Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
GESTÃO DE SEGURANÇA DA INFORMAÇÃO Avaliando o aprendizado A1 A10
Compartilhar
Prévia do material em texto
Parte superior do formulário CCT0185_EX_A1__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A1__V1 Matrícula: Aluno(a): Data: 24/08/2017 21:11:46 (Finalizada) 1a Questão (Ref.: 201605138875) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da ¿Segurança da Informação¿? Visa à proteção dos equipamentos de uma empresa que contêm informações. Visam à proteção alguns poucos ativos de uma empresa que contêm informações. Visa à proteção de todos os ativos de uma empresa que contêm informações. Visa à proteção, com o foco na internet da empresa, dos ativos que contêm informações. Visa principalmente à proteção dos ativos patrimoniais que contêm informações. 2a Questão (Ref.: 201605138992) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio à tomada de decisão empresarial Apoio ao uso da Internet e do ambiente wireless Apoio às Estratégias para vantagem competitiva Apoio aos Processos Apoio às Operações 3a Questão (Ref.: 201605138879) Fórum de Dúvidas (2 de 22) Saiba (3) Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Valor. Risco. Impacto. Vulnerabilidade. Ameaça. 4a Questão (Ref.: 201605136277) Fórum de Dúvidas (2 de 22) Saiba (3) O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; 5a Questão (Ref.: 201605310710) Fórum de Dúvidas (3 de 22) Saiba (3) Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Auditoria Confidencialidade Integridade Privacidade Disponibilidade 6a Questão (Ref.: 201605138892) Fórum de Dúvidas (2 de 22) Saiba (3) Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de ¿Informação¿ ? A informação é vital para o processo de tomada de decisão de qualquer corporação. É fundamental proteger o conhecimento gerado. Pode conter aspectos estratégicos para a Organização que o gerou. Deve ser disponibilizada sempre que solicitada. É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Gabarito Comentado 7a Questão (Ref.: 201605305097) Fórum de Dúvidas (3 de 22) Saiba (3) A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Um de suas propriedades principais é a disponibilidade, qual das definições abaixo expressa melhor este princípio: Esta propriedade indica que quaisquer transações legítimas, efetuadas por usuários, entidades, sistemas ou processos autorizados e aprovados, não deveriam ser passíveis de cancelamento posterior. Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado. Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados. Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada. Esta propriedade indica a possibilidade de identificar e autenticar usuários, entidades, sistemas ou processos. 8a Questão (Ref.: 201605322079) Fórum de Dúvidas (5 de 22) Saiba (1 de 3) No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser: 1) Físicas 2) Lógicas 3) Administrativas Analise as questões abaixo e relacione o tipo corretamente: ( ) Procedimento ( ) Fechadura ( ) Firewall ( ) Cadeado ( ) Normas 3, 1, 2, 1, 3 2, 1, 2, 1, 3 3, 2, 1, 2, 3 2, 2, 1, 3, 1 1, 3, 1, 3, 2 Parte inferior do formulário Parte superior do formulário CCT0185_EX_A2__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A2__V1 Matrícula: Aluno(a): Data: 25/08/2017 08:39:19 (Finalizada) 1a Questão (Ref.: 201605305363) Fórum de Dúvidas (3 de 9) Saiba (0) Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação: Utiliza-se das propriedades inseridas nos dados. Reflete o custo substitutivo de um bem. Baseia-se na utilização final que se fará com a informação. É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas.2a Questão (Ref.: 201605139034) Fórum de Dúvidas (9) Saiba (0) Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações. Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações. Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. Gabarito Comentado 3a Questão (Ref.: 201605139043) Fórum de Dúvidas (3 de 9) Saiba (0) Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? Secreta. As opções (a) e (c) estão corretas. Irrestrito. Interna. Confidencial. 