prova_av_2014_gest_seg_inf_ok

Prévia do material em texto

Avaliação: CCT0185_AV » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV
Aluno: 
Professor: SHEILA DE GOES MONTEIRO Turma: 9005/AA
Nota da Prova: 6,5 Nota de Partic.: 2 Data: 31/05/2014 15:16:42
1a Questão (Ref.: 201107327272) Pontos: 1,0 / 1,5
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser 
implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do 
programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN:
Resposta: O tópico do GCN desenvolvendo e implemento refere-se ao desenvolvimento adaptado para aquela 
organização do PCN baseado no impacto das falhas e na probabilidade de ocorrência das mesmas. Essa execução é 
colocar o plano em prática, o que cabe a todos os funcionários da empresa, pois deixar a porta aberta por exemplo 
é uma falha humana que compromete o plano, ela é coordenada com o apoio da alta direção/gestão da empresa 
por meio de normas, rotinas, diretrizes e procedimentos para por em prática o plano com a colaboração de todos 
da empresa, todos têm a sua responsabilidade no plano.
Gabarito: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN resulta 
na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios 
e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter 
ou restaurar as operações. 
2a Questão (Ref.: 201107238103) Pontos: 0,5 / 0,5
Desarquivamento, Transporte, Edição, Manuseio e Descarte 
4a Questão (Ref.: 201107334194) Pontos: 1,5 / 1,5
A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido nessa 
área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas 
está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma 
política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o investimento na 
área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são Vulnerabilidades para a 
Segurança das Informações?
Resposta: Vulnerabilidades são falhas ou brechas que expõe a empresa a sérios riscos de serem exploradas por 
uma ameaça que podem comprometer um sistema e até mesmo sua continuidade do negócio. A ameaça ela só 
bem sucedida caso haja uma vulnerabilidade disponível para ela explorar. Essas falhas ou brechas que 
comprometem um sistema (vulnerabilidades), devem ser evitadas ao máximo.
Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
5a Questão (Ref.: 201107309014) Pontos: 0,5 / 0,5
Wordpress foi atingido por ataque de DDOS massivo. O host de blogs Wordpress foi alvo de de um ataque DDoS e 
foi descrito como o maior já sofrido pela empresa. Como resultado desse ataque, quase 18 MILHÕES de blogs, 
incluindo os que fazem parte do serviço VIP da empresa sofreram com problemas nos acessos. Entre eles, estão 
inclusos o Financial Post, o Nacional Post e o TechCrunch. O tamanho ataque alcançou vários Gigabits por segundo 
e alguns milhões de pacotes por segundo. Apesar do ataque ter atingido três data centers do Wordpress, a 
investigação suspeita que o ataque tenha tido motivações políticas e o alvo tenha sido um blog. Qual você acha que 
foi a vulnerabilidade para este ataque? 
Vulnerabilidade Natural
Vulnerabilidade Software
Vulnerabilidade Mídias
Vulnerabilidade Física
Vulnerabilidade Comunicação
6a Questão (Ref.: 201107234930) Pontos: 0,5 / 0,5
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por 
meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças 
quanto a sua intencionalidade?
Ocasionais, Involuntárias e Obrigatórias.
Naturais, Involuntárias e Voluntarias.
Naturais, Involuntárias e Obrigatórias.
Naturais, Voluntarias e Vulneráveis.
Naturais, Voluntarias e Obrigatórias.
7a Questão (Ref.: 201107404622) Pontos: 0,5 / 0,5
Página 2 de 4BDQ Prova
18/06/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de 
algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e 
ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos 
gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a 
fase de "Manutenção do acesso" nesta receita:
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de 
outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou 
trojans. 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o 
objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos 
computacionais. 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as 
vulnerabilidades encontradas no sistema.
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o 
¿alvo em avaliação¿ antes do lançamento do ataque.
8a Questão (Ref.: 201107234997) Pontos: 0,5 / 0,5
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de 
tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso 
estamos nos referindo a que tipo de risco:
Risco verdadeiro;
Risco residual;
Risco tratado;
Risco percebido;
Risco real;
9a Questão (Ref.: 201107322664) Pontos: 0,0 / 1,0
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001.
10a Questão (Ref.: 201107315663) Pontos: 1,0 / 1,0
Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) 
esteja no nível mais alto da organização? 
Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. 
Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções 
inesperadas. 
Página 3 de 4BDQ Prova
18/06/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp
Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções 
inesperadas. 
Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. 
Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções 
inesperadas. 
Período de não visualizaçãoda prova: desde 30/05/2014 até 16/06/2014.
Página 4 de 4BDQ Prova
18/06/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.asp