Gestão de segurança av2

Prévia do material em texto

1. Um grupo específico de medidas preventivas é chamado de barreiras de segurança, 
uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser 
física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a 
barreira "Deter": 0,5 
 Esta é a primeira das barreiras de segurança e cumpre o papel importante de 
desencorajar as ameaças. 
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem 
e instrumentem os gestores da segurança na detecção de situações de risco. 
 Esta barreira trata como importante se cercar de recursos que permitam identificar e 
gerir os acessos, definindo perfis e autorizando permissões. 
 Esta barreira tem um sentido especial de representar a continuidade do processo de 
gestão de segurança da informação. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que 
suportam o negócio. 
 
 
2. Segundo os conceitos de Segurança da Informação as proteções são medidas que 
visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das 
opções abaixo apresenta os tipos proteção possível de serem aplicadas às 
organizações? 0,5 
 Administrativa, Física e Programada. 
 Lógica, Administrativa e Contábil. 
 Lógica, Física e Programada. 
 Administrativa, Contábil e Física. 
 Administrativa, Física e Lógica. 
 
 
3. Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo 
SQL Injection e um ataque de Buffer Overflow? 1,5 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de 
falhas em sistemas que interagem com bases de dados através da utilização de SQL. 
A injeção de SQL ocorre quando o atacante consegue inserir uma série de instruções 
SQL dentro de uma consulta (query) através da manipulação das entradas de dados 
de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um 
programa que espera por uma entrada de dados qualquer, informações 
inconsistentes ou que não estão de acordo com o padrão de entrada de dados. 
4. Como qualquer bem ou recurso organizacional, a informação também possui seu 
conceito de valor. Qual das opções abaixo não representa um dos possíveis conceitos 
fundamentais do valor atribuído às informações para as organizações quando 
tratamos de Segurança da Informação? 0,5 
 Valor de restrição. 
 Valor de troca. 
 Valor de propriedade. 
 Valor de orçamento. 
 Valor de uso. 
 
5. Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas 
trabalham e a forma como a tecnologia da informação apóia as operações e processos 
das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que 
possui os elementos fortemente responsáveis por este processo? 0,5 
 O uso da internet para sites de relacionamento; 
 O crescimento explosivo da internet e das suas respectivas tecnologias e 
aplicações; 
 O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 O Aumento no consumo de softwares licenciados; 
 O crescimento explosivo da venda de computadores e sistemas livres; 
 
6. Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da 
informação, de acordo com a ABNT NBR ISO/IEC 27005. 0,5 
 As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de 
ameaças de origem humana. 
 Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a 
probabilidade de incidentes de segurança. 
 As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de 
avaliação de riscos 
 A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo 
previamente estabelecido. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o 
maior nível de risco. 
 
7. O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de: 1 
 Confirmar a identidade do usuário. 
 Controlar a expiração da sessão do usuário, caso o mesmo possua cookies 
desabilitados em seu navegador. 
 Confirmar que o formulário está sendo preenchido por um usuário humano e não 
por um computador. 
 Testar a aptidão visual do usuário para decidir sobre a folha de estilo CSS a ser 
utilizada nas páginas subsequentes. 
 Criptografar os dados enviados através do formulário para impedir que os mesmos 
sejam interceptados em curso. 
 
 
8. Os ataques a computadores são ações praticadas por softwares projetados com 
intenções danosas. As consequências são bastante variadas, algumas têm como 
instrução infectar ou invadir computadores alheios para, em seguida, danificar seus 
componentes de hardware ou software, através da exclusão de arquivos, alterando o 
funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros 
tipos de ataques. Em relação a classificação das ameaças podemos definir como 
ameaças involuntárias: 1 
 
 Danos quase sempre internos - são uma das maiores ameaças ao ambiente, 
podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 
 Erros propositais de instalação ou de configuração possibilitando acessos 
indevidos. 
 Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, 
enchentes, terremotos e etc. 
 Ameaças propositais causadas por agentes humanos como crackers, invasores, 
espiões, ladrões e etc. 
 Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de 
criptografia nas comunicações. 
 
9. A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque 
ocorreu através do envio de informações inconsistentes para um campo de entrada de 
dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: 0,5 
 
 Buffer Overflow 
 Fragmentação de pacotes IP 
 Smurf 
 Fraggle 
 SQL injection 
 
 
10. 
São as vulnerabilidades que permitem que as ameaças se concretizem¿