AV1 - Gestão de Segurança da Informação - Realizada

•

ESTÁCIO EAD

24

1

24

1

0

Francisco José da Silva

26/11/2014

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Você viu 3, do total de 3 páginas

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Gestão de Segurança da Informação

13.561 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

Avaliação: CCT0185_AV_201202162606 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV
Aluno: 201202162606 - FRANCISCO JOSÉ DA SILVA
Professor:
RENATO DOS PASSOS GUIMARAES
Turma: 9001/AA
Nota da Prova: 6,0 Nota de Partic.: 2 Data: 19/11/2014 08:58:53
1a Questão (Ref.: 201202318488)
Pontos: 1,5 / 1,5
No âmbito da segurança da Informação, uma das etapas de implementação é a classificação da Informação. Em que consiste o processo de classificação da Informação?

Resposta: A etapa de classificação da informação, consiste em classificar a informação quanto a seus níveis de proteção, sua disponibilidade e níveis de restrição de acesso.

Gabarito: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas.

2a Questão (Ref.: 201202240831)
Pontos: 0,5 / 0,5
Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de?

Risco.
Vulnerabilidade.

Valor.

Ameaça.

Impacto.

3a Questão (Ref.: 201202444370)
Pontos: 0,0 / 0,5
Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física:

Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).

Acessos não autorizados ou perda de comunicação e a ausência de sistemas de criptografia nas comunicações.

Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas.

Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).

4a Questão (Ref.: 201202747889)
Pontos: 0,5 / 0,5
Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes.
É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams:
I. Apresentam cabeçalho suspeito.
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita.
III. Apresentam no campo Assunto textos alarmantes ou vagos.
IV. Oferecem opção de remoção da lista de divulgação.
V. Prometem que serão enviados "uma única vez.
VI. Baseiam-se em leis e regulamentações inexistentes.
Estão corretas:

I, III e V

Nenhuma afirmativa está correta

I, II, III, V e VI

II, IV e VI
Todas as afirmativas estão corretas

5a Questão (Ref.: 201202238233)
Pontos: 0,5 / 0,5
O valor da informação para as empresas é considerado, na atualidade, como algo imensurável. Nos últimos anos, a demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Neste contexto qual das opções abaixo poderá definir melhor o conceito de ¿Dado¿?

Elemento identificado em sua forma bruta e que por si só conduz a varias compreensões de fatos ou situações.

Elemento não identificado e que por si só não conduz a uma compreensão de determinado fato ou situação.

Elemento identificado em sua forma trabalhada que por si só não conduz a uma compreensão de determinado fato ou situação
Elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação.

Elemento identificado em sua forma trabalhada e que por si só conduz a várias compreensões de fatos e situações.

6a Questão (Ref.: 201202407459)
Pontos: 0,5 / 0,5
Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita:

Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.

Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans.

Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais.

Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema.
É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.

7a Questão (Ref.: 201202237833)
Pontos: 0,5 / 0,5
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:

Probabilidade de um ativo explorar uma vulnerabilidade.

Probabilidade de uma ameaça explorar um incidente.
Probabilidade de uma ameaça explorar uma vulnerabilidade

Probabilidade de um incidente ocorrer mais vezes.

Probabilidade de um ativo explorar uma ameaça.

8a Questão (Ref.: 201202330100)
Pontos: 1,0 / 1,5
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Check" do PDCA:

Resposta: A etapa "Check" consiste em fazer uma verificação em todos os pontos de SGSI onde possam existir riscos a ameças e tentar implementar métodos para se defender das mesmas.

Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.

9a Questão (Ref.: 201202238213)
Pontos: 1,0 / 1,0
Quando devem ser executadas as ações corretivas?

Devem ser executadas paragarantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição

Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição

Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição

Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição
Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição

10a Questão (Ref.: 201202747957)
Pontos: 0,0 / 1,0
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:

Incluindo a GCN na cultura da organização.

Entendendo a organização.

Testando, mantendo e analisando criticamente os preparativos de GCN.
Determinando a estratégia de continuidade de negócios.
Desenvolvendo e implementando uma resposta de GCN.