4a Questão (Ref.: 201605139042) Fórum de Dúvidas (9) Saiba (0) Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de propriedade. Valor de orçamento. Valor de restrição. Valor de troca. Valor de uso. Gabarito Comentado 5a Questão (Ref.: 201605139076) Fórum de Dúvidas (3 de 9) Saiba (0) A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Confiabilidade, integridade, risco e valor. Confidencialidade, integridade, disponibilidade e vulnerabilidade . Confiabilidade, integridade, vulnerabilidade e valor. Confidencialidade, integridade, disponibilidade e valor. Confidencialidade, vulnerabilidade, disponibilidade e valor. Gabarito Comentado 6a Questão (Ref.: 201605139078) Fórum de Dúvidas (4 de 9) Saiba (0) A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão dos negócios da organização . A gestão dos usuários. A gestão do ciclo da informação interna. A gestão de orçamento. A gestão da área comercial. 7a Questão (Ref.: 201605138868) Fórum de Dúvidas (3 de 9) Saiba (0) Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de ¿Ativo de Informação¿? São aqueles tratam, administram, isolam ou armazenam informações. São aqueles que organizam, processam, publicam ou destroem informações. São aqueles que produzem, processam, transmitem ou armazenam informações. São aqueles que constroem, dão acesso, transmitem ou armazenam informações. São aqueles que produzem, processam, reúnem ou expõem informações. Gabarito Comentado Gabarito Comentado 8a Questão (Ref.: 201605310717) Fórum de Dúvidas (4 de 9) Saiba (0) A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação: Geração, Transporte, Armazenamento, Manuseio e Descarte. Geração, Transporte, Publicação, Apreciação e Arquivamento. Geração, Edição, Correção, Divulgação e Descarte Criação, Edição, Correção, Manuseio e Descarte Desarquivamento, Transporte, Edição, Manuseio e Descarte Gabarito Comentado Parte inferior do formulário Parte superior do formulário CCT0185_EX_A3__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 3a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A3__V1 Matrícula: Aluno(a): Data: 25/08/2017 09:29:21 (Finalizada) 1a Questão (Ref.: 201605209896) Fórum de Dúvidas (1 de 15) Saiba (0) As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Física Vulnerabilidade Natural Vulnerabilidade de Software Vulnerabilidade Comunicação Vulnerabilidade Mídia 2a Questão (Ref.: 201605776591) Fórum de Dúvidas (1 de 15) Saiba (0) Ataque a de modems-roteadores ADSL com o uso de uma falha de segurança existente em alguns modelos de equipamento. Na prática, o problema permitia que um hacker alterasse o modem-roteador para utilizar um determinado serviço fornecido pelo criminoso em vez do fornecido pelo provedor, redirecionando internautas para sites falsos. O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma consulta pequena, mas gerar para o alvo do ataque um tráfego grande. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade de Mídias. Vulnerabilidade Física. Vulnerabilidade de Comunicação. Vulnerabilidade de Hardware. Gabarito Comentado 3a Questão (Ref.: 201605322083) Fórum de Dúvidas (1 de 15) Saiba (0) Observe a figura acima e complete corretamente a legenda dos desenhos: Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Gabarito Comentado 4a Questão (Ref.: 201605782970) Fórum de Dúvidas (1 de 15) Saiba (0) Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade. Sistema operacional desatualizado. Links sem contingência. Funcionário desonesto. Rede elétrica instável. Firewall mal configurado. Gabarito Comentado 5a Questão (Ref.: 201605776572) Fórum de Dúvidas (1 de 15)Saiba (0) A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Software. Vulnerabilidade Natural. Vulnerabilidade Física. Vulnerabilidade de Mídias. Vulnerabilidade de Comunicação. Gabarito Comentado 6a Questão (Ref.: 201605642886) Fórum de Dúvidas (6 de 15) Saiba (0) Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. Gabarito Comentado 7a Questão (Ref.: 201605782965) Fórum de Dúvidas (1 de 15) Saiba (0) Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas por ameaças, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: II e III, somente. I, II, III e IV. I e III, somente. I, II e IV, somente. I, III e IV, somente. Gabarito Comentado 8a Questão (Ref.: 201605700206) Fórum de Dúvidas (1 de 15) Saiba (0) Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: II e III, somente. I, II, III e IV. I, II e IV, somente. I, III e IV, somente. I e III, somente. Gabarito Comentado Parte inferior do formulário File failed to load: http://simulado.estacio.br/ckeditor/MathJax/a11y/accessibility-menu.js Parte superior do formulário CCT0185_EX_A4__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 4a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A4__V1 Matrícula: Aluno(a): Data: 25/08/2017 09:50:15 (Finalizada) 1a Questão (Ref.: 201605653587) Fórum de Dúvidas (1 de 7) Saiba (1) Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5,1,4,3,2. 