AV2-GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Fechar
	Avaliação: CCT0059_AV2_200301615635 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	Tipo de Avaliação: AV2
	Aluno: 200301615635 - LEANDRO DA COSTA VILLELA
	Professor:
	SHEILA DE GOES MONTEIRO
	Turma: 9018/R
	Nota da Prova: 6,0 de 8,0         Nota do Trab.: 0        Nota de Partic.: 2        Data: 22/11/2014 09:07:22
	
	 1a Questão (Ref.: 200301736094)
	Pontos: 0,5  / 0,5
	As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade?
		
	
	Naturais, Voluntarias e Vulneráveis.
	 
	Naturais, Involuntárias e Voluntarias.
	
	Naturais, Voluntarias e Obrigatórias.
	
	Ocasionais, Involuntárias e Obrigatórias.
	
	Naturais, Involuntárias e Obrigatórias.
	
	
	 2a Questão (Ref.: 200302253856)
	Pontos: 0,5  / 0,5
	Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:
 
I. Usar uma linguagem conhecida.
II. Usar meios adequados aos tipos de mensagens e usuários.
III. Adotar estilo simples e claro.
IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo.
V. Respeitar a cultura organizacional e a do país a que se destina.
		
	
	As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no contexto da política de segurança.
	
	As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir na sua tradução.
	
	As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser construída considerando-se uma linguagem tecnológica independentemente dos tipos de usuários a que se destina.
	
	As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor-se que todos os usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.
	 
	As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.
	
	
	 3a Questão (Ref.: 200301942696)
	Pontos: 0,0  / 0,5
	Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
		
	
	Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários.
	
	São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
	 
	Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
	
	Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
	 
	É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
	
	
	 4a Questão (Ref.: 200301736557)
	Pontos: 0,5  / 0,5
	A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento dos Dados para a sua utilização eficaz nas organizações?
		
	
	Dado - Informação - Informação Bruta
	
	Dado - Conhecimento - Informação
	 
	Dado - Informação - Conhecimento
	
	Dado - Conhecimento Bruto - Informação Bruta
	
	Dado - Informação - Dados Brutos
	
	
	 5a Questão (Ref.: 200301736147)
	Pontos: 0,5  / 0,5
	Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?
		
	
	SQL Injection
	 
	DDos
	
	Source Routing
	
	Shrink wrap code
	
	Phishing Scan
	
	
	 6a Questão (Ref.: 200301736173)
	Pontos: 0,5  / 0,5
	Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco.
		
	
	Método Classificatório
	 
	Método Quantitativo
	
	Método Exploratório.
	
	Método Qualitativo
	
	Método Numérico.
	
	
	 7a Questão (Ref.: 200301828432)
	Pontos: 1,5  / 1,5
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI, explique a etapa "Check" do PDCA:
		
	
Resposta: O ato de realiar o "Check" é certificar que todos os pontos do planejamento estão de acordo. Essa ação tende a diminuir erros na hora dda execução. Caso haja alguma desconformidade essa etapa do processo ira antes de entrar em ação voltar ao projeto sinalizando o que não está de acordo. Imgine que o processo de criar um banco de dados diz que esse banco devera ser acesso pelo DBA de qualquer lugar. A equipe de segurança esque de ativar a regra no firewall liberando esse acesso, logo o DBA não terá esse acesso para subir o banco. Por isso a importância do "Check".
	
Gabarito: Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.
	
	
	 8a Questão (Ref.: 200301736519)
	Pontos: 1,0  / 1,0
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
		
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	 
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	
	 9a Questão (Ref.: 200301816816)
	Pontos: 0,0  / 1,5
	Cada empresa ao tratar a segurança da informaçãoe independentemente de sua área de negócio e dos objetivos de segurança que deseje, normalmente irá utilizar um ou os três princípios fundamentais da segurança da informação. Fale sobre cada um dos três princípios.
		
	
Resposta: Risco - Pode ser de origem natural ou humana. (Terremoto, Tsunami, Vulcão / Erro Humano) Impacto - Perda de negocios pelo fato da empresa não poder subir seus serviços o que a deixa impedida de operarar devido a falha no PLANO DE GESTÃO DE CONTINUIDADE. Vulnerabilidade - São falhas encontrdas em brechas de seguranaça de algum sistema da empresa assim como falha na politica de acesso a informações sensíveis.
	
Gabarito: Disponibilidade: Garantia de que só usuários autorizados obtêm acesso à informação e aos ativos correspondentes sempre que necessário. Integridade: Salvaguardar a exatidão e completeza da informação e dos métodos de processamento. Confidencialidade: Garantia de que os usuários autorizados obtém acesso à informação e aos ativos correspondentes sempre que necessários
	
	
	 10a Questão (Ref.: 200302253266)
	Pontos: 1,0  / 1,0
	As ferramentas e técnicas utilizadas pelo Six Sigma muitas vezes estão apoiadas em recursos computacionais que são úteis para o tratamento de dados, através de cálculos estatísticos e análise de informações históricas de desempenho. Podem ser consideradas exemplos que ilustram o apoio da TI ao Six Sigma:
		
	
	Softwares para apoio estatístico, Gestão de rede, Gestão de banco de dados, Ferramentas de extração de informação.
	 
	Softwares para apoio estatístico, Software para simulação, Gestão de banco de dados, Ferramentas de extração de informação.
	
	Software para simulação, Gestão de banco de dados, Ferramenta de gerência de projetos, Gestão da rede.
	
	Softwares para apoio estatístico, Software para simulação, Ferramentas de gestão de demandas, Ferramentas de extração de informação.
	
	Softwares para apoio estatístico, Ferramenta de gestão de projetos, Gestão de banco de dados, Ferramentas de extração de informação.