fórum de Dúvidas (2 de 22) Saiba (3) No contexto da Segurança da Informação, a medida que indica a probabilidade de uma determinada ameaça se concretizar, combinada com os impactos que ela trará está relacionada com qual conceito de? Valor. Risco. Ameaça. Impacto. Vulnerabilidade. Gabarito Comentado 5a Questão (Ref.: 201602336871) Fórum de Dúvidas (3 de 22) Saiba (3) A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. 6a Questão (Ref.: 201602170776) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Contábil e Não Contábil. Tangível e Intangível. Material e Tangível. Intangível e Qualitativo. Tangível e Físico. 7a Questão (Ref.: 201602170618) Fórum de Dúvidas (3 de 22) Saiba (3) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Pode habilitar a empresa a alcançar seus objetivos estratégicos; Possui valor e deve ser protegida; Por si só não conduz a uma compreensão de determinado fato ou situação; É dado trabalhado, que permite ao executivo tomar decisões; É a matéria-prima para o processo administrativo da tomada de decisão; 8a Questão (Ref.: 201602168048) Fórum de Dúvidas (3 de 22) Saiba (3) Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos dizer que: A afirmativa é verdadeira somente para ameaças identificadas. A afirmativa é falsa. A afirmativa é verdadeira somente para vulnerabilidades físicas. A afirmativa é verdadeira. A afirmativa é verdadeira somente para vulnerabilidades lógicas. Exercício: CCT0185_EX_A2_ Matrícula: 2016 Aluno(a): MARCIO Data: 03/09/2017 15:49:30 (Finalizada) 1a Questão (Ref.: 201602337137) Fórum de Dúvidas (3 de 9) Saiba (0) Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação: É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). Baseia-se na utilização final que se fará com a informação. Reflete o custo substitutivo de um bem. Utiliza-se das propriedades inseridas nos dados. Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. 2a Questão (Ref.: 201602170642) Fórum de Dúvidas (3 de 9) Saiba (0) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles que organizam, processam, publicam ou destroem informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles que produzem, processam, reúnem ou expõem informações. Gabarito Comentado Gabarito Comentado 3a Questão (Ref.: 201602170672) Fórum de Dúvidas (4 de 9) Saiba (0) Cada empresa ao tratar segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios considerados como fundamentais para atingir os objetivos da Segurança da Informação: Confidencialidade, Indisponibilidade e Integridade. Confidencialidade, Descrição e Integridade. Confidencialidade, Disponibilidade e Integridade. Confiabilidade, Disponibilidade e Integridade. Confiabilidade, Disponibilidade e Intencionalidade. Gabarito Comentado 4a Questão (Ref.: 201602170853) Fórum de Dúvidas (9) Saiba (0) As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidasde ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Fragilidade presente ou associada a ameaças que manipulam ou processam informações . Ameaça presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ativos que manipulam ou processam informações . Impacto presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ativos que exploram ou processam informações . 5a Questão (Ref.: 201602170817) Fórum de Dúvidas (3 de 9) Saiba (0) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? Secreta. Interna. Irrestrito. Confidencial. As opções (a) e (c) estão corretas. 6a Questão (Ref.: 201602170808) Fórum de Dúvidas (9) Saiba (0) Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações. Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. Gabarito Comentado 7a Questão (Ref.: 201602170850) Fórum de Dúvidas (3 de 9) Saiba (0) A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Confidencialidade, vulnerabilidade, disponibilidade e valor. Confidencialidade, integridade, disponibilidade e vulnerabilidade . Confiabilidade, integridade, risco e valor. Confidencialidade, integridade, disponibilidade e valor. Confiabilidade, integridade, vulnerabilidade e valor. Gabarito Comentado 8a Questão (Ref.: 201602843050) Fórum de Dúvidas (9) Saiba (0) A assinatura digital permite comprovar a autenticidade e ______________ de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. a integridade a disponibilidade a legalidade