3, 1, 5, 2, 4. 3, 2, 4, 5, 1. 5, 2, 4, 3, 1. 3, 1, 4, 5, 2. 2a Questão (Ref.: 201605700227) Fórum de Dúvidas (1 de 7) Saiba (1) Analise as seguintes afirmativas sobre ameaças à Segurança da Informação: I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro. III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos. Estão CORRETAS as afirmativas: II e III, apenas. I, II e III. II apenas I e III, apenas. I e II, apenas. Gabarito Comentado 3a Questão (Ref.: 201605135817) Fórum de Dúvidas (1 de 7) Saiba (1) Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: active-x vírus exploit cavalo de tróia (trojan horse) worm 4a Questão (Ref.: 201605135821) Fórum de Dúvidas (1 de 7) Saiba (1) Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Fraco Ativo Passivo Forte Secreto Gabarito Comentado 5a Questão (Ref.: 201605775577) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginasweb e modificá-las. As sentenças I e II estão corretas. As sentenças I e III estão corretas. As sentenças II e III estão corretas. Apenas a sentença I está correta. Todas as sentenças estão corretas. Gabarito Comentado 6a Questão (Ref.: 201605136279) Fórum de Dúvidas (1 de 7) Saiba (1) Ao analisarmos a afirmativa: ¿Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça¿. Podemos dizer que é: parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. falsa, pois não depende do ativo afetado. verdadeira falsa, pois não devemos considerar que diferentes ameaças existem . falsa, pois os impactos são sempre iguais para ameaças diferentes. 7a Questão (Ref.: 201605135807) Fórum de Dúvidas (1 de 7) Saiba (1) Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? Alteração ou destruição de arquivos; Captura de outras senhas usadas em sites de comércio eletrônico; Captura de senhas bancárias e números de cartões de crédito; Alteração da página inicial apresentada no browser do usuário; Monitoramento de URLs acessadas enquanto o usuário navega na Internet 8a Questão (Ref.: 201605135810) Fórum de Dúvidas (5 de 7) Saiba (1 de 1) As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Ocasionais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Obrigatórias. Naturais, Involuntárias e Voluntarias. Naturais, Involuntárias e Obrigatórias. Naturais, Voluntarias e Vulneráveis. Parte inferior do formulário Parte superior do formulário CCT0185_EX_A5__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 5a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A5__V1 Matrícula: Aluno(a): Data: 25/08/2017 09:59:14 (Finalizada) 1a Questão (Ref.: 201605305502) Fórum de Dúvidas (3 de 7) Saiba (1) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Gabarito Comentado 2a Questão (Ref.: 201605135868) Fórum de Dúvidas (3 de 7) Saiba (1) Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataques Genéricos Ataque aos Sistemas Operacionais Ataque à Aplicação Ataque de Configuração mal feita Ataque para Obtenção de Informações 3a Questão (Ref.: 201605135872) Fórum de Dúvidas (3 de 7) Saiba (1) Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Phishing Scan Shrink Wrap Code Fraggle Smurf Dumpster Diving ou Trashing Gabarito Comentado 4a Questão (Ref.: 201605777134) Fórum de Dúvidas (3 de 7) Saiba (1) Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte do modelo OSI. É realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir daí, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: Port Scanning. Syn Flooding. Ip Spoofing. Packet Sniffing. Fraggle. Gabarito Comentado 5a Questão (Ref.: 201605305507) Fórum de Dúvidas (3 de 7) Saiba (1) Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. 6a Questão (Ref.: 201605777143) Fórum de Dúvidas (3 de 7) Saiba (1) Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca de informações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: Port Scanning. Packet Sniffing. Dumpster diving ou trashing. Syn Flooding. Ip Spoofing. Gabarito Comentado7a Questão (Ref.: 201605135866) Fórum de Dúvidas (2 de 7) Saiba (1 de 1) Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Exploração das Informações Levantamento das Informações Divulgação do Ataque Obtenção de Acesso Camuflagem das Evidências 8a Questão (Ref.: 201605135845) Fórum de Dúvidas (3 de 7) Saiba (1) Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estavamos nos referindo ao ataque do tipo DDos Phishing Scan Shrink wrap code Source Routing SQL Injection Parte inferior do formulário Parte superior do formulário CCT0185_ V.1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Avaiação