GSI_AV_06-2014

Prévia do material em texto

Fechar 
 
Avaliação: CCT0185_AV_201207097446 (AG) » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV 
Aluno: 201207097446 - FAGNER SILVA DE LIMA 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9003/AB 
Nota da Prova: 6,5 Nota de Partic.: 2 Data: 04/06/2014 11:14:23 
 
 
 1a Questão (Ref.: 201207258429) Pontos: 1,0 / 1,5 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto, explique o elemento "Testando e Mantendo" do GCN: 
 
 
Resposta: O elemento "Testando e Mantendo" visa realizar testes para verificar a confiabilidade da política 
implementada, e também colocar em prática as rotinas de manutenção do mesmo, pois uma vez implementada 
uma política, ela deve ser constantemente monitorada. 
 
 
Gabarito: Testando e mantendo: A organização precisa verificar se suas estratégicas e planos estão completos, 
atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada 
as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à 
capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se 
parte dos valores da organização, através da sua inclusão na cultura da empresa. 
 
 
 
 2a Questão (Ref.: 201207340986) Pontos: 0,5 / 0,5 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um 
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma 
informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na 
segurança da informação para este sistema na propriedade relacionada à: 
 
 
Auditoria 
 
Privacidade 
 
Integridade 
 Disponibilidade 
 
Confidencialidade 
 
 
 
 3a Questão (Ref.: 201207169319) Pontos: 0,5 / 0,5 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem 
causar danos à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 
Confidencial. 
 
As opções (a) e (c) estão corretas. 
 
Interna. 
 Irrestrito. 
 
Secreta. 
 
 
 
 4a Questão (Ref.: 201207340999) Pontos: 0,0 / 0,5 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
 
 
 5a Questão (Ref.: 201207166093) Pontos: 0,5 / 0,5 
Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi 
projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá 
ser melhor descrito como sendo um: 
 
 
worm 
 cavalo de tróia (trojan horse) 
 
exploit 
 
vírus 
 
active-x 
 
 
 
 6a Questão (Ref.: 201207166126) Pontos: 0,5 / 0,5 
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário 
levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor 
tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos 
nos referindo a um ataque do tipo: 
 
 Port Scanning 
 
Fragmentação de Pacotes IP 
 
Three-way-handshake 
 
SYN Flooding 
 
Fraggle 
 
 
 
 7a Questão (Ref.: 201207148153) Pontos: 1,0 / 1,5 
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como 
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? 
 
 
Resposta: Prevenção: São medidas tomadas antes de qualquer impacto acontecer, ou seja, atacam as 
vulnerabilidades; Controle: São medidas tomadas para diminuir o dano causado pelas ameaças concretizadas, 
ou seja, diminuir o impacto gerado. 
 
 
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das 
ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A 
proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, 
detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
 
 
 8a Questão (Ref.: 201207166168) Pontos: 0,5 / 0,5 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 
 
 
 9a Questão (Ref.: 201207166544) Pontos: 1,0 / 1,0 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de 
camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o 
tipo de proteção que está sendo utilizada ? 
 
 
Preventiva 
 
Limitação 
 
Correção 
 
Reação 
 Desencorajamento 
 
 
 
 10a Questão (Ref.: 201207246849) Pontos: 1,0 / 1,0 
Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : 
 
 
A Chave Privada deve ser mantida em segredo pelo seu Dono 
 A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 
 
A Chave Publica pode ser divulgada livremente 
 
Cada pessoa ou entidade mantém duas chaves 
 
Chave Publica e Privada são utilizadas por algoritmos assimétricos 
 
 
 
Período de não visualização da prova: desde 30/05/2014 até 16/06/2014.