Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AV_201402213395 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV Aluno: 201402213395 - MARCIO RODRIGO FERNANDES DA CRUZ Professor: RENATO DOS PASSOS GUIMARAES Turma: 9002/AB Nota da Prova: 4,5 Nota de Partic.: 1,5 Data: 13/11/2014 20:07:46 1a Questão (Ref.: 201402472788) Pontos: 0,0 / 1,5 No cenário da figura abaixo estão dois generais. Um em cada cume do complexo montanhoso ao fundo. Bem abaixo, no vale sombrio, se esconde o mais terrível inimigo o qual só pode ser derrotado se for atacado simultaneamente pelos exércitos dos dois generais. Ponha-se no lugar dos generais e diga como você faria para combinar um ataque ao inimigo. Dados para a montagem da estratégia: 1 : Você dispõe apenas de mensageiros que carregam mensagens escritas; 2 : Você não sabe onde está o inimigo, sabe apenas que ele se concentra no vale; 3 : Você não confia plenamente nos seus mensageiros. Estabeleça a forma de ataque, considerando as técnicas de ataque mencionadas na sua aula 5. Resposta: general 1 manda uma mensagem para o general 2 descerem pelos lados do vale para cercar o inimigo. Gabarito: Levantamento das informações ¿ Importantíssimo, pois se trata da fase em que é preciso localizar, através do rastreamento com vários mensageiros, exatamente onde está o inimigo, ou seja, a sua localização. Obtenção do acesso ¿ Procurar por falhas do inimigo, ou seja, locais onde estejam com menos concentração de soldados. ¿ Esta fase consiste no avanço e na penetração do terreno propriamente dita, ou seja, o ataque sincronizado com o outro general, através da troca de mensagens criptografadas. Nesta fase são exploradas as vulnerabilidades encontradas no exercito inimigo. Manutenção do acesso Aqui os generais tentarão manter seu próprio domínio sobre o inimigo já dominado. Nesta fase o exército do inimigo já estará dominado, frágil e comprometido. Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de camuflar seus atos não autorizados, com o objetivo de prolongar sua permanência nas instalações do inimigo, sem deixar que desconfie quais foram as suas táticas usadas para obter o sucesso. 2a Questão (Ref.: 201402296812) Pontos: 0,5 / 0,5 Página 1 de 4BDQ Prova 26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com) O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio ao uso da Internet e do ambiente wireless Apoio às Operações Apoio às Estratégias para vantagem competitiva Apoio à tomada de decisão empresarial Apoio aos Processos 3a Questão (Ref.: 201402367715) Pontos: 0,5 / 0,5 Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para varias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Natural Vulnerabilidade Comunicação Vulnerabilidade Física Vulnerabilidade Software Vulnerabilidade Mídias 4a Questão (Ref.: 201402800712) Pontos: 0,0 / 0,5 O que são exploits? Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema Consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário. É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar. São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade. 5a Questão (Ref.: 201402296863) Pontos: 0,5 / 0,5 Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada informação tem. Quando uma informação é classificada como pública, podendo ser utilizada por todos sem causar danos à organização, podemos afirmar que ela possui qual nível de segurança? Confidencial. Irrestrito. As opções (a) e (c) estão corretas. Secreta. Página 2 de 4BDQ Prova 26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com) Interna. 6a Questão (Ref.: 201402293689) Pontos: 0,5 / 0,5 Qual opção abaixo representa a descrição do Passo ¿Levantamento das Informações¿ dentre aqueles que são realizados para um ataque de segurança ? O atacante explora a rede baseado nas informações obtidas na fase de reconhecimento O atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência. O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". O atacante tenta manter seu próprio domínio sobre o sistema O Atacante penetra do sistema para explorar vulnerabilidades encontradas no sistema. 7a Questão (Ref.: 201402293696) Pontos: 0,5 / 0,5 Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? Discriminar Detectar Deter Desencorajar Dificultar 8a Questão (Ref.: 201402385976) Pontos: 1,0 / 1,5 Uma vez definido nosso foco de atuação, os profissionais de seguranças têm à sua disposição diversas estratégias de proteção, sendo algumas mais úteis em determinadas situações que outras, mas, no geral, elas podem estar presentes no ambiente como um todo, se sobrepondo e se complementando. Dito isso defina com suas palavras o que é uma VPN (Virtual Private Networks): Resposta: uma rede segura, geralmente usada para acesso remoto. Gabarito: - Interligam várias Intranets através da Internet - Usam o conceito de tunelamento: Dados são criptografados e autenticados Usa conexões TCP comuns Túneis podem ser pré-estabelecidos - Permitem acessos remotos com segurança 9a Questão (Ref.: 201402803791) Pontos: 0,0 / 1,0 De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. apresentar uma declaração de aplicabilidade dos controles de segurançada informação, além de definir como será o processo de gestão de riscos. revelar informações sensíveis da organização. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. conter o registro dos incidentes de segurança da organização. Página 3 de 4BDQ Prova 26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com) 10a Questão (Ref.: 201402500465) Pontos: 1,0 / 1,0 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Período de não visualização da prova: desde 06/11/2014 até 25/11/2014. Página 4 de 4BDQ Prova 26/11/2014http://bquestoes.estacio.br/bdq_prova_resultado_preview_aluno.aspYou created this PDF from an application that is not licensed to print to novaPDF printer (http://www.novapdf.com)
Compartilhar