a confidencialidade o não-repúdio Exercício: CCT0185_EX_A3_ Matrícula: 2016 Aluno(a): MARCIO Data: 03/09/2017 16:39:54 (Finalizada) 1a Questão (Ref.: 201602731980) Fórum de Dúvidas (1 de 15) Saiba (1) Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, III e IV, somente. I, II e IV, somente. I e III, somente. I, II, III e IV. II e III, somente. Gabarito Comentado 2a Questão (Ref.: 201602814744) Fórum de Dúvidas (1 de 15) Saiba (1) Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Firewall mal configurado. Funcionário desonesto. Links sem contingência. Rede elétrica instável. Sistema operacional desatualizado. Gabarito Comentado 3a Questão (Ref.: 201602808365) Fórum de Dúvidas (1 de 15) Saiba (1) Ataque a de modems-roteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o modem-roteador para utilizar um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade de Hardware. Vulnerabilidade de Comunicação. Gabarito Comentado 4a Questão (Ref.: 201602353857) Fórum de Dúvidas (1 de 15) Saiba (1) Observe a figura acima e complete corretamente a legenda dos desenhos: Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Gabarito Comentado 5a Questão (Ref.: 201602814739) Fórum de Dúvidas (1 de 15) Saiba (1) Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, III e IV, somente. I, II e IV, somente. I, II, III e IV. II e III, somente. I e III, somente. Gabarito Comentado 6a Questão (Ref.: 201602674655) Fórum de Dúvidas (1 de 15) Saiba (1) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação jáacessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Integridade Autenticidade Disponibilidade Auditoria Confidencialidade Gabarito Comentado Gabarito Comentado 7a Questão (Ref.: 201602374186) Fórum de Dúvidas (1 de 15) Saiba (1) Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 8a Questão (Ref.: 201602808361) Fórum de Dúvidas (1 de 15) Saiba (1) Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade de Mídias. Vulnerabilidade de Software. Vulnerabilidade de Comunicação. Vulnerabilidade Física. Exercício: CCT0185_EX_A4_ Matrícula: 2016 Aluno(a): MARCIO Data: 04/10/2017 22:33:37 (Finalizada) 1a Questão (Ref.: 201602167593) Fórum de Dúvidas (1 de 7) Saiba (1) O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: Keylogger backdoor exploit Spyware vírus 2a Questão (Ref.: 201602685361) Fórum de Dúvidas (1 de 7) Saiba (1) Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 3, 2, 4, 5, 1. 5,1,4,3,2. 3, 1, 4, 5, 2. 5, 2, 4, 3, 1. 3, 1, 5, 2, 4. 3a Questão (Ref.: 201602700245) Fórum de Dúvidas (1 de 7) Saiba (1) Qual o nome do código malicioso ou ataque que tem o objetivo de capturar tudo que é digitado pelo teclado do usuário e é enviado para o invasor ? Spyware Backdoor Defacement Phishing Keylogger 4a Questão (Ref.: 201602677711) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams: I. Apresentam cabeçalho suspeito. II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. III. Apresentam no campo Assunto textos alarmantes ou vagos. IV. Oferecem opção de remoção da lista de divulgação. V. Prometem que serão enviados "uma única vez. VI. Baseiam-se em leis e regulamentações inexistentes. Estão corretas: I, II, III, V e VI Nenhuma afirmativa está correta II, IV e VI I, III e V Todas as afirmativas estão corretas Gabarito Comentado 5a Questão (Ref.: 201602353860) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Intencional, presencial e remota Voluntária, involuntária e intencional Intencional, proposital e natural Natural, voluntária e involuntária Natural, presencial e remota Gabarito Comentado 6a Questão (Ref.: 201602807351) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las. Todas as sentenças estão corretas. As sentenças I e III estão corretas. As sentenças I e II estão corretas. Apenas a sentença I está correta. As sentenças II e III estão corretas. Gabarito Comentado 7a Questão (Ref.: 201602814747) Fórum de Dúvidas (1 de 7) Saiba (1) Com relação as ameaças aos sistema de informação, assinale a opção correta: Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados emcomputadores. Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão. Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores. Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador. Gabarito Comentado 8a Questão (Ref.: 201602167563) Fórum de Dúvidas (1 de 7) Saiba (1) Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Spyware Adware Worm Active-x Java Script Exercício: CCT0185_EX_A5_ Matrícula: 2016 Aluno(a): MARCIO Data: 12/11/2017 12:15:52 (Finalizada) 1a Questão (Ref.: 201602167617) Fórum de Dúvidas (3 de 7) Saiba (1) João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Fraggle Smurf Shrink Wrap Code Phishing Scan Dumpster Diving ou Trashing Gabarito Comentado 2a Questão (Ref.: 201602167640) Fórum de Dúvidas (2 de 7) Saiba (1 de 1) Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Obtenção de Acesso Camuflagem das Evidências Exploração das Informações Levantamento das Informações Divulgação do Ataque 3a Questão (Ref.: 201602337281) Fórum de Dúvidas (3 de 7) Saiba (1) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 4a Questão (Ref.: 201602167642) Fórum de Dúvidas (3 de 7) Saiba (1) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataque aos Sistemas Operacionais Ataque para Obtenção de Informações Ataques Genéricos Ataque à Aplicação Ataque de Configuração mal feita 5a Questão (Ref.: 201602342500) Fórum de Dúvidas (3 de 7) Saiba (1) Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Hijackers. Wabbit. Trojans. Phishing. Exploits. Gabarito Comentado 6a Questão (Ref.: 201602808908) Fórum de Dúvidas (3 de 7) Saiba (1) Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: Fraggle. Port Scanning. Syn Flooding. Ip Spoofing. Packet Sniffing. Gabarito Comentado 7a Questão (Ref.: 201602808917) Fórum de Dúvidas (3 de 7) Saiba (1) Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: Syn Flooding. Port Scanning. Dumpster diving ou trashing. Ip Spoofing. Packet Sniffing. Gabarito Comentado 8a Questão (Ref.: 201602167634) Fórum de Dúvidas (3 de 7) Saiba (1) Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Ataque á Aplicação Ataques de códigos pré-fabricados Ataque aos Sistemas Operacionais Ataque de Configuração mal feita Ataque para Obtenção de Informações Exercício: CCT0185_EX_A6_ Matrícula: 2016 Aluno(a): MARCIO Data: 12/11/2017 12:23:02 (Finalizada) 1a Questão (Ref.: 201602353866) Fórum de Dúvidas (1 de 5) Saiba (1) Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Ignora o risco Trata o risco a qualquer custo Aceita o risco Comunica o risco Rejeita o risco 2a Questão (Ref.: 201602700224) Fórum de Dúvidas (5) Saiba (1) Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo ? PhishingBackdoor Rootkit Defacement Spyware 3a Questão (Ref.: 201602167655) Fórum de Dúvidas (1 de 5) Saiba (1) Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de uma ameaça explorar um incidente. Probabilidade de uma ameaça explorar uma vulnerabilidade 4a Questão (Ref.: 201602337314) Fórum de Dúvidas (1 de 5) Saiba (1) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Gabarito Comentado 5a Questão (Ref.: 201602167666) Fórum de Dúvidas (2 de 5) Saiba (1) Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos Tudo aquilo que tem origem para causar algum tipo de erro nos ativos Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 6a Questão (Ref.: 201602374420) Fórum de Dúvidas (2 de 5) Saiba (1) Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Gabarito Comentado 7a Questão (Ref.: 201602700235) Fórum de Dúvidas (2 de 5) Saiba (1) Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque ? Adware 0day Backdoor DoS/DDoS Spyware Gabarito Comentado 8a Questão (Ref.: 201602167651) Fórum de Dúvidas (2 de 5) Saiba (1) Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Risco real; Risco verdadeiro; Risco tratado; Risco percebido; Risco residual; Exercício: CCT0185_EX_A7_ Matrícula: 2016 Aluno(a): MARCIO Data: 12/11/2017 13:31:40 (Finalizada) 1a Questão (Ref.: 201602255324) Fórum de Dúvidas (2 de 4) Saiba (0) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. Gabarito Comentado 2a Questão (Ref.: 201602849413) Fórum de Dúvidas (2 de 4) Saiba (0) Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. 