Gestão de Segurança da Informação

Prévia do material em texto

Avaliação: CCT0185_AV_201301014354 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV 
Aluno: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
Professor: RENATO DOS PASSOS GUIMARAES Turma: xxxxxxxxxxxx 
Nota da Prova: 3,0 Nota de Partic.: 2 Data: 00/00/2014 
 
 
 1a Questão (Ref.: 201301173947) Pontos: 1,0 / 1,5 
O profissional da área de Tecnologia da Informação atua diretamente no planejamento, implementação e 
implantação de soluções de TI nas organizações. Desta forma, é imprescindível que entenda o porquê das 
necessidades de segurança nas organizações, a importância da informação, compreender o conceito de que é 
segurança da informação as melhores práticas do mercado. Defina com suas palavras o que é Segurança das 
Informações: 
 
 
 
Resposta: São todos os métodos realizados, para proteger qualquer tipo de informação útil e vital para o 
negócio de qualquer empresa, controlando acessos, assegurando que o transporte delas cheguem em segurança 
aos seus devidos destinatários, de forma íntegra e sigilosa. 
 
 
Gabarito: Trata-se da proteção, dispensada aos dados e informações, contra ações não autorizadas relativas à 
divulgação, transferência, modificação ou destruição destes, sejam estas ações intencionais ou acidentais. 
 
 
 
 2a Questão (Ref.: 201301075155) Pontos: 0,5 / 0,5 
Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a 
tecnologia da informação apóia as operações e processos das empresas, qual das opções abaixo poderá ser 
escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? 
 
 
 
O crescimento explosivo da venda de computadores e sistemas livres; 
 
O Aumento no consumo de softwares licenciados; 
 
O uso da internet para sites de relacionamento; 
 
O crescimento explosivo dos cursos relacionados com a tecnologia da informação; 
 O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 
 
 
 
 3a Questão (Ref.: 201301155417) Pontos: 0,0 / 1,5 
Um Analista de segurança deverá ter familiaridade com as ferramentas, técnicas, estratégias e metodologias de 
ataques conhecidos para que possa desta forma contribuir com a definição correta de quais contramedidas 
deverão ser adotadas pela organização. Descreva os cinco passos utilizados pelos atacantes para realizar um 
ataque: 
 
 
 
Resposta: Fishing, Malware, Ddos, SqlInjection, Keyloger. 
 
 
Gabarito: 1 -Levantamento das informações: fase de reconhecimento é uma fase preparatória onde o atacante 
procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do 
ataque. Podem ser: ativo e passivo. 2 -Exploração das informações (scanning): Fase onde o atacante explora a 
rede baseado nas informações obtidas na fase de reconhecimento. Pode ser considerado uma fase de pré-
ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, 
scanner de vulnerabilidade e network mapping. 3 -Obtenção do acesso: Esta fase consiste na penetração do 
sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode 
ocorrer através da internet, da rede local, fraude ou roubo. Nesta fase o atacante poderá obter acesso a nível 
de: sistema operacional, aplicação e rede. 4 - Manutenção do acesso: Nesta fase o atacante tenta manter seu 
próprio domínio sobre o sistema. Poderá também protêge-lo de outros atacantes através da utilização de 
¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. 5 ¿Camuflagem das evidências: Consiste 
na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar 
sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais 
 
 
 
 4a Questão (Ref.: 201301244238) Pontos: 0,0 / 0,5 
Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma 
como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A 
informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem 
competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de 
uma informação: 
 
 
 Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas 
algumas pessoas. 
 
Utiliza-se das propriedades inseridas nos dados. 
 Baseia-se na utilização final que se fará com a informação. 
 
É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). 
 
Reflete o custo substitutivo de um bem. 
 
 
 
 5a Questão (Ref.: 201301281287) Pontos: 0,5 / 0,5 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas 
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao 
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos 
definir o que são vulnerabilidades: 
 
 
 Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou 
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a 
computadores ou informações. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, 
criadores e disseminadores de vírus de computadores, incendiários. 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através 
da utilização de SQL. 
 
 
 
 6a Questão (Ref.: 201301074682) Pontos: 0,0 / 0,5 
Qual das ameaças abaixo não é uma função diretiva primária realizada por um Spyware? 
 
 
 
Monitoramento de URLs acessadas enquanto o usuário navega na Internet 
 Alteração da página inicial apresentada no browser do usuário; 
 
Captura de outras senhas usadas em sites de comércio eletrônico; 
 Alteração ou destruição de arquivos; 
 
Captura de senhas bancárias e números de cartões de crédito; 
 
 
 
 7a Questão (Ref.: 201301074728) Pontos: 0,5 / 0,5 
Após conseguir realizar o levantamento das informações da empresa XPTO e acessar o servidor de banco de 
dados com as informações dos clientes da organização. Pedro, o invasor, tenta esconder seus atos não 
autorizados com o objetivo de prolongar sua permanência de acesso. Entre outras coisas Pedro alterou os 
arquivos de Log. Neste caso, Pedro está em que passo da metodologia de um ataque? 
 
 
 
Obtenção de Acesso 
 
Levantamento das Informações 
 
Exploração das Informações 
 Camuflagem das Evidências 
 
Divulgação do Ataque 
 
 
 
 8a Questão (Ref.: 201301074750) Pontos: 0,5 / 0,5 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-
estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
 
 
 
Detectar 
 Desencorajar 
 
Discriminar 
 
Dificultar 
 
Deter 
 
 
 
 9aQuestão (Ref.: 201301260970) Pontos: 0,0 / 1,0 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
 
 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 Requisitos de negócio, Análise de risco, Requisitos legais 
 Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 
Classificação da informação, requisitos de negócio e análise de risco 
 
 
 
 10a Questão (Ref.: 201301584882) Pontos: 0,0 / 1,0 
O Plano de Continuidade do Negócio...... 
 
 
 prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. 
 precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de 
alguém como os processos organizacionais. 
 
deve ser elaborado com base em premissas departamentais particulares do que é considerado 
importante ou não. 
 
define uma ação de continuidade imediata e temporária. 
 
não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos 
aos ativos de informação.