Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AV » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV Aluno: Professor: SHEILA DE GOES MONTEIRO Turma: 9005/AA Nota da Prova: 6,5 Nota de Partic.: 2 Data: 31/05/2014 15:16:42 1a Questão (Ref.: 201107327272) Pontos: 1,0 / 1,5 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN: Resposta: O tópico do GCN desenvolvendo e implemento refere-se ao desenvolvimento adaptado para aquela organização do PCN baseado no impacto das falhas e na probabilidade de ocorrência das mesmas. Essa execução é colocar o plano em prática, o que cabe a todos os funcionários da empresa, pois deixar a porta aberta por exemplo é uma falha humana que compromete o plano, ela é coordenada com o apoio da alta direção/gestão da empresa por meio de normas, rotinas, diretrizes e procedimentos para por em prática o plano com a colaboração de todos da empresa, todos têm a sua responsabilidade no plano. Gabarito: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. 2a Questão (Ref.: 201107238103) Pontos: 0,5 / 0,5 Desarquivamento, Transporte, Edição, Manuseio e Descarte 4a Questão (Ref.: 201107334194) Pontos: 1,5 / 1,5 A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o investimento na área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são Vulnerabilidades para a Segurança das Informações? Resposta: Vulnerabilidades são falhas ou brechas que expõe a empresa a sérios riscos de serem exploradas por uma ameaça que podem comprometer um sistema e até mesmo sua continuidade do negócio. A ameaça ela só bem sucedida caso haja uma vulnerabilidade disponível para ela explorar. Essas falhas ou brechas que comprometem um sistema (vulnerabilidades), devem ser evitadas ao máximo. Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 5a Questão (Ref.: 201107309014) Pontos: 0,5 / 0,5 Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Software Vulnerabilidade Mídias Vulnerabilidade Física Vulnerabilidade Comunicação 6a Questão (Ref.: 201107234930) Pontos: 0,5 / 0,5 As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Ocasionais, Involuntárias e Obrigatórias. Naturais, Involuntárias e Voluntarias. Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Vulneráveis. Naturais, Voluntarias e Obrigatórias. 7a Questão (Ref.: 201107404622) Pontos: 0,5 / 0,5 Página 2 de 4BDQ Prova 18/06/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 8a Questão (Ref.: 201107234997) Pontos: 0,5 / 0,5 Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Risco verdadeiro; Risco residual; Risco tratado; Risco percebido; Risco real; 9a Questão (Ref.: 201107322664) Pontos: 0,0 / 1,0 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 10a Questão (Ref.: 201107315663) Pontos: 1,0 / 1,0 Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Página 3 de 4BDQ Prova 18/06/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. Período de não visualizaçãoda prova: desde 30/05/2014 até 16/06/2014. Página 4 de 4BDQ Prova 18/06/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp
Compartilhar