3a Questão (Ref.: 201602167672) Fórum de Dúvidas (4) Saiba (0) Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Identificação/avaliação sistemática dos eventos de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação 4a Questão (Ref.: 201603012158) Fórum de Dúvidas (2 de 4) Saiba (0) Os processos que envolvem a gestão de risco são, exceto: Identificar os riscos Gerenciar as respostas aos riscos Realizar a análise qualitativado risco Planejar o gerenciamento de risco Realizar a análise quantitativa do risco 5a Questão (Ref.: 201602255318) Fórum de Dúvidas (2 de 4) Saiba (0) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 6a Questão (Ref.: 201602168000) Fórum de Dúvidas (4) Saiba (0) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Manuais. Diretrizes. Normas. Procedimentos. Relatório Estratégico. Gabarito Comentado 7a Questão (Ref.: 201602168035) Fórum de Dúvidas (4) Saiba (0) Quando devem ser executadas as ações corretivas? Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Gabarito Comentado 8a Questão (Ref.: 201603012165) Fórum de Dúvidas (2 de 4) Saiba (0) Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Aceitação de risco Prevenção de risco Suposição de risco Limitação de risco Transferência de risco Exercício: CCT0185_EX_A8_ Matrícula: 2016 Aluno(a): MARCIO Data: 12/11/2017 18:16:21 (Finalizada) 1a Questão (Ref.: 201602343571) Fórum de Dúvidas (1 de 4) Saiba (1) Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A politica de gestão de continuidade de negócio. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar, Analisar e avaliar os riscos. A política do BIA. Identificar e avaliar as opções para o tratamento das vulnerabilidades. 2a Questão (Ref.: 201602374560) Fórum de Dúvidas (1 de 4) Saiba (1) A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem- sucedida, e os incidente de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Gabarito Comentado 3a Questão (Ref.: 201602168038) Fórum de Dúvidas (1 de 4) Saiba (1) A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Limitação. Correção. Reação. Preventiva. Recuperação . 4a Questão (Ref.: 201602168040) Fórum de Dúvidas (1 de 4) Saiba (1) No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: Restrição Financeira. Uma Operação Incorreta ou Erro do usuário. A perda de qualquer aspecto de segurança importante para a organização. Uma tempestade. Uma inundação. 5a Questão (Ref.: 201602255321) Fórum de Dúvidas (1 de 4) Saiba (1) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corrigidas e Preventivas Corretivas e Corrigidas Corretivas e Preventivas Prevenção e Preventivas Corretivas e Correção 6a Questão (Ref.: 201602677767) Fórum de Dúvidas (1 de 4) Saiba (1) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Gabarito Comentado 7a Questão (Ref.: 201602685348) Fórum de Dúvidas (1 de 4) Saiba (1) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Suporte técnico. Conscientização dos usuários. Segregação de funções. Auditoria. Procedimentos elaborados. Gabarito Comentado 8a Questão (Ref.: 201602353878) Fórum de Dúvidas (1 de 4) Saiba (1)Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Exercício: CCT0185_EX_A9_ Matrícula: 2016 Aluno(a): MARCIO Data: 12/11/2017 18:43:51 (Finalizada) 1a Questão (Ref.: 201602353883) Fórum de Dúvidas (2 de 2) Saiba (0) Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Análise de impacto dos negócios (BIA) Análise de risco Auditoria interna Classificação da informação Análise de vulnerabilidade Gabarito Comentado 2a Questão (Ref.: 201602849441) Fórum de Dúvidas (2 de 2) Saiba (0) A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: Investigação e diagnóstico; resolução de problemas; recuperação Análise de impacto no negócio; avaliação de risco; plano de contingência Tratamento de incidentes; solução de problemas; acordo de nível de operação Gestão de configuração; planejamento de capacidade; gestão de mudança Plano de redundância; análise de risco; planejamento de capacidade 3a Questão (Ref.: 201602685350) Fórum de Dúvidas (2) Saiba (0) Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PCN só pode ser implementado se o PRD já tiver em uso. O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. O PRD é mais abrangente que o PCN. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. 4a Questão (Ref.: 201602677771) Fórum de Dúvidas (2 de 2) Saiba (0) De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação. A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. GCN é a fase inicial da implantação da gestão de continuidade em uma organização. