Prévia do material em texto
02/01/2018 EPS http://simulado.estacio.br/alunos/ 1/3 MARCELO DE LIMA 201509136983 Disc.: GESTÃO DE SEGURANÇA DA INFORMAÇÃO CCT0185_AV_201509136983 24/11/2017 19:28:41 (F) AV Aluno: 201509136983 - MARCELO DE LIMA Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9001/AA Avaliação: 7,0 Nota Partic.: 0 Av. Parcial.: 2,0 Nota SIA: 9,0 pts GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1. Ref.: 139618 Pontos: 0,70 / 1,00 Cada empresa ao tratar a segurança da informação e independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três princípios. Resposta: Disponibilidade: os dados/aplicativos (ativos) devem estar disponíveis em todo momento que o usuário devidamente autorizado precisar acessá-los. Integridade: Esses dados/aplicativos (ativos) precisam estar completos e devidamente atualizados para utilização dos usuários autorizados. Confidencialidade: É um princípio que garante que os ativos, por serem confidenciais, serão acessados somente por usuários autorizados. A informação sobre os ativos será preservada e indisponível à outras empresas concorrentes ou pessoas físicas. Fundamentação do Professor: Resposta Parcialmente Correta. Gabarito: Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários 2. Ref.: 139628 Pontos: 0,30 / 1,00 Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas deverão ser adotadas pela organização. Descreva os cinco passos utilizados pelos atacantes para realizar um ataque: Resposta: 1º - Conhecer o alvo a ser atacado: solicitar informações através de contatos diretos e indiretos com o objetivo de definir o que vai ser feito. 2º - Definir as vulnerabilidades que serão objeto do ataque. 3º - Concretizar o ataque efetivamente, uma vez que já foram identificadas as vulnerabilidades. 4º - Garantir que não seja descoberto. 5º - Manter o domínio do que foi invadido, garantindo soberania total da invasão. Fundamentação do Professor: Resposta Parcialmente Correta. Gabarito: 1 -Levantamento das informações: fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.Educational Performace Solution EPS ® - Alunos 02/01/2018 EPS http://simulado.estacio.br/alunos/ 2/3 Podem ser: ativo e passivo. 2 -Exploração das informações (scanning): Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Pode ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping. 3 -Obtenção do acesso: Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede. 4 - Manutenção do acesso: Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protêge-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 5 ¿Camuflagem das evidências: Consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais 3. Ref.: 818900 Pontos: 1,00 / 1,00 Trata-se de " [...] uma sequência de símbolos quantificados ou quantificáveis. [...]" Também são ______ fotos, figuras, sons gravados e animação." Tal conceito refere-se a: Nenhuma da alternativas anteriores Sistemas de Informação Dado Informação Conhecimento 4. Ref.: 61951 Pontos: 1,00 / 1,00 De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e de segurança¿, podemos dizer que: A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. A afirmação é somente verdadeira para as empresas privadas. A afirmação é somente falsa para as empresas privadas. A afirmação é falsa. A afirmação é verdadeira. 5. Ref.: 734780 Pontos: 1,00 / 1,00 João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: Natural Mídia Comunicação Humana Física 6. Ref.: 698666 Pontos: 1,00 / 1,00 As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como: Humanas, Mídias e Comunicação. Software, Hardware e Firmware. Naturais, Involuntárias e voluntárias. Físicas, Lógicas e Naturais.Educational Performace Solution EPS ® - Alunos 02/01/2018 EPS http://simulado.estacio.br/alunos/ 3/3 Comunicação, Físicas e Hardware. 7. Ref.: 700127 Pontos: 0,00 / 1,00 Após o crescimento do uso de sistemas de informação, comércio eletrônico e tecnologia digital as empresas se viram obrigadas a pensar na segurança de suas informações para evitar ameaças e golpes. Assim, a segurança da informação surgiu para reduzir possíveis ataques aos sistemas empresariais e domésticos. Resumindo, a segurança da informação é uma maneira de proteger os sistemas de informação contra diversos ataques, ou seja, mantendo documentações e arquivos. Podemos citar como ítens básicos, reconhecidos, de um ataque a sistemas de informação: Scaming de protocolos, Pedido de informações e Invasão do sistema. Estudo do atacante, Descoberta de informações e Formalização da invasão. Adequação das informações, Pressão sobre os funcionários e Descoberta de senhas. Engenharia Social, Invasão do sistema e Alteração das informções. Levantamento das informações, Exploração das informações e Obtenção do acesso. 8. Ref.: 58979 Pontos: 1,00 / 1,00 Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado: Monitoramento do Risco Garantia do Risco Comunicação do Risco Recusar o Risco Aceitação do Risco 9. Ref.: 62119 Pontos: 0,50 / 0,50 Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Integridade; Não-Repúdio; Auditoria; Confidencialidade; Autenticidade; 10. Ref.: 903484 Pontos: 0,50 / 0,50 Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: Desenvolvimento e manutenção das melhores práticas Atrair emanter clientes Demonstração de liderança de mercado Criação de vantagens competitivas Compartilhamento de informações com os stakeholders Educational Performace Solution EPS ® - Alunos