Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Avaliação: CCT0185_AV_201207040304 (AG) » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV Aluno: 201207040304 - GUSTAVO SILVA DE BRITO JUNIOR Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/AC Nota da Prova: 8,0 Nota de Partic.: 2 Data: 31/05/2014 09:27:16 1a Questão (Ref.: 201207202493) Pontos: 1,5 / 1,5 A segurança da informação está relacionada com proteção dos ativos, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Defina com suas palavras o que é um Ativo para a Segurança das Informações: Resposta: Ativo tudo que tem valor para a organizacao Gabarito: Um ativo é qualquer coisa que tenha valor para a organização. 2a Questão (Ref.: 201207106457) Pontos: 0,5 / 0,5 Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Auditoria; Integridade; Confidencialidade; Não-Repúdio; Autenticidade; 3a Questão (Ref.: 201207103697) Pontos: 0,5 / 0,5 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo nãopode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 4a Questão (Ref.: 201207278143) Pontos: 0,5 / 0,5 Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. 5a Questão (Ref.: 201207103227) Pontos: 0,5 / 0,5 Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Captura de outras senhas usadas em sites de comércio eletrônico; Monitoramento de URLs acessadas enquanto o usuário navega na Internet Alteração da página inicial apresentada no browser do usuário; Captura de senhas bancárias e números de cartões de crédito; Alteração ou destruição de arquivos; 6a Questão (Ref.: 201207085292) Pontos: 1,5 / 1,5 "Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador". No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas. Resposta: Ameaca é um evento em si que pode comprometer o objetivo da empresa e/ou causar danos. Vulnerabilidade e a ausencia ou falha do sistema de protecao. Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que se diz respeito a sistemas de informações. 7a Questão (Ref.: 201207103245) Pontos: 0,5 / 0,5 Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de Buffer Overflow Fragmentação de Pacotes IP Smurf Fraggle SQL Injection 8a Questão (Ref.: 201207289512) Pontos: 0,5 / 0,5 Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Rejeita o risco Ignora o risco Comunica o risco Trata o risco a qualquer custo Aceita o risco 9a Questão (Ref.: 201207103317) Pontos: 1,0 / 1,0 A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Segurança em Recursos Humanos Segurança Física e do Ambiente Controle de Acesso Gerenciamento das Operações e Comunicações Desenvolvimento e Manutenção de Sistemas 10a Questão (Ref.: 201207183985) Pontos: 1,0 / 1,0 Você trabalha na área de administração de rede está percebendo que a rede tem apresentado um comportamento diferente do normal. Você desconfia que possam estar ocorrendo ataques a alguns servidores, e precisa utilizar alguma ferramenta para realizar o levantamento periódico do que está ocorrendo no tráfego da rede. Neste caso você irá utilizar: Um sniffer de rede, para analisar o tráfego da rede Um analisador de protocolo para auxiliar na análise do tráfego da rede Um filtro de pacotes, para verificar quais pacotes estão sendo verificados pelos firewall Um detector de intrusão para realizar a análise do tráfego da rede Um servidor proxy para filtrar o fluxo de dados que entram e saem da rede
Compartilhar