AV_GESTAO_SI_FR

Prévia do material em texto

Avaliação: CCT0185_AV_201301723071 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV
Aluno: 201301723071 ­ FELIPE ROZELIO DO NASCIMENTO
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9003/AA
Nota da Prova: 5,5        Nota de Partic.: 1,5        Data: 22/11/2014 15:16:32
  1a Questão (Ref.: 201302029174) Pontos: 0,5  / 0,5
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá­la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
  Disponibilidade
Confidencialidade
Privacidade
Integridade
Auditoria
  2a Questão (Ref.: 201301928362) Pontos: 0,5  / 0,5
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o
endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque?
  Vulnerabilidade de Software
Vulnerabilidade de Comunicação
Vulnerabilidade Física
Vulnerabilidade Mídia
Vulnerabilidade Natural
  3a Questão (Ref.: 201301857506) Pontos: 0,0  / 0,5
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para
as organizações quando tratamos de Segurança da Informação?
Valor de propriedade.
Valor de uso.
  Valor de restrição.
  Valor de orçamento.
Valor de troca.
  4a Questão (Ref.: 201301854261) Pontos: 0,5  / 0,5
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando,
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador
pode ser descrito como sendo um:
exploit
keylogger
  vírus
spyware
backdoor
  5a Questão (Ref.: 201301854332) Pontos: 0,5  / 0,5
Existem diferentes caminhos que um atacante pode seguir para obter acesso aos sistemas. Qual das opções
abaixo Não representa um destes tipos de ataques?
Ataque para Obtenção de Informações
Ataque aos Sistemas Operacionais
Ataque de Configuração mal feita
  Ataques Genéricos
Ataque à Aplicação
  6a Questão (Ref.: 201302029266) Pontos: 0,0  / 0,5
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da
Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o
tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento
do risco, exceto:
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da
organização e aos critérios para a aceitação do risco.
  Identificar os riscos de segurança presentes.
Aplicar controles apropriados para reduzir os riscos.
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
  Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
  7a Questão (Ref.: 201301935004) Pontos: 1,5  / 1,5
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque
de Buffer Overflow?
Resposta: SQL Injection é um ataque em sistemas que interagem com banco de dados. Buffer Overflow é
enviar um dado inconsistente para um software que está esperando um tipo de dado qualquer.
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o
padrão de entrada de dados.
  8a Questão (Ref.: 201301836336) Pontos: 1,0  / 1,5
"Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma
abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à
Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador".
No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e
vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas.
Resposta: Ameaça é algo que pode afetar de forma grave a continuidade do negócio. Vulnerabilidade é alguma
falha em um sistema, passível de ser explorada.
Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não
necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou
momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no
contexto do que se diz respeito a sistemas de informações.
  9a Questão (Ref.: 201301854690) Pontos: 0,0  / 1,0
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são
definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à
sua gestão de acordo com a visão estratégica da alta direção?
Relatório Estratégico.
  Normas.
Procedimentos.
Manuais.
  Diretrizes.
  10a Questão (Ref.: 201302372044) Pontos: 1,0  / 1,0
Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?
Eventos de ordem natural ou acidental, como terremotos e incêndios.
Um evento súbito, que ocorre de maneira inesperada.
Uma catástrofe de grandes impactos.
Um ataque massivo pela internet.
  Um evento que causa uma parada nos processos da organização por um período de tempo maior do que
ela considera aceitável.
Período de não visualização da prova: desde 06/11/2014 até 25/11/2014.