GESTAO_SEG_INFORMACAO_-_AV2

Prévia do material em texto

2/7/2014 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 1/4
 
Avaliação: CCT0059_AV2_201201497752 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno: 201201497752 - EVERTHON ROODRIGUES DOS SANTOS
Professor:
SHEILA DE GOES MONTEIRO
RENATO DOS PASSOS GUIMARAES
Turma: 9013/M
Nota da Prova: 4,5 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 18/06/2014 17:07:35
 1a Questão (Ref.: 201201609457) Pontos: 0,0 / 0,5
O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de
tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao
conceito de "Informação"?
 É dado trabalhado, que permite ao executivo tomar decisões;
Pode habilitar a empresa a alcançar seus objetivos estratégicos;
É a matéria-prima para o processo administrativo da tomada de decisão;
 Por si só não conduz a uma compreensão de determinado fato ou situação;
Possui valor e deve ser protegida;
 2a Questão (Ref.: 201201609689) Pontos: 0,5 / 0,5
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros
ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções
abaixo apresenta os quatro aspectos importantes para a classificação das informações?
Confiabilidade, integridade, risco e valor.
Confidencialidade, integridade, disponibilidade e vulnerabilidade .
 Confidencialidade, integridade, disponibilidade e valor.
Confiabilidade, integridade, vulnerabilidade e valor.
Confidencialidade, vulnerabilidade, disponibilidade e valor.
 3a Questão (Ref.: 201201792696) Pontos: 0,0 / 0,5
Observe a figura acima e complete corretamente a legenda dos desenhos:
 
2/7/2014 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 2/4
 
Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios
Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos
Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios
 Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios
 4a Questão (Ref.: 201201781339) Pontos: 0,5 / 0,5
Qual a forma de fraude eletrônica, caracterizada por tentativas de roubo de identidade e que ocorre de várias
maneiras, principalmente por e-mail, mensagem instantânea, SMS, dentre outros, e, geralmente, começa com
uma mensagem de e-mail semelhante a um aviso oficial de uma fonte confiável, como um banco, uma empresa
de cartão de crédito ou um site de comércio eletrônico.
 Phishing.
Trojans.
Hijackers.
Wabbit.
Exploits.
 5a Questão (Ref.: 201201781415) Pontos: 0,0 / 0,5
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o
tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento
do risco, exceto:
Aplicar controles apropriados para reduzir os riscos.
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
 Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
 Identificar os riscos de segurança presentes.
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da
organização e aos critérios para a aceitação do risco.
 6a Questão (Ref.: 201201792713) Pontos: 1,0 / 1,5
Em um sistema de Gestão de Segurança da Informação (SGSI) baseado na norma ISO/IEC 27001, existe uma
ação denominada ¿análise crítica do SGSI pela direção¿. Explique em que consiste esta ação:
Resposta: A ação consiste em realizar uma avaliação para verificar se os objetivos de controle, processos e
incidentes estáo dentro dos conformes. Obtendo a partir daí, um conteudo que será utilizado na tomada de
decisão por parte da direção.
Gabarito: A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua
contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças.
 7a Questão (Ref.: 201201606482) Pontos: 0,5 / 0,5
Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são
2/7/2014 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 3/4
Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são
realizados para um ataque de segurança ?
O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
O atacante tenta manter seu próprio domínio sobre o sistema
O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
 O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
 8a Questão (Ref.: 201201785581) Pontos: 1,0 / 1,5
No cenário da figura abaixo estão dois generais.
Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais
terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais.
Ponha-se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a
montagem da estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens escritas; 2 : Você
não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não confia plenamente nos
seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula
5.
Resposta: Primeiro irei enviar mensageiros aos culmes, para verificar onde encontra-se o inimigo(buscar
vunerabilidades) ou onde possivelmente pode está.(port scan). Depois entrarei em contato com o outro general,
para saber se ele tem a localização do inimigo. E para ele enviar mensageiros para vasculhar as
vunerabilidades ou localização e caracteristicas do inimigo Posteriormente após localizarmos o inimigo, advindo
do retorno dos mensageiros. Iniciaria uma ofenciva junto ao outro general, atacando com todos os recursos
cada ponto fragil do penhasco. Caso necessário cada cume seria atacado com toda a força, levando em conta
as informações coletadas pelos mensageiros.
Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar,
através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua localização.
Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos concentração de
soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o ataque
sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase são exploradas as
vulnerabilidades encontradas no exercito inimigo. Manutenção do acesso Aqui os generais tentarão manter seu
próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará dominado, frágil e
comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de camuflar
seus atos não autorizados, com o objetivo de prolongar sua permanência nas instalações do inimigo, sem
deixar que desconfie quais foram as suas táticas usadas para obter o sucesso.
 9a Questão (Ref.: 201201606848) Pontos: 1,0 / 1,0
Porque as organizaçõesdevem realizar auditorias internas do SGSI em intervalos regulares?
2/7/2014 Estácio
http://bquestoes.estacio.br/entrada.asp?p0=11425050&p1=201201497752&p2=1417095&p3=CCT0059&p4=101694&p5=AV2&p6=18/06/2014&p10=9891244 4/4
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR
ISO/IEC 27001.
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma
NBR ISO/IEC 27001.
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos
da norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma
NBR ISO/IEC 27001.
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da
norma NBR ISO/IEC 27001.
 10a Questão (Ref.: 201201782436) Pontos: 0,0 / 1,0
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no
Negócio que tem por finalidade apresentar todos os prováveis impactos de forma
............................e........................... dos principais processos de negócios mapeados e entendidos na
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois,
norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
Natural e Desordenada
Estatística e Ordenada
 Clara e Intelegível
 Qualitativa e Quantitativa
Simples e Objetiva.
Período de não visualização da prova: desde 09/06/2014 até 25/06/2014.