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. Gabarito Comentado 5a Questão (Ref.: 201602248320) Fórum de Dúvidas (2 de 2) Saiba (0) Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? Controlar o incidente Comunicar-se com as partes interessadas Afastar o incidente do cliente Confirmar a natureza e extensão do incidente Tomar controle da situação Gabarito Comentado 6a Questão (Ref.: 201602248322) Fórum de Dúvidas (2) Saiba (0) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Gabarito Comentado 7a Questão (Ref.: 201602248331) Fórum de Dúvidas (2) Saiba (0) Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? Planejamento, estudo e implementação do programa Planejamento, maturação e desenvolvimento Planejamento, desenvolvimento e implementação do programa Manutenção, implementação do programa e maturação Manutenção, desenvolvimento e implementação do programa 8a Questão (Ref.: 201602170811) Fórum de Dúvidas (2) Saiba (0) Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Não-Repúdio; Autenticidade; Integridade; Auditoria; Confidencialidade; Exercício: CCT0185_EX_A10_ Matrícula: 2016 Aluno(a): MARCIO Data: 12/11/2017 19:14:16 (Finalizada) 1a Questão (Ref.: 201602248339) Fórum de Dúvidas (4) Saiba (1) Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede Um detector de intrusão para realizar a análise do tráfego da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Um analisador de protocolo para auxiliar na análise do tráfego da rede Um sniffer de rede, para analisar o tráfego da rede 2a Questão (Ref.: 201602248349) Fórum de Dúvidas (4) Saiba (1) Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia simétrica ou de chave pública, quando o emissore receptor não utilizam chaves diferentes A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave Gabarito Comentado Gabarito Comentado 3a Questão (Ref.: 201602849451) Fórum de Dúvidas (4) Saiba (1) A sub-rede, também conhecida como rede de perímetro, utilizada para transmitir informações entre uma rede confiável e uma não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de: VPN Intranet DMZ Firewall Proxy Gabarito Comentado 4a Questão (Ref.: 201603012162) Fórum de Dúvidas (4) Saiba (1) São exemplos de ativos associados a sistemas (pertinentes para a identificação de ameaças), exceto: Informação Softwares Hardware Pessoas Serviços 5a Questão (Ref.: 201602248344) Fórum de Dúvidas (4) Saiba (1) Entre os diversos mecanismos de segurança o firewall é muito utilizado pelas organizações. Podem ser classificados em diferentes tipos. Qual das opções abaixo apresenta o tipo de Firewall que permite executar a conexão ou não a um serviço em uma rede modo indireto ? Firewall com Estado Firewall Indireto Firewall Proxy Firewall de Borda Filtro com Pacotes 6a Questão (Ref.: 201602248336) Fórum de Dúvidas (4) Saiba (1) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. Gabarito Comentado 7a Questão (Ref.: 201602719214) Fórum de Dúvidas (4) Saiba (1) Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um firewall para auxiliar na análise do tráfego da rede Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede Um analisador de espectro de rede, para analisar o tráfego da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Um detector de intrusão para realizar a análise do tráfego da rede Gabarito Comentado 8a Questão (Ref.: 201602199981) Fórum de Dúvidas (4) Saiba (1) O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: confirmar a identidade do usuário. testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser utilizada nas páginas subseqüentes. controlar a expiração da sessão do usuário, caso o mesmo possua cookies desabilitados em seu navegador. criptografar os dados enviados através do formulário para impedir que os mesmos sejam interceptados em curso. confirmar que o formulário está sendo preenchido por um usuário humano e não por um computador. Avaiação Parcial: CCT0185_SM_201602098808 V.1 Aluno(a): MARCIO HENRIQUES DE MELLO Matrícula: 201602098808 Acertos: 10,0 de 10,0 Data: 22/10/2017 12:47:58 (Finalizada) 1a Questão (Ref.: 201602170618) Acerto: 1,0 / 1,0 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? Por si só não conduz a uma compreensão de determinado fato ou situação; Possui valor e deve ser protegida; É a matéria-prima para o processo administrativo da tomada de decisão; É dado trabalhado, que permite ao