2014.01 EAD AVS Gestão de Segurança da Informação

Prévia do material em texto

Nota da Prova: Nota de Partic.: Data: 
 
 
 1a Questão (Ref.: 201302035453) Pontos: 0,5 / 0,5 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e 
de segurança¿, podemos dizer que: 
 
 
A afirmação é somente falsa para as empresas privadas. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 A afirmação é verdadeira. 
 
A afirmação é falsa. 
 
A afirmação é somente verdadeira para as empresas privadas. 
 
 
 
 2a Questão (Ref.: 201302124736) Pontos: 0,0 / 1,5 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o 
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua 
gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do 
SGSI, explique a etapa "Check" do PDCA: 
 
 
Resposta: 
 
 
Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos 
de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e 
violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de 
análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, 
dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise 
crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em 
função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser 
atualizados. 
 
 
 
 3a Questão (Ref.: 201302032377) Pontos: 0,5 / 0,5 
Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja 
através de algum outro programa instalado em um computador pode ser descrito como sendo um: 
 
 
Active-x 
 
Java Script 
 Adware 
 
Spyware 
 
Worm 
 
 
 
 4a Questão (Ref.: 201302032864) Pontos: 0,5 / 0,5 
Você é um consultor de segurança e trabalha em projetos de segurança da informação, que tem como uma das 
suas etapas a atividade de classificação dos ativos da organização. Qual das opções abaixo não representa um 
exemplo de Ativo Intangível: 
 
 Sistema de Informação. 
 
Marca de um Produto. 
 
Imagem da Empresa no Mercado. 
 
Qualidade do Serviço. 
 
Confiabilidade de um Banco. 
 
 
 
 5a Questão (Ref.: 201302207311) Pontos: 0,5 / 0,5 
Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo 
com a ABNT NBR ISO/IEC 27005. 
 
 
As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos 
 
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de 
incidentes de segurança. 
 
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente 
estabelecido. 
 O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. 
 
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem 
humana. 
 
 
 
 6a Questão (Ref.: 201302113128) Pontos: 0,0 / 1,5 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
 
 
Resposta: SQL Injection é uma modalidade de ataque que tem como alvo, maquinas servidoras de web de 
indisponibilizando paginas hospedadas nesses servidores e causando sobrecarga. Buffer Overflow é uma 
modalidade voltada para usuários finais, principalmente usuários inexperientes com pouco treinamento se 
expodo ao ponto de ser vítima até de engenharia social. 
 
 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que 
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o 
padrão de entrada de dados. 
 
 
 
 7a Questão (Ref.: 201302032451) Pontos: 0,0 / 0,5 
Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas 
servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao 
invés da invasão? 
 
 
Source Routing 
 
Shrink wrap code 
 DDos 
 SQL Injection 
 
Phishing Scan 
 
 
 
 8a Questão (Ref.: 201302032469) Pontos: 0,5 / 0,5 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de um ativo explorar uma ameaça. 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
 
 
 9a Questão (Ref.: 201302032854) Pontos: 1,0 / 1,0 
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um 
Problema de Segurança: 
 
 
Uma tempestade. 
 
Uma inundação. 
 
A perda de qualquer aspecto de segurança importante para a organização. 
 Restrição Financeira. 
 
Uma Operação Incorreta ou Erro do usuário. 
 
 
 
 10a Questão (Ref.: 201302113145) Pontos: 1,0 / 1,0 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? 
 
 
Manutenção, implementação do programa e maturação 
 
Planejamento, estudo e implementação do programa 
 
Planejamento, maturação e desenvolvimento 
 
Manutenção, desenvolvimento e implementação do programa 
 Planejamento, desenvolvimento e implementação do programa