Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Avaliação: CCT0059_AV2_201403266131 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201403266131 - EDUARDO SOUZA BARBOSA DA SILVA Professor: SHEILA DE GOES MONTEIRO Turma: 9020/T Nota da Prova: 4,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 25/11/2014 20:22:06 1a Questão (Ref.: 201403871536) Pontos: 0,0 / 0,5 Para se garantir a segurança da informação em um ambiente corporativo é necessário garantir 3 (três) aspectos de segurança da informação, aspectos denominados de "Tríade da Segurança da Informação". Quais elementos compõem a tríade da segurança da informação? Privacidade, Governabilidade e Confidencialidade Autenticidade, Legalidade e Privacidade Confiabilidade, Integridade e Disponibilidade Integridade, Legalidade e Confiabilidade Disponibilidade, Privacidade e Segurabilidade 2a Questão (Ref.: 201403526547) Pontos: 0,5 / 0,5 A informação é um ativo importante dentro da organização, e que deve ser protegido em todas as fases do seu ciclo de vida. Aponte dentre as alternativas abaixo aquela que corresponde ao correto ciclo de vida da informação: Geração, Transporte, Publicação, Apreciação e Arquivamento. Geração, Transporte, Armazenamento, Manuseio e Descarte. Desarquivamento, Transporte, Edição, Manuseio e Descarte Criação, Edição, Correção, Manuseio e Descarte Geração, Edição, Correção, Divulgação e Descarte 3a Questão (Ref.: 201403869398) Pontos: 0,0 / 0,5 O departamento financeiro vai determinar os perigos aos quais a área está exposta. Neste contexto o que chamamos de um possível evento que pode ter um efeito perturbador sobre a confiabilidade da informação? Dependência Problema Ameaça Vulnerabilidade Risco 4a Questão (Ref.: 201403869417) Pontos: 0,5 / 0,5 Alguns conceitos relacionados à segurança da informação estão disponibilizados na Coluna I. Faça a correta correspondência com seus significados dispostos na Coluna II . Coluna I 1. Spyware 2. Adware 3. Engenharia Social 4. Backdoor 5. Phishing Coluna II ( ) Técnica que visa enganar um usuário induzindo-o a clicar em um link que o levará a uma página clonada ou a um arquivo malicioso. ( ) Software que insere propagandas em outros programas. ( ) Brecha inserida pelo próprio programador de um sistema para uma invasão. ( ) Técnica utilizada para obter informações preciosas com base em uma relação de confiança. ( ) Programa espião. A sequencia correta é: 5, 2, 4, 3, 1. 5,1,4,3,2. 3, 1, 4, 5, 2. 3, 2, 4, 5, 1. 3, 1, 5, 2, 4. 5a Questão (Ref.: 201403351702) Pontos: 0,0 / 0,5 Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Dumpster Diving ou Trashing Smurf Phishing Scan Fraggle Shrink Wrap Code 6a Questão (Ref.: 201403351705) Pontos: 0,5 / 0,5 Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra- estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Dificultar Discriminar Desencorajar Detectar Deter 7a Questão (Ref.: 201403333702) Pontos: 0,5 / 1,5 "Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador". No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas. Resposta: VUNERABILIDADE = TEM COMO OBJETIVO DETECTAR OS PONTOS FRACOS DE UM SISTEMA DE UMA ORGANIZAÇÃO AMEAÇA = TEM COMO OBJETIVO PREJUDICAR OU CAUSAR DANOS A UMA ORGANIZAÇÃO Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que se diz respeito a sistemas de informações. 8a Questão (Ref.: 201403352065) Pontos: 1,0 / 1,0 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 9a Questão (Ref.: 201403333707) Pontos: 0,0 / 1,5 A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? Resposta: SÃO DEFINIDAS COMO PONTOS FRACOS DE UM SISTEMA ONDE ATRAVÉS DISSO PODEM OCORRER INVASÕES, IMPLANTACOES DE MALWARES, SPYWARES ENTRE OUTROS, PODENDO ASSIM CAUSAR DANOS IRREPARAVEIS A UMA ORGANIZAÇÃO OU SISTEMA. Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente. 10a Questão (Ref.: 201403869406) Pontos: 1,0 / 1,0 Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. O PRD é mais abrangente que o PCN. O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PCN só pode ser implementado se o PRD já tiver em uso.
Compartilhar