executivo tomar decisões; Pode habilitar a empresa a alcançar seus objetivos estratégicos; 2a Questão (Ref.: 201602170766) Acerto: 1,0 / 1,0 O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio à tomada de decisão empresarial Apoio às Estratégias para vantagem competitiva Apoio aos Processos Apoio às Operações Apoio ao uso da Internet e do ambiente wireless 3a Questão (Ref.: 201602170809) Acerto: 1,0 / 1,0 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: verdadeira desde que seja considerada que todas as informações são publicas. verdadeira se considerarmos que o nível não deve ser mudado. falsa, pois não existe alteração de nível de segurança de informação. verdadeira, pois a classificação da informação pode ser sempre reavaliada. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 4a Questão (Ref.: 201602170852) Acerto: 1,0 / 1,0 A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão da área comercial. A gestão do ciclo da informação interna. A gestão dos negócios da organização . A gestão dos usuários. A gestão de orçamento. 5a Questão (Ref.: 201602808361) Acerto: 1,0 / 1,0 Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Software. Vulnerabilidade de Comunicação. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade Natural. 6a Questão (Ref.: 201602814741) Acerto: 1,0 / 1,0 Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e.... das ameaças e das contramedidas.do ativo e das ameaças. do risco e dos controles. dos controles e do risco residual. do ativo e dos controles. Gabarito Comentado. 7a Questão (Ref.: 201602807354) Acerto: 1,0 / 1,0 As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como: Naturais, Involuntárias e voluntárias. Comunicação, Físicas e Hardware. Software, Hardware e Firmware. Físicas, Lógicas e Naturais. Humanas, Mídias e Comunicação. Gabarito Comentado. 8a Questão (Ref.: 201602168053) Acerto: 1,0 / 1,0 Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: falsa, pois os impactos são sempre iguais para ameaças diferentes. falsa, pois não devemos considerar que diferentes ameaças existem . falsa, pois não depende do ativo afetado. parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. verdadeira 9a Questão (Ref.: 201602167599) Acerto: 1,0 / 1,0 Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de Fragmentação de Pacotes IP SQL Injection Smurf Buffer Overflow Fraggle Gabarito Comentado. Gabarito Comentado. 10a Questão (Ref.: 201602167637) Acerto: 1,0 / 1,0 Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão? Phishing Scan Source Routing SQL Injection DDos Shrink wrap code Avaiação Parcial: CCT0185_SM_2016 AV1 Aluno(a): MARCIO Matrícula: 2016 Acertos: 10,0 de 10,0 Data: 22/10/2017 13:01:05 (Finalizada) 1a Questão (Ref.: 201602170666) Acerto: 1,0 / 1,0 Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? A informação é vital para o processo de tomada de decisão de qualquer corporação. Deve ser disponibilizada sempre que solicitada. É fundamental proteger o conhecimento gerado. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Pode conter aspectos estratégicos para a Organização que o gerou. Gabarito Comentado. 2a Questão (Ref.: 201602342484) Acerto: 1,0 / 1,0 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Confidencialidade Integridade Privacidade Auditoria Disponibilidade 3a Questão (Ref.: 201602170808) Acerto: 1,0 / 1,0 Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações. Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações. Gabarito Comentado. 4a Questão (Ref.: 201602170855) Acerto: 1,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? Nas Vulnerabilidades e Ameaças. Nas Ameaças. Nos Ativos . Nos Riscos. Nas Vulnerabilidades. Gabarito Comentado. 5a Questão (Ref.: 201602843474) Acerto: 1,0 / 1,0 Analise o trecho abaixo: "Além da falta de água nas torneiras, a crise hídrica começa agora a afetar também a distribuição de energia elétrica no país. Cidades de ao menos sete unidades federativas do Brasil e no Distrito Federal registraram cortes severos, na tarde desta segunda-feira." Jornal O DIA, em 19/01/2015. Neste caso as empresas de Tecnologia que estão localizadas no município apresentam a vulnerabilidade do tipo: Natural Física Mídia Comunicação Hardware Gabarito Comentado. 