Avaliação de Gestão de Segurança da Informação

Prévia do material em texto

Avaliação: CCT0185_AV_201402213395 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV
Aluno: 201402213395 - MARCIO RODRIGO FERNANDES DA CRUZ 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9002/AB
Nota da Prova: 4,5 Nota de Partic.: 1,5 Data: 13/11/2014 20:07:46
1a Questão (Ref.: 201402472788) Pontos: 0,0 / 1,5
No cenário da figura abaixo estão dois generais. 
Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais terrível 
inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais. Ponha-se 
no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a montagem da 
estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens escritas; 2 : Você não sabe onde está 
o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não confia plenamente nos seus mensageiros. 
Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula 5. 
Resposta: general 1 manda uma mensagem para o general 2 descerem pelos lados do vale para cercar o inimigo.
Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar, 
através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua localização. 
Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos concentração de 
soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o ataque 
sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase são exploradas as 
vulnerabilidades encontradas no exercito inimigo. Manutenção do acesso Aqui os generais tentarão manter seu 
próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará dominado, frágil e 
comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de camuflar seus 
atos não autorizados, com o objetivo de prolongar sua permanência nas instalações do inimigo, sem deixar que 
desconfie quais foram as suas táticas usadas para obter o sucesso. 
2a Questão (Ref.: 201402296812) Pontos: 0,5 / 0,5
Página 1 de 4BDQ Prova
26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com)
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de 
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as 
operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser 
considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas?
Apoio ao uso da Internet e do ambiente wireless
Apoio às Operações
Apoio às Estratégias para vantagem competitiva
Apoio à tomada de decisão empresarial
Apoio aos Processos
3a Questão (Ref.: 201402367715) Pontos: 0,5 / 0,5
Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes 
foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza 
virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias 
instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um 
Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos 
dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque?
Vulnerabilidade Natural
Vulnerabilidade Comunicação
Vulnerabilidade Física
Vulnerabilidade Software
Vulnerabilidade Mídias
4a Questão (Ref.: 201402800712) Pontos: 0,0 / 0,5
O que são exploits? 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, 
utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo 
será inundado (flood) pelas respostas do servidor. 
São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito 
lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando 
uma a uma até achar a senha armazenada no sistema 
Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite 
então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do 
usuário. 
É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste 
programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa 
para se propagar. 
São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. 
Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da 
vulnerabilidade. 
5a Questão (Ref.: 201402296863) Pontos: 0,5 / 0,5
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar 
danos à organização, podemos afirmar que ela possui qual nível de segurança?
Confidencial.
Irrestrito.
As opções (a) e (c) estão corretas.
Secreta.
Página 2 de 4BDQ Prova
26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com)
Interna.
6a Questão (Ref.: 201402293689) Pontos: 0,5 / 0,5
Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são 
realizados para um ataque de segurança ?
O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento
O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência.
O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação".
O atacante tenta manter seu próprio domínio sobre o sistema
O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema.
7a Questão (Ref.: 201402293696) Pontos: 0,5 / 0,5
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de 
Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de 
dispositivo biométrico. Neste caso que tipo de barreira você está implementando?
Discriminar
Detectar
Deter
Desencorajar
Dificultar
8a Questão (Ref.: 201402385976) Pontos: 1,0 / 1,5
Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas estratégias 
de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas podem estar 
presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com suas palavras o 
que é uma VPN (Virtual Private Networks):
Resposta: uma rede segura, geralmente usada para acesso remoto.
Gabarito: - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são 
criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem acessos 
remotos com segurança 
9a Questão (Ref.: 201402803791) Pontos: 0,0 / 1,0
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação 
deve: 
ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a 
organização.
apresentar uma declaração de aplicabilidade dos controles de segurançada informação, além de definir 
como será o processo de gestão de riscos. 
revelar informações sensíveis da organização. 
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, 
inclusive pela direção. 
conter o registro dos incidentes de segurança da organização. 
Página 3 de 4BDQ Prova
26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com)
10a Questão (Ref.: 201402500465) Pontos: 1,0 / 1,0
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser 
implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do 
programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? 
Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, 
continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e 
após um incidente , para manter ou restaurar as operações. 
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização 
dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los.
Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a 
organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de 
tempo aceitável durante e logo após uma interrupção.
A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN 
deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de 
melhorias possíveis.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a 
interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, 
através da sua inclusão na cultura da empresa.
Período de não visualização da prova: desde 06/11/2014 até 25/11/2014.
Página 4 de 4BDQ Prova
26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com)