Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação: CCT0185_AVS_201202105572 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AVS Aluno: 201202105572 SAULO TAVARES DE SOUSA Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/AA Nota da Prova: 3,0 Nota de Partic.: 2 Data: 10/12/2014 09:18:53 1a Questão (Ref.: 201202157092) Pontos: 0,0 / 1,5 A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? Resposta: Vulnerabilidades Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extinguese quando uma ameaça se transforma num incidente. A proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente. 2a Questão (Ref.: 201202344660) Pontos: 0,0 / 0,5 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. 3a Questão (Ref.: 201202349925) Pontos: 0,5 / 0,5 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessála. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Privacidade Disponibilidade Auditoria Confidencialidade Integridade 4a Questão (Ref.: 201202344684) Pontos: 0,5 / 0,5 Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Danos quase sempre internos são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 5a Questão (Ref.: 201202178294) Pontos: 0,0 / 0,5 As vulnerabilidades estão presentes no diaadia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Impacto presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ativos que manipulam ou processam informações . Fragilidade presente ou associada a ativos que exploram ou processam informações . Ameaça presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 6a Questão (Ref.: 201202175011) Pontos: 0,0 / 0,5 Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? Passivo Forte Ativo Fraco Secreto 7a Questão (Ref.: 201202344755) Pontos: 0,0 / 0,5 Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 8a Questão (Ref.: 201202175450) Pontos: 1,0 / 1,0 Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. 9a Questão (Ref.: 201202157087) Pontos: 0,0 / 1,5 "Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador". No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas. Resposta: d Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no contexto do que se diz respeito a sistemas de informações. 10a Questão (Ref.: 201202351038) Pontos: 1,0 / 1,0 BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negóciosmapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Clara e Intelegível Qualitativa e Quantitativa Estatística e Ordenada Simples e Objetiva. Natural e Desordenada Período de não visualização da prova: desde 03/12/2014 até 15/12/2014.
Compartilhar