6a Questão (Ref.: 201602674655) Acerto: 1,0 / 1,0 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "engenheiros". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "engenheiros" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Integridade Auditoria Confidencialidade Autenticidade Disponibilidade Gabarito Comentado. Gabarito Comentado. 7a Questão (Ref.: 201602167584) Acerto: 1,0 / 1,0 As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Obrigatórias. Naturais, Involuntárias e Voluntarias. Naturais, Voluntarias e Vulneráveis. Ocasionais, Involuntárias e Obrigatórias. 8a Questão (Ref.: 201602337243) Acerto: 1,0 / 1,0 Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificaçãodas ameaças podemos definir como ameaças involuntárias: Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 9a Questão (Ref.: 201602808922) Acerto: 1,0 / 1,0 Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Se dá através do envio de mensagem não solicitada com o intuito de induzir o acesso a páginas fraudulentas, projetadas para furtar dados pessoais e financeiros da vítima ou ainda o preenchimento de formulários e envio de dados pessoais e financeiros. Normalmente as mensagens enviadas se passam por comunicação de uma instituição conhecida, como um banco, empresa ou site popular. Qual seria este ataque: Packet Sniffing. Dumpster diving ou trashing. Phishing Scam. Port Scanning. Ip Spoofing. Gabarito Comentado. 10a Questão (Ref.: 201602700114) Acerto: 1,0 / 1,0 Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante ? Backdoor Rootkit Worm Spam 0Day Avaiação Parcial: CCT0185_SM_2016 AV2 Aluno(a): MARCIO Matrícula: 2016 Acertos: 10,0 de 10,0 Data: 22/10/2017 13:14:02 (Finalizada) 1a Questão (Ref.: 201602170757) Acerto: 1,0 / 1,0 O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? Ameaça. Risco. Impacto. Vulnerabilidade. Valor. Gabarito Comentado. 2a Questão (Ref.: 201602843008) Acerto: 1,0 / 1,0 O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a afirmar que ________________________é o elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. o arquivo o conhecimento o dado a informação o registro Gabarito Comentado. Gabarito Comentado. 3a Questão (Ref.: 201602843056) Acerto: 1,0 / 1,0 A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. A Legalidade A Disponibilidade A Confidencialidade A autenticidade O Não-repúdio 4a Questão (Ref.: 201602927562) Acerto: 1,0 / 1,0 Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)? Informação secreta Informação Interna Informação Pública Informação confidencial Nenhuma das alternativas anteriores 5a Questão (Ref.: 201602674660) Acerto: 1,0 / 1,0 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. Gabarito Comentado. 6a Questão (Ref.: 201602843464) Acerto: 1,0 / 1,0 Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso estamos falando de vulnerabilidade do tipo: Natural Comunicação Física Mídia Humana Gabarito Comentado. 7a Questão (Ref.: 201602732001) Acerto: 1,0 / 1,0 Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro. III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos. Estão CORRETAS as afirmativas: I e III, apenas. I, II e III. II e III, apenas. I e II, apenas. II apenas Gabarito Comentado. 8a Questão (Ref.: 201602167595) Acerto: 1,0 / 1,0 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo Fraco Forte Secreto Passivo Gabarito Comentado. 9a Questão (Ref.: 201602808815) Acerto: 1,0 / 1,0 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: Engenharia Social, Invasão do sistema e Alteração das informções. Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. Scaming de protocolos, Pedido de informações e Invasão do sistema. Estudo do atacante, Descoberta de informações e Formalização da invasão. Levantamento das informações, Exploração das informações e Obtenção do acesso. Gabarito Comentado. 10a Questão (Ref.: 201602843538) Acerto: 1,0 / 1,0 Maria é secretária da presidência de uma empresa e responsável por elaborar as atas das reuniões entre a presidência e a diretoria, onde são tratados os assuntos confidenciais da organização. João na tentativa de saber o que ocorre nas reuniões tornou-se amigo de Maria na intenção que Maria compartilhe as informações confidenciais que possui. Neste caso podemos afirmar que João está realizando um ataque do tipo: Engenharia social escaneamento
Compartilhar