Baixe o app para aproveitar ainda mais
Prévia do material em texto
2/7/2014 Estácio http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 1/4 Avaliação: CCT0059_AV2_201201497752 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201201497752 - EVERTHON ROODRIGUES DOS SANTOS Professor: SHEILA DE GOES MONTEIRO RENATO DOS PASSOS GUIMARAES Turma: 9013/M Nota da Prova: 4,5 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 18/06/2014 17:07:35 1a Questão (Ref.: 201201609457) Pontos: 0,0 / 0,5 O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de "Informação"? É dado trabalhado, que permite ao executivo tomar decisões; Pode habilitar a empresa a alcançar seus objetivos estratégicos; É a matéria-prima para o processo administrativo da tomada de decisão; Por si só não conduz a uma compreensão de determinado fato ou situação; Possui valor e deve ser protegida; 2a Questão (Ref.: 201201609689) Pontos: 0,5 / 0,5 A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Confiabilidade, integridade, risco e valor. Confidencialidade, integridade, disponibilidade e vulnerabilidade . Confidencialidade, integridade, disponibilidade e valor. Confiabilidade, integridade, vulnerabilidade e valor. Confidencialidade, vulnerabilidade, disponibilidade e valor. 3a Questão (Ref.: 201201792696) Pontos: 0,0 / 0,5 Observe a figura acima e complete corretamente a legenda dos desenhos: 2/7/2014 Estácio http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 2/4 Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 4a Questão (Ref.: 201201781339) Pontos: 0,5 / 0,5 Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa de cartão de crédito ou um site de comércio eletrônico. Phishing. Trojans. Hijackers. Wabbit. Exploits. 5a Questão (Ref.: 201201781415) Pontos: 0,0 / 0,5 Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Aplicar controles apropriados para reduzir os riscos. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Identificar os riscos de segurança presentes. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. 6a Questão (Ref.: 201201792713) Pontos: 1,0 / 1,5 Em um sistema de Gestão de Segurança da Informação (SGSI) baseado na norma ISO/IEC 27001, existe uma ação denominada ¿análise crítica do SGSI pela direção¿. Explique em que consiste esta ação: Resposta: A ação consiste em realizar uma avaliação para verificar se os objetivos de controle, processos e incidentes estáo dentro dos conformes. Obtendo a partir daí, um conteudo que será utilizado na tomada de decisão por parte da direção. Gabarito: A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. 7a Questão (Ref.: 201201606482) Pontos: 0,5 / 0,5 Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são 2/7/2014 Estácio http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 3/4 Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ? O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. O atacante tenta manter seu próprio domínio sobre o sistema O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. 8a Questão (Ref.: 201201785581) Pontos: 1,0 / 1,5 No cenário da figura abaixo estão dois generais. Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais. Ponha-se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a montagem da estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens escritas; 2 : Você não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não confia plenamente nos seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula 5. Resposta: Primeiro irei enviar mensageiros aos culmes, para verificar onde encontra-se o inimigo(buscar vunerabilidades) ou onde possivelmente pode está.(port scan). Depois entrarei em contato com o outro general, para saber se ele tem a localização do inimigo. E para ele enviar mensageiros para vasculhar as vunerabilidades ou localização e caracteristicas do inimigo Posteriormente após localizarmos o inimigo, advindo do retorno dos mensageiros. Iniciaria uma ofenciva junto ao outro general, atacando com todos os recursos cada ponto fragil do penhasco. Caso necessário cada cume seria atacado com toda a força, levando em conta as informações coletadas pelos mensageiros. Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar, através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua localização. Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos concentração de soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o ataque sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase são exploradas as vulnerabilidades encontradas no exercito inimigo. Manutenção do acesso Aqui os generais tentarão manter seu próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará dominado, frágil e comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência nas instalações do inimigo, sem deixar que desconfie quais foram as suas táticas usadas para obter o sucesso. 9a Questão (Ref.: 201201606848) Pontos: 1,0 / 1,0 Porque as organizaçõesdevem realizar auditorias internas do SGSI em intervalos regulares? 2/7/2014 Estácio http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 4/4 Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 10a Questão (Ref.: 201201782436) Pontos: 0,0 / 1,0 BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Natural e Desordenada Estatística e Ordenada Clara e Intelegível Qualitativa e Quantitativa Simples e Objetiva. Período de não visualização da prova: desde 09/06/2014 até 25/06/2014.
Compartilhar