AV2 GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Fechar 
 
Avaliação: CCT0059_AV2_201403266131 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 201403266131 - EDUARDO SOUZA BARBOSA DA SILVA 
Professor: SHEILA DE GOES MONTEIRO Turma: 9020/T 
Nota da Prova: 4,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 25/11/2014 20:22:06 
 
 
 1a Questão (Ref.: 201403871536) Pontos: 0,0 / 0,5 
Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos 
de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos 
compõem a tríade da segurança da informação? 
 
 
 
Privacidade, Governabilidade e Confidencialidade 
 
Autenticidade, Legalidade e Privacidade 
 Confiabilidade, Integridade e Disponibilidade 
 
Integridade, Legalidade e Confiabilidade 
 Disponibilidade, Privacidade e Segurabilidade 
 
 
 
 2a Questão (Ref.: 201403526547) Pontos: 0,5 / 0,5 
A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu 
ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da 
informação: 
 
 
 
Geração, Transporte, Publicação, Apreciação e Arquivamento. 
 Geração, Transporte, Armazenamento, Manuseio e Descarte. 
 
Desarquivamento, Transporte, Edição, Manuseio e Descarte 
 
Criação, Edição, Correção, Manuseio e Descarte 
 
Geração, Edição, Correção, Divulgação e Descarte 
 
 
 
 3a Questão (Ref.: 201403869398) Pontos: 0,0 / 0,5 
O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que 
chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? 
 
 
 
Dependência 
 
Problema 
 Ameaça 
 Vulnerabilidade 
 
Risco 
 
 
 
 4a Questão (Ref.: 201403869417) Pontos: 0,5 / 0,5 
Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a 
correta correspondência com seus significados dispostos na Coluna II . 
 
Coluna I 
 
1. Spyware 
2. Adware 
3. Engenharia Social 
4. Backdoor 
5. Phishing 
 
Coluna II 
 
( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página 
clonada ou a um arquivo malicioso. 
( ) Software que insere propagandas em outros programas. 
( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. 
( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. 
( ) Programa espião. 
 
 
A sequencia correta é: 
 
 
 5, 2, 4, 3, 1. 
 
5,1,4,3,2. 
 
3, 1, 4, 5, 2. 
 
3, 2, 4, 5, 1. 
 
3, 1, 5, 2, 4. 
 
 
 
 5a Questão (Ref.: 201403351702) Pontos: 0,0 / 0,5 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes 
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP 
da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP 
, que foi mascarado pelo atacante. 
 
 
 
Dumpster Diving ou Trashing 
 Smurf 
 
Phishing Scan 
 Fraggle 
 
Shrink Wrap Code 
 
 
 
 6a Questão (Ref.: 201403351705) Pontos: 0,5 / 0,5 
Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-
estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de 
alarmes. Neste caso que tipo de barreira você está implementando? 
 
 
 
Dificultar 
 
Discriminar 
 Desencorajar 
 
Detectar 
 
Deter 
 
 
 
 7a Questão (Ref.: 201403333702) Pontos: 0,5 / 1,5 
"Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma 
abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à 
Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador". 
No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e 
vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas. 
 
 
 
Resposta: VUNERABILIDADE = TEM COMO OBJETIVO DETECTAR OS PONTOS FRACOS DE UM SISTEMA DE UMA 
ORGANIZAÇÃO AMEAÇA = TEM COMO OBJETIVO PREJUDICAR OU CAUSAR DANOS A UMA ORGANIZAÇÃO 
 
 
Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não 
necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou 
momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no 
contexto do que se diz respeito a sistemas de informações. 
 
 
 
 8a Questão (Ref.: 201403352065) Pontos: 1,0 / 1,0 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR 
ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos 
da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
 
 
 9a Questão (Ref.: 201403333707) Pontos: 0,0 / 1,5 
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como 
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? 
 
 
 
Resposta: SÃO DEFINIDAS COMO PONTOS FRACOS DE UM SISTEMA ONDE ATRAVÉS DISSO PODEM OCORRER 
INVASÕES, IMPLANTACOES DE MALWARES, SPYWARES ENTRE OUTROS, PODENDO ASSIM CAUSAR DANOS 
IRREPARAVEIS A UMA ORGANIZAÇÃO OU SISTEMA. 
 
 
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das 
ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A 
proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, 
detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
 
 
 10a Questão (Ref.: 201403869406) Pontos: 1,0 / 1,0 
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de 
Desastres (PRD)? 
 
 
 
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN 
foca-se na continuidade para todos os processos. 
 O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação 
dos danos causados. 
 
O PRD é mais abrangente que o PCN. 
 
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre 
somente os ativos de informação. 
 
O PCN só pode ser implementado se o PRD já tiver em uso.