AVS - Gestão da Segurança da Informação

Prévia do material em texto

Avaliação: CCT0185_AVS_201202105572 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AVS
Aluno: 201202105572 ­ SAULO TAVARES DE SOUSA
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/AA
Nota da Prova: 3,0        Nota de Partic.: 2        Data: 10/12/2014 09:18:53
  1a Questão (Ref.: 201202157092) Pontos: 0,0  / 1,5
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas?
Resposta: Vulnerabilidades
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das
ameaças existentes. O efeito destas medidas extingue­se quando uma ameaça se transforma num incidente. A
proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção,
detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam.
Naturalmente, estas medidas só atuam quando ocorre um incidente.
  2a Questão (Ref.: 201202344660) Pontos: 0,0  / 0,5
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
  Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
  Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
  3a Questão (Ref.: 201202349925) Pontos: 0,5  / 0,5
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá­la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
Privacidade
  Disponibilidade
Auditoria
Confidencialidade
Integridade
  4a Questão (Ref.: 201202344684) Pontos: 0,5  / 0,5
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos,
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
  Danos quase sempre internos ­ são uma das maiores ameaças ao ambiente, podem ser ocasionados por
falha no treinamento, acidentes, erros ou omissões.
  5a Questão (Ref.: 201202178294) Pontos: 0,0  / 0,5
As vulnerabilidades estão presentes no dia­a­dia das empresas e se apresentam nas mais diversas áreas de
uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos
de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de
Vulnerabilidade na ótica da Segurança da Informação?
Impacto presente ou associada a ativos que manipulam ou processam informações.
  Fragilidade presente ou associada a ativos que manipulam ou processam informações .
Fragilidade presente ou associada a ativos que exploram ou processam informações .
  Ameaça presente ou associada a ativos que manipulam ou processam informações.
Fragilidade presente ou associada a ameaças que manipulam ou processam informações .
  6a Questão (Ref.: 201202175011) Pontos: 0,0  / 0,5
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões?
  Passivo
Forte
Ativo
Fraco
  Secreto
  7a Questão (Ref.: 201202344755) Pontos: 0,0  / 0,5
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde
a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas.
Neste sentido podemos definir a barreira "Deter":
  Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de
segurança da informação.
Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos,
definindo perfis e autorizando permissões.
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem
os gestores da segurança na detecção de situações de risco.
  Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
  8a Questão (Ref.: 201202175450) Pontos: 1,0  / 1,0
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma
NBR ISO/IEC 27001.
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos
da norma NBR ISO/IEC 27001.
  Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da
norma NBR ISO/IEC 27001.
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma
NBR ISO/IEC 27001.
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR
ISO/IEC 27001.
  9a Questão (Ref.: 201202157087) Pontos: 0,0  / 1,5
"Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma
abertura que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à
Internet, ao explorar tal abertura, pode obter acesso não autorizado ao computador".
No tratamento dos aspectos envolvidos na segurança em sistemas de informação, a relação entre ameaça e
vulnerabilidade está intrinsecamente relacionada. Caracterize a diferença entre elas.
Resposta: d
Gabarito: Quando você se sente ameaçado seja por qualquer tipo de fator ou circunstância, não
necessariamente você se sente vulnerável. Mas quando você se considera vulnerável a alguma situação ou
momento, instintivamente você se vê, ou se acha ameaçado. Não é uma regra, mas vale principalmente no
contexto do que se diz respeito a sistemas de informações.
  10a Questão (Ref.: 201202351038) Pontos: 1,0  / 1,0
BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no
Negócio que tem por finalidade apresentar todos os prováveis impactos de forma
............................e........................... dos principais processos de negóciosmapeados e entendidos na
organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois,
norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios.
Clara e Intelegível
  Qualitativa e Quantitativa
Estatística e Ordenada
Simples e Objetiva.
Natural e Desordenada
Período de não visualização da prova: desde 03/12/2014 até 15/12/2014.