(Segurança da Informação AV2)

Prévia do material em texto

Fechar 
 
Avaliação: CCT0059_AV2_201301800929 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 201301800929 - RAFAEL ALEXANDRE LIRA SILVA 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/A 
Nota da Prova: 5,5 de 8,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 04/12/2014 20:02:02 
 
 
 1a Questão (Ref.: 201302039181) Pontos: 1,5 / 1,5 
A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação. O descuido 
nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das 
empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm 
alguma política de segurança. Sem as precauções adequadas a empresa pode perder muito mais do que o 
investimento na área. Neste sentido é fundamental tratarmos as vulnerabilidades dos ativos. O que são 
Vulnerabilidades para a Segurança das Informações? 
 
 
Resposta: Pode se dizer que vulnerabilidade é falta de proteção ou exposição da deficiência de segurança. 
Quando não temos recursos suficientes de segurança, deixamos todo e qualquer ativo vulnerável a uma 
ameaça, um simples descuido pode provocar grandes prejuízos. Quando lidamos com dados ou informações não 
é diferente, a falta de proteção as informações podem provocar danos, aliás informações são carregadas de 
valores. Falta de discriminação, ausência de controle de acesso, falta de criptografia, falta de energia, falta 
backup, ou até mesmo um descuido humano por falta de atenção faz com que os dados e as informações se 
tornem vulneráveis. Localização de servidores, servidores em péssimas condições dentre outros fatores. 
 
 
Gabarito: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
 
 
 2a Questão (Ref.: 201302126186) Pontos: 0,5 / 0,5 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízos. Neste contexto elas podem ser: 
1) Físicas 
2) Lógicas 
3) Administrativas 
 Analise as questões abaixo e relacione o tipo corretamente: 
( ) Procedimento 
( ) Fechadura 
( ) Firewall 
( ) Cadeado 
( ) Normas 
 
 
3, 2, 1, 2, 3 
 3, 1, 2, 1, 3 
 
2, 1, 2, 1, 3 
 
1, 3, 1, 3, 2 
 
2, 2, 1, 3, 1 
 
 
 
 3a Questão (Ref.: 201301943141) Pontos: 0,0 / 0,5 
Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? 
 
 Uma Analise Qualitativa dos níveis Alto, Médio e Baixo das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confiabilidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Analise Quantitativa dos níveis Alto, Médio e Baixo das Informações. 
 Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Disponibilidade das Informações. 
 
Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a 
Probabilidade das Informações. 
 
 
 
 4a Questão (Ref.: 201302014005) Pontos: 0,5 / 0,5 
Ataque feito em 2009 a um servidor de banda larga da empresa NET, o Vírtua, em São Paulo. Nesse ataque os 
hackers direcionavam os usuários que acessavam o site do banco Bradesco para uma página falsa e roubavam 
os dados e as senhas destes usuários. O site teve um problema nos servidores de DNS, que traduziram o 
endereço do Bradesco como sendo de outro servidor, no qual havia uma página falsa e eles puderam roubar os 
dados e as senhas. Qual você acha que seria a vulnerabilidade neste ataque? 
 
 
Vulnerabilidade Física 
 Vulnerabilidade de Software 
 
Vulnerabilidade Natural 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade Mídia 
 
 
 
 5a Questão (Ref.: 201301939926) Pontos: 0,5 / 0,5 
O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador 
que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números 
de cartões de crédito é conhecido como: 
 
 
backdoor 
 
exploit 
 
Spyware 
 
vírus 
 Keylogger 
 
 
 
 6a Questão (Ref.: 201302126195) Pontos: 0,5 / 0,5 
Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o 
atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a 
verificação do lixo em busca de informações que possam facilitar o ataque é denominado: 
 
 
Ataque smurf 
 
SQL Injection 
 
IP Spoofing 
 Dumpster diving ou trashing 
 
Packet Sniffing 
 
 
 
 7a Questão (Ref.: 201301939984) Pontos: 0,0 / 0,5 
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas 
de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste 
caso estamos nos referindo a que tipo de risco: 
 
 
Risco percebido; 
 Risco residual; 
 
Risco verdadeiro; 
 
Risco tratado; 
 Risco real; 
 
 
 
 8a Questão (Ref.: 201302146538) Pontos: 0,0 / 1,0 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem 
como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão 
de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do 
Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: 
 
 É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem 
que desenvolver para apoiar suas operações. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus 
parceiros comerciais, contratados e provedores de serviço tem que atender. 
 A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas 
responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, 
fraude ou mau uso dos recursos. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as 
instalações e informações da organização. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de segurança da 
informação. 
 
 
 
 9a Questão (Ref.: 201302032259) Pontos: 1,0 / 1,5 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN: 
 
 
Resposta: O objetivo desta fase é desenvolver vários planos, que visam antecipar, ações e recursos para que a 
organização lide com qualquer tipo de interrupção. Incidentes: Empresas que lidam bem com incidentes têm 
suas marcas protegidas, enquanto as que não conseguem lidar com isso têm perdas. Plano de Continuidade de 
Negócios: O plano de continuidade de negócios varia de acordo com a organização, mas devem oferecer o 
caminho a ser seguido durante uma interrupção e possibilitar que sejam escolhidas as estratégias apropriadas 
para a retomada das unidades de negócio de acordo com as prioridades previamente estabelecidas. 
 
 
Gabarito: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN 
resulta na criação de uma estrutura de gestão e uma estruturade gerenciamento de incidentes, continuidade de 
negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , 
para manter ou restaurar as operações. 
 
 
 
 10a Questão (Ref.: 201302020664) Pontos: 1,0 / 1,0 
Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? 
 
 
Planejamento, maturação e desenvolvimento 
 
Manutenção, implementação do programa e maturação 
 
Planejamento, estudo e implementação do programa 
 Planejamento, desenvolvimento e implementação do programa 
 
Manutenção, desenvolvimento e implementação do programa 
 
 
 
Período de não visualização da prova: desde 17/11/2014 até 02/12/2014.