Parcial: CCT0185_SM_ V.1 Aluno(a): Matrícula: Acertos: 10,0 de 10,0 Data: 22/08/2017 12:23:59 (Finalizada) 1a Questão (Ref.: 201605811248) Acerto: 1,0 / 1,0 Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido: Confidencialidade Legalidade Disponibilidade Integridade Confiabilidade 2a Questão (Ref.: 201605138992) Acerto: 1,0 / 1,0 O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio à tomada de decisão empresarial Apoio às Estratégias para vantagem competitiva Apoio às Operações Apoio ao uso da Internet e do ambiente wireless Apoio aos Processos 3a Questão (Ref.: 201605139038) Acerto: 1,0 / 1,0 Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Confidencial. Pública. Secreta. Interna. Irrestrito. 4a Questão (Ref.: 201605653572) Acerto: 1,0 / 1,0 Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: I. Usar uma linguagem conhecida. II. Usar meios adequados aos tipos de mensagens e usuários. III. Adotar estilo simples e claro. IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. V. Respeitar a cultura organizacional e a do país a que se destina. As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança. As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução. As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina. As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada. Gabarito Comentado. 5a Questão (Ref.: 201605776576) Acerto: 1,0 / 1,0 Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade Humana. Vulnerabilidade de Mídias. Vulnerabilidade de Hardware. Vulnerabilidade Física. Gabarito Comentado. 6a Questão (Ref.: 201605782967) Acerto: 1,0 / 1,0 Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e.... do risco e dos controles. do ativo e dos controles. do ativo e das ameaças. dos controles e do risco residual. das ameaças e das contramedidas. Gabarito Comentado. 7a Questão (Ref.: 201605653587) Acerto: 1,0 / 1,0 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 3, 2, 4, 5, 1. 5, 2, 4, 3, 1. 3, 1, 5, 2, 4. 5,1,4,3,2. 3, 1, 4, 5, 2. 8a Questão (Ref.: 201605135817) Acerto: 1,0 / 1,0 Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: exploit vírus cavalo de tróia (trojan horse) active-x worm 9a Questão (Ref.: 201605653590) Acerto: 1,0 / 1,0 Na categoria de software malicioso (malware), assinale a alternativa que identifica uma ameaça que consiste no envio de uma mensagem não-solicitada, que procura induzir o destinatário a fornecer dados pessoais ou financeiros, tais como senhas, número do CPF e número da conta-corrente. Phishing Vírus de boot Keylogger (espião de teclado) Cavalo de troia Hoaxes (boatos) Gabarito Comentado. 10a Questão (Ref.: 201605777138) Acerto: 1,0 / 1,0 Um dos principais tipos de ataques à Segurança das informaçõesfunciona da seguinte forma: O ataque explora a metodologia de estabelecimento de conexões do protocoloTCP, baseado no three-way-handshake. Desta forma um grande número de requisições de conexão (pacotes SYN) é enviando, de tal maneira que o servidor não seja capaz de responder a todas elas. A pilha de memória sofre então um overflow e as requisições de conexões de usuários legítimos são, desta forma, desprezadas, prejudicando a disponibilidade do sistema.. Qual seria este ataque: Fraggle. Ip Spoofing. Port Scanning. Packet Sniffing. Syn Flooding. Gabarito Comentado. Parte inferior do formulário Parte superior do formulário CCT0185_ V.1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Avaiação Parcial: CCT0185_SM_ V.1 Aluno(a): Matrícula: Acertos: 9,0 de 10,0 Data: 23/08/2017 13:25:58 (Finalizada) 1a Questão (Ref.: 201605139002) Acerto: 1,0 / 1,0 Em uma organização existem diversos tipos de ativos que podem ser organizados e classificados através de diversas propriedade e que permitem a organização deste ativos em grupos com características semelhantes no que diz respeito às necessidades, estratégias e ferramentas de proteção. Qual das opções abaixo define a classificação dos tipos de ativos? Contábil e Não Contábil. Intangível e Qualitativo. Tangível e Físico. Tangível e Intangível. Material e Tangível. 