Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Avaliação: CCT0059_AV2_201301800929 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV2 Aluno: 201301800929 - RAFAEL ALEXANDRE LIRA SILVA Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/A Nota da Prova: 5,5 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 04/12/2014 20:02:02 1a Questão (Ref.: 201302039181) Pontos: 1,5 / 1,5 A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o investimento na área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são Vulnerabilidades para a Segurança das Informações? Resposta: Pode se dizer que vulnerabilidade é falta de proteção ou exposição da deficiência de segurança. Quando não temos recursos suficientes de segurança, deixamos todo e qualquer ativo vulnerável a uma ameaça, um simples descuido pode provocar grandes prejuízos. Quando lidamos com dados ou informações não é diferente, a falta de proteção as informações podem provocar danos, aliás informações são carregadas de valores. Falta de discriminação, ausência de controle de acesso, falta de criptografia, falta de energia, falta backup, ou até mesmo um descuido humano por falta de atenção faz com que os dados e as informações se tornem vulneráveis. Localização de servidores, servidores em péssimas condições dentre outros fatores. Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 2a Questão (Ref.: 201302126186) Pontos: 0,5 / 0,5 No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser: 1) Físicas 2) Lógicas 3) Administrativas Analise as questões abaixo e relacione o tipo corretamente: ( ) Procedimento ( ) Fechadura ( ) Firewall ( ) Cadeado ( ) Normas 3, 2, 1, 2, 3 3, 1, 2, 1, 3 2, 1, 2, 1, 3 1, 3, 1, 3, 2 2, 2, 1, 3, 1 3a Questão (Ref.: 201301943141) Pontos: 0,0 / 0,5 Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a Disponibilidade das Informações. Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Probabilidade das Informações. 4a Questão (Ref.: 201302014005) Pontos: 0,5 / 0,5 Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade Física Vulnerabilidade de Software Vulnerabilidade Natural Vulnerabilidade de Comunicação Vulnerabilidade Mídia 5a Questão (Ref.: 201301939926) Pontos: 0,5 / 0,5 O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: backdoor exploit Spyware vírus Keylogger 6a Questão (Ref.: 201302126195) Pontos: 0,5 / 0,5 Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado: Ataque smurf SQL Injection IP Spoofing Dumpster diving ou trashing Packet Sniffing 7a Questão (Ref.: 201301939984) Pontos: 0,0 / 0,5 Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Risco percebido; Risco residual; Risco verdadeiro; Risco tratado; Risco real; 8a Questão (Ref.: 201302146538) Pontos: 0,0 / 1,0 A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. 9a Questão (Ref.: 201302032259) Pontos: 1,0 / 1,5 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN: Resposta: O objetivo desta fase é desenvolver vários planos, que visam antecipar, ações e recursos para que a organização lide com qualquer tipo de interrupção. Incidentes: Empresas que lidam bem com incidentes têm suas marcas protegidas, enquanto as que não conseguem lidar com isso têm perdas. Plano de Continuidade de Negócios: O plano de continuidade de negócios varia de acordo com a organização, mas devem oferecer o caminho a ser seguido durante uma interrupção e possibilitar que sejam escolhidas as estratégias apropriadas para a retomada das unidades de negócio de acordo com as prioridades previamente estabelecidas. Gabarito: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estruturade gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. 10a Questão (Ref.: 201302020664) Pontos: 1,0 / 1,0 Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? Planejamento, maturação e desenvolvimento Manutenção, implementação do programa e maturação Planejamento, estudo e implementação do programa Planejamento, desenvolvimento e implementação do programa Manutenção, desenvolvimento e implementação do programa Período de não visualização da prova: desde 17/11/2014 até 02/12/2014.
Compartilhar