AV - Gestão de Seg. da Informação

Prévia do material em texto

Avaliação: CCT0185_AV_201201260231 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV 
Aluno: 201201260231 - SAMUEL SANTANA DOS SANTOS 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/AB 
Nota da Prova: 5,5 Nota de Partic.: 2 Data: 06/06/2014 14:23:02 
 
 
 1a Questão (Ref.: 201201425880) Pontos: 1,0 / 1,5 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
 
 
Resposta: O SQL Injection é um ataque de comandos SQL com o intuito de alterar o codigo do sistema, já o 
ataque Buffer Overflow ataca o Bufer do computador, impedindo-o de funcionar. 
 
 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que 
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o 
padrão de entrada de dados. 
 
 
 
 2a Questão (Ref.: 201201514809) Pontos: 0,5 / 0,5 
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As 
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios 
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, 
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de 
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: 
 
 
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 
 
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas 
comunicações. 
 
Erros propositais de instalação ou de configuração possibilitando acessos indevidos. 
 
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. 
 
Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por 
falha no treinamento, acidentes, erros ou omissões. 
 
 
 
 3a Questão (Ref.: 201201348184) Pontos: 0,5 / 0,5 
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de 
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao 
conceito de "Informação"? 
 
 
Por si só não conduz a uma compreensão de determinado fato ou situação; 
 
Pode habilitar a empresa a alcançar seus objetivos estratégicos; 
 
Possui valor e deve ser protegida; 
 
É a matéria-prima para o processo administrativo da tomada de decisão; 
 
É dado trabalhado, que permite ao executivo tomar decisões; 
 
 
 
 4a Questão (Ref.: 201201348375) Pontos: 0,5 / 0,5 
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade 
quanto pela de disponibilidade¿. Esta afirmação é: 
 
 
falsa, pois a informação não deve ser avaliada pela sua disponibilidade. 
 
verdadeira desde que seja considerada que todas as informações são publicas. 
 
falsa, pois não existe alteração de nível de segurança de informação. 
 
verdadeira, pois a classificação da informação pode ser sempre reavaliada. 
 
verdadeira se considerarmos que o nível não deve ser mudado. 
 
 
 
 5a Questão (Ref.: 201201520063) Pontos: 0,0 / 0,5 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos 
 
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
 
 
 6a Questão (Ref.: 201201327212) Pontos: 1,5 / 1,5 
"Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma 
abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à 
Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador". 
No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e 
vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas. 
 
 
Resposta: Ameaça é a possibilidade de um ataque acontecer e vulnerabilidade são as brechas ou o que motiva o 
atacantes a fazer um ataque se não for tomada medidas que corrija a vulnerabilidade e o desencorage nos 
passos seguintes. 
 
 
Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não 
necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou 
momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no 
contexto do que se diz respeito a sistemas de informações. 
 
 
 
 7a Questão (Ref.: 201201345173) Pontos: 0,0 / 0,5 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede 
através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da 
empresa. Qual o tipo de ataque que o invasor está tentando utilizar? 
 
 
Ip Spoofing 
 
Port Scanning 
 
Fraggle 
 
Fragmentação de pacotes IP 
 
SYN Flooding 
 
 
 
 8a Questão (Ref.: 201201514880) Pontos: 0,5 / 0,5 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a 
qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. 
Neste sentido podemos definir a barreira "Deter": 
 
 
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança 
da informação. 
 
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 
 
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 
 
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, 
definindo perfis e autorizando permissões. 
 
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem 
os gestores da segurança na detecção de situações de risco. 
 
 
 
 9a Questão (Ref.: 201201345575) Pontos: 1,0 / 1,0 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
normaNBR ISO/IEC 27001. 
 
 
 
 10a Questão (Ref.: 201201425898) Pontos: 0,0 / 1,0 
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um servidor 
Internet para que os clientes possam acessar as informações oferecidas pela empresa à seus clientes. Em qual 
tipo de rede você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de 
segurança? 
 
 
na Zona Desmilitarizada (DMZ) protegida 
 
na Zona Desmilitarizada (DMZ) suja 
 
ligado diretamente no roteador de borda 
 
na rede interna da organização 
 
em uma subrede interna protegida por um proxy 
 
 
 
Período de não visualização da prova: desde 30/05/2014 até 16/06/2014.