2a Questão (Ref.: 201605136280) Acerto: 1,0 / 1,0 Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; O crescimento explosivo dos cursos relacionados com a tecnologia da informação; O crescimento explosivo da venda de computadores e sistemas livres; O Aumento no consumo de softwares licenciados; O uso da internet para sites de relacionamento; 3a Questão (Ref.: 201605811282) Acerto: 1,0 / 1,0 A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. A Disponibilidade A Legalidade A autenticidade A Confidencialidade O Não-repúdio 4a Questão (Ref.: 201605895788) Acerto: 1,0 / 1,0 Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)? Informação Interna Nenhuma das alternativas anteriores Informação Pública Informação secreta Informação confidencial 5a Questão (Ref.: 201605653568) Acerto: 0,0 / 1,0 O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Problema Vulnerabilidade Risco Dependência Ameaça Gabarito Comentado. 6a Questão (Ref.: 201605342412) Acerto: 1,0 / 1,0 Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 7a Questão (Ref.: 201605135817) Acerto: 1,0 / 1,0 Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: exploit cavalo de tróia (trojan horse) active-x worm vírus 8a Questão (Ref.: 201605135800) Acerto: 1,0 / 1,0 Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Conhecida e Externa Interna e Externa Secreta e Oculta Secreta e Externa Interna e Oculta 9a Questão (Ref.: 201605305502) Acerto: 1,0 / 1,0 Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Manutenção do acesso" nesta receita: Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Gabarito Comentado. 10a Questão (Ref.: 201605310726) Acerto: 1,0 / 1,0 Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com umamensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Wabbit. Trojans. Hijackers. Exploits. Phishing. Gabarito Comentado. Parte inferior do formulário Parte superior do formulário CCT0185_ V.1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Avaiação Parcial: CCT0185_SM_ V.1 Aluno(a): Matrícula: Acertos: 9,0 de 10,0 Data: 23/08/2017 13:43:40 (Finalizada) 1a Questão (Ref.: 201605138984) Acerto: 1,0 / 1,0 O tamanho do prejuízo, medido através de propriedades mensuráveis ou abstratas, que a concretização de uma determinada ameaça causará está relacionado com qual conceito de? Risco. Vulnerabilidade. Valor. Impacto. Ameaça. 2a Questão (Ref.: 201605136273) Acerto: 1,0 / 1,0 A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações? Dado - Informação - Conhecimento Dado - Conhecimento - Informação Dado - Informação - Informação Bruta Dado - Informação - Dados Brutos Dado - Conhecimento Bruto - Informação Bruta 3a Questão (Ref.: 201605139043) Acerto: 1,0 / 1,0 Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? Irrestrito. Secreta. As opções (a) e (c) estão corretas. Interna. Confidencial. 4a Questão (Ref.: 201605139081) Acerto: 0,0 / 1,0 Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor está associado a um contexto. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Segundo os conceitos da Segurança da Informação, onde devemos proteger as informações? Nas Vulnerabilidades e Ameaças. Nos Ativos . Nos Riscos. Nas Ameaças. Nas Vulnerabilidades. Gabarito Comentado. 5a Questão (Ref.: 201605135891) Acerto: 1,0 / 1,0 O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? Analise de Incidente Análise de Vulnerabilidade Analise de Escopo Ameaça Ativo Gabarito Comentado. 6a Questão (Ref.: 201605776582) Acerto: 1,0 / 1,0 A empresa de segurança cibernética IntelCrawler descobriu no dia 17 de janeiro de 2014 ao menos seis ataques em andamento contra varejistas nos Estados Unidos cujos sistemas de cartão de crédito estão infectados com o mesmo tipo de software malicioso usado para roubar dados de cerca de 40 milhões de cartões de crédito da rede Target. O software malicioso que foi usado para tal feito foi o BlackPOS. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Natural. Vulnerabilidade de Comunicação. Vulnerabilidade Software. Vulnerabilidade de Mídias. Vulnerabilidade Física. Gabarito Comentado. 7a Questão (Ref.: 201605135795) Acerto: 1,0 / 1,0 Qual dos exemplos abaixo não pode ser considerado como sendo claramente um código malicioso ou Malware ? active-x worm keyloggers rootkit trojan horse 8a Questão (Ref.: 201605782973) Acerto: 1,0 / 1,0 Com relação as ameaças aos sistema de informação, assinale a opção correta: Spyware é um programa que permite o controle remoto do agente invasor e é capaz de se propagar automaticamente, pois explora vulnerabilidades existentes em programas instalados em computadores. Backdoor é um programa que permite o acesso de uma máquina a um invasor de computador, pois assegura a acessibilidade a essa máquina em modo remoto, sem utilizar, novamente, os métodos de realização da invasão. Vírus é um programa que monitora as atividades de um sistema e envia informações relativas a essas atividades para terceiros. Um exemplo é o vírus keylogger que é capaz de armazenar os caracteres digitados pelo usuário de um computador. Bot é um programa capaz de se propagar, automaticamente, por rede, pois envia cópias de si mesmo de computador para computador, por meio de execução direta ou por exploração automática das vulnerabilidades existentes em programas instalados em computadores. Worm é um programa ou parte de um programa de computador, usualmente malicioso, que se propaga ao criar cópias de si mesmo e, assim, se torna parte de outros programas e arquivos. Gabarito Comentado. 9a Questão (Ref.: 201605305507) Acerto: 1,0 / 1,0 Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. 10a Questão (Ref.: 201605135868) Acerto: 1,0 / 1,0 Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções abaixo Não representa um destes tipos de ataques? Ataque à Aplicação Ataque de Configuração mal feita Ataque aos Sistemas Operacionais Ataques Genéricos Ataque para Obtenção de Informações Parte inferior do formulário Parte superior do formulário CCT0185_EX_A6__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 6a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A6__V1 Matrícula: Aluno(a): Data: 26/08/2017 11:32:01 (Finalizada) 1a Questão (Ref.: 201605305536) Fórum de Dúvidas (2 de 5) Saiba (1)Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Gabarito Comentado 2a Questão (Ref.: 201605668452) Fórum de Dúvidas (5) Saiba (1) Qual o nome do ataque ou maneira de fazer propaganda por meio digitais através de instalação de jogos, aplicativos e softwares ? Rootkit Spyware Backdoor Adware Trojan Gabarito Comentado 3a Questão (Ref.: 201605135893) Fórum de Dúvidas (1 de 5) Saiba (1) Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado: Monitoramento do Risco Comunicação do Risco Recusar o Risco Garantia do Risco Aceitação do Risco 4a Questão (Ref.: 201605135876) Fórum de Dúvidas (2 de 5) Saiba (1) Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? Detectar Dificultar Discriminar Desencorajar Deter 5a Questão (Ref.: 201605668445) Fórum de Dúvidas (5) Saiba (1) Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ? 0day Spam Backdoor Rootkit Adware 6a Questão (Ref.: 201605668483) Fórum de Dúvidas (2 de 5) Saiba (1) Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ? Impacto, ameaça, incidente e recuperação Ameaça, impacto, incidente e recuperação Incidente, impacto, ameaça e recuperação Ameaça, incidente, impacto e recuperação Incidente, recuperação, impacto e ameaça Gabarito Comentado 7a Questão (Ref.: 201605342646) Fórum de Dúvidas (2 de 5) Saiba (1) Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. Gabarito Comentado 8a Questão (Ref.: 201605322092) Fórum de Dúvidas (1 de 5) Saiba (1) Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Comunica o risco Ignora o risco Aceita o risco Trata o risco a qualquer custo Rejeita o risco Parte inferior do formulário Parte superior do formulário CCT0185_EX_A7__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 7a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A7__V1 Matrícula: Aluno(a): Data: 26/08/2017 12:04:09 (Finalizada) 1a Questão (Ref.: 201605135901) Fórum de Dúvidas (4) Saiba (0) A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gestão da Continuidade do Negócio Controle de Acesso Segurança Física e do Ambiente. Gestão de Incidentes de Segurança da Informação Gerenciamento das Operações e Comunicações 2a Questão (Ref.: 201605136226) Fórum de Dúvidas (4) Saiba (0) Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Normas. Diretrizes. Manuais. Procedimentos. Relatório Estratégico. Gabarito Comentado 3a Questão (Ref.: 201605980381) Fórum de Dúvidas (2 de 4) Saiba (0) Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças. Apenas III correta Apenas I correta Apenas II e III corretas Apenas II correta Apenas I e II corretas 4a Questão (Ref.: 201605223550) Fórum de Dúvidas (2 de 4) Saiba (0) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado.implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. Gabarito Comentado 5a Questão (Ref.: 201605322095) Fórum de Dúvidas (2 de 4) Saiba (0) Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Classificação da informação, requisitos de negócio e análise de risco Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, Análise de risco, Requisitos legais Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Análise de vulnerabilidades, requisitos legais e classificação da informação 6a Questão (Ref.: 201605122693) Fórum de Dúvidas (4) Saiba (0) Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Integridade, confidencialidade e disponibilidade Prevenção, proteção e reação Autenticidade, originalidade e abrangência Integridade, prevenção e proteção Flexibilidade, agilidade e conformidade 7a Questão (Ref.: 201605980391) Fórum de Dúvidas (2 de 4) Saiba (0) Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Prevenção de risco Transferência de risco Suposição de risco Limitação de risco Aceitação de risco 8a Questão (Ref.: 201605135898) Fórum de Dúvidas (4) Saiba (0) Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/avaliação sistemática dos incidentes de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Parte inferior do formulário File failed to load: http://simulado.estacio.br/ckeditor/MathJax/a11y/accessibility-menu.js Parte superior do formulário CCT0185_EX_A8__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 8a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A8__V1 Matrícula: Aluno(a): Data: 26/08/2017 12:28:14 (Finalizada) 1a Questão (Ref.: 201605895821) Fórum de Dúvidas (1 de 4) Saiba (1) Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando: Confiança Auditoria Integridade Legalidade Não-repúdio 2a Questão (Ref.: 201605645993) Fórum de Dúvidas (1 de 4) Saiba (1) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Gabarito Comentado 3a Questão (Ref.: 201605653574) Fórum de Dúvidas (1 de 4) Saiba (1) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Suporte técnico. Auditoria. Conscientização dos usuários. Procedimentos elaborados. Segregação de funções. Gabarito Comentado 4a Questão (Ref.: 201605136278) Fórum de Dúvidas (1 de 4) Saiba (1) Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Lógica. Lógica, Administrativa e Contábil. Administrativa, Física e Programada. Administrativa, Contábil e Física. Lógica, Física e Programada. Gabarito Comentado 5a Questão (Ref.: 201605136268) Fórum de Dúvidas (4) Saiba (1) A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Preventiva Reação Correção Desencorajamento Limitação 6a Questão (Ref.: 201605806655) Fórum de Dúvidas (1 de 4) Saiba (1) O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. Gabarito Comentado 7a Questão (Ref.: 201605700296) Fórum de Dúvidas (1 de 4) Saiba (1) Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar,operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e II. I e III. II e III. II. III e IV. Gabarito Comentado 8a Questão (Ref.: 201605223547) Fórum de Dúvidas (1 de 4) Saiba (1) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corrigidas e Preventivas Prevenção e Preventivas Corretivas e Correção Corretivas e Preventivas Corretivas e Corrigidas Parte inferior do formulário File failed to load: http://simulado.estacio.br/ckeditor/MathJax/a11y/accessibility-menu.js Parte superior do formulário CCT0185_EX_A9__V1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 9a aula Lupa Vídeo PPT MP3 Exercício: CCT0185_EX_A9__V1 Matrícula: Aluno(a): Data: 26/08/2017 12:50:45 (Finalizada) 1a Questão (Ref.: 201605311823) Fórum de Dúvidas (2 de 2) Saiba (0) BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Simples e Objetiva. Estatística e Ordenada Qualitativa e Quantitativa Clara e Intelegível Natural e Desordenada 2a Questão (Ref.: 201605653580) Fórum de Dúvidas (2) Saiba (0) Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? Um evento súbito, que ocorre de maneira inesperada. Eventos de ordem natural ou acidental, como terremotos e incêndios. Uma catástrofe de grandes impactos. Um ataque massivo pela internet. Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. Gabarito Comentado 3a Questão (Ref.: 201605216543) Fórum de Dúvidas (2) Saiba (0) Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização? Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas. Gabarito Comentado 4a Questão (Ref.: 201605139031) Fórum de Dúvidas (2) Saiba (0) Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Autenticidade; Integridade; Confidencialidade; Auditoria; Não-Repúdio; Gabarito Comentado 5a Questão (Ref.: 201605646007) Fórum de Dúvidas (2 de 2) Saiba (0) O Plano de Continuidade do Negócio...... deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. define uma ação de continuidade imediata e temporária. 6a Questão (Ref.: 201605216550) Fórum de Dúvidas (2) Saiba (0) Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. 7a Questão (Ref.: 201605342641) Fórum de Dúvidas (2 de 2) Saiba (0) O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes,
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar