Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA DA INFORMAÇÃO Teste de Conhecimento – Aulas 01 a 10 Aula 01 1a Questão Em meio a tantas mudanças tecnológicas, sociológicas e comportamentais surgem também muitos desafios de negócios e gerenciais no desenvolvimento e implementação de novos usos da tecnologia da informação em uma empresa. Neste contexto qual o objetivo fundamental da Segurança da Informação? Visa à proteção de todos os ativos de uma empresa que contêm informações. 2a Questão No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízos. Neste contexto elas podem ser: 1) Físicas 2) Lógicas 3) Administrativas Analise as questões abaixo e relacione o tipo corretamente: ( ) Procedimento ( ) Fechadura ( ) Firewall ( ) Cadeado ( ) Normas 3, 1, 2, 1, 3 3a Questão Política de segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente, de modo a garantir a sua confidencialidade, integridade e disponibilidade. Após sua criação ela deve ser: Comunicada a toda a organização para os usuários de uma forma que seja relevante, acessível e compreensível para o público-alvo. 4a Questão Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 5a Questão Mário trabalha em uma grande empresa e no final de todos os meses é fechado o cálculo do pagamento dos funcionários. Neste momento o sistema de Pagamento necessita ser acessado pela área de contabilidade, pois caso ocorra uma falha o pagamento dos funcionários não poderá ser realizado. Neste caso qual o pilar da segurança está envolvido: Disponibilidade 6a Questão O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio à tomada de decisão empresarial Apoio aos Processos Apoio ao uso da Internet e do ambiente wireless Apoio às Estratégias para vantagem competitiva Apoio às Operações 7a Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; 8a Questão Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Vulnerabilidade. 1a Questão Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como a tecnologia da informação tem apoiado as operações das empresas, qual das opções abaixo não é verdadeira quando tratamos do conceito de Informação? É necessário disponibilizá-la para quem tem a real necessidade de conhecê-la. Deve ser disponibilizada sempre que solicitada. Pode conter aspectos estratégicos para a Organização que o gerou. É fundamental proteger o conhecimento gerado. A informação é vital para o processo de tomada de decisão de qualquer corporação. 2a Questão Tendo em vista a mudança de paradigma no modo como as empresas e as pessoas trabalham e a forma como a tecnologia da informação apoia as operações e processos das empresas, qual das opções abaixo poderá ser escolhida como sendo aquela que possui os elementos fortemente responsáveis por este processo? O crescimento explosivo da internet e das suas respectivas tecnologias e aplicações; 3a Questão Foi noticiado na internet que um grande banco teve um incidente de segurança e que grandes vultos de dinheiro foram transferidos sem que os clientes soubessem. Apesar de não ser um fato verídico, este episódio comprometeu a imagem e a credibilidade deste banco. Neste caso qual o tipo de ativo foi envolvido nesta situação? Intangível 4a Questão O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apoia as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? Apoio aos Processos Apoio à tomada de decisão empresarial Apoio às Estratégias para vantagem competitiva Apoio ao uso da Internet e do ambiente wireless Apoio às Operações 5a Questão O papel estratégico dos sistemas de informação nas empresas cresce a cada dia. Qual das opções abaixo não pode ser considerada como sendo um dos "Propósitos da Informação" dentro das empresas e organizações? Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos equipamentos; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos materiais; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos financeiros; Habilitar a empresa a alcançar seus objetivos pelo uso eficiente da sua tecnologia; Habilitar a empresa a alcançar seus objetivos de ineficácia nos processos; 6a Questão Existe uma série de fatores que impactam na segurança de uma organização. A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente está relacionada com o conceito de? Vulnerabilidade. 7a Questão O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Neste contexto podemos a afirmar que ________________________é o elemento identificado em sua forma bruta e que por si só não conduz a uma compreensão de determinado fato ou situação. o dado 8a Questão O Evento que tem potencial em si próprio para comprometer os objetivos da organização, seja trazendo danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas está relacionado com qual conceito? Ameaça. Aula 02 1a Questão Analise a afirmativa: “O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade”. Esta afirmação é: verdadeira, pois a classificação da informação pode ser sempre reavaliada. 2a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados “auditores”. Um usuário de um outro grupo, o grupo “estudante”, tenta acessar o sistema em busca de uma informação que somente o grupo “auditores” tem acesso e consegue. Neste caso houveuma falha na segurança da informação para este sistema na propriedade relacionada à: Confidencialidade; 3a Questão A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão dos negócios da organização. 4a Questão Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados “auditores”. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo “auditores” acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Disponibilidade; 5a Questão Para auxiliar no processo de classificação das informações das organizações, podemos utilizar que ferramenta? Uma Matriz que utilize níveis Alto, Médio e Baixo versus a Confidencialidade, a Integridade e a Disponibilidade das Informações. 6a Questão Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Qual das opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para as organizações quando tratamos de Segurança da Informação? Valor de troca. Valor de uso. Valor de orçamento. Valor de restrição. Valor de propriedade. 7a Questão Segundo os princípios da Segurança da Informação, qual das opções abaixo representa melhor o conceito de “Ativo de Informação”? São aqueles que produzem, processam, transmitem ou armazenam informações. 8a Questão A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo apresenta os quatro aspectos importantes para a classificação das informações? Confidencialidade, integridade, disponibilidade e valor. 1a Questão A assinatura digital permite comprovar ______________ e Integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada. A autenticidade 2a Questão Sobre o conceito: " [...] é restrita aos limites da empresa e cuja divulgação ou perda pode acarretar em desiquilíbrio operacional e, eventualmente, à perdas financeiras ou de confiabilidade perante o cliente externo". Tal conceituação refere-se a qual tipo de informação, no que tange ao nível de prioridade da mesma, segundo Wadlow (2000)? Informação confidencial 3a Questão Valores são o conjunto de características de uma determinada pessoa ou organização, que determinam a forma como a pessoa ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. A informação terá valor econômico para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou nenhum valor. Qual a melhor definição para o valor de uso de uma informação: Baseia-se na utilização final que se fará com a informação. 4a Questão Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuía um tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da informação relacionada à: Integridade; 5a Questão As vulnerabilidades estão presentes no dia a dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processos e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Fragilidade presente ou associada a ativos que manipulam ou processam informações . 6a Questão Você está trabalhando em um projeto de classificação de informação e sua empresa trabalho no ramo financeiro, onde a divulgação de determinadas informações pode causar danos financeiros ou à imagem da sua empresa, além de gerar vantagens aos concorrentes e também possíveis perda de clientes. Neste caso você classificaria estas informações em qual nível de segurança? Confidencial. 7a Questão Ao elaborar e comunicar uma Política de Segurança da Informação é necessário: I. Usar uma linguagem conhecida. II. Usar meios adequados aos tipos de mensagens e usuários. III. Adotar estilo simples e claro. IV. Respeitar o interlocutor sem superestimá-lo nem subestimá-lo. V. Respeitar a cultura organizacional e a do país a que se destina. As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário queela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam. 8a Questão Suponha que João deseja utilizar os serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, posteriormente, João venha a afirmar que não foi ele quem fez o acesso? Neste caso estamos falando de: Não-repúdio Aula 03 1a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplo de Vulnerabilidade de Software: Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento deinformações, perda de dados ou indisponibilidade de recursos quando necessários. 2a Questão Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em: I, III e IV, somente. 3a Questão O processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções pode ser descrito em qual das opções abaixo? Análise de Vulnerabilidade 4a Questão Observe a figura acima e complete corretamente a legenda dos desenhos: Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes eprodutos 5a Questão Corrigir pontos vulneráveis ou pontos fracos que circulam em um setor que trabalha com a informação, não acabará, mas reduzirá em muito os riscos em que ela estará envolvida. Logo estará evitando como também prevenindo a concretização de possíveis ameaças. Baseado neste fato podemos denominar como Vulnerabilidade Física: Instalações prediais fora dos padrões de engenharia e salas de servidores mal planejadas. 6a Questão Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade: Firewall mal configurado. Funcionário desonesto. Rede elétrica instável.Sistema operacional desatualizado. Links sem contingência. 7a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplo de Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante ainstalação. 8a Questão Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 1a Questão Ataque ao site do IBGE - Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para várias instituições governamentais, acredita-se que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não comprometendo aos dados internos e críticos que não devem ser divulgados. Qual você acha que foi a vulnerabilidade para este ataque? Vulnerabilidade Software 2a Questão Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. Porém, o grande afetado pela onda de ataques criminosos foi a RSA Security, que teve diversos de seus dados roubados por hackers não identificados. O ataque por sua vez foi Injection em seu banco de dados. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Software. 3a Questão Em um processo de análise de riscos em TI, uma avaliação da vulnerabilidade depende das avaliações e.... do ativo e das ameaças. 4a Questão As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irrestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemplo de Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. 5a Questão No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? Vulnerabilidade de Software 6a Questão Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade Humana. 7a Questão A Turner Broadcasting System (TBS), uma divisão da Time Warner que gerencia canais como CNN e Cartoon Network, revelou que sua rede foi infiltrada e atacada pelo worm Rinbot. O Rinbot conseguiu entrar na segurança da informação da TBS usando uma falha no antivírus da Symantec. A vulnerabilidade foi corrigida. O Rinbot, também chamado de Delbot pela Sophos, é um vírus semelhante ao Spybot, Agobot e outros. Ele forma uma rede zumbi com os computadores infectados, permitindo que seu criador obtenha controle total do sistema infectado. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso? Vulnerabilidade de Software. 8a Questão João trabalha no Datacenter de uma empresa de Tecnologia. Logo assim que chegou no ambiente de trabalho, ocorreu um curto circuito e iniciou um incêndio. João correu para buscar um extintor contra incêndio e percebeu que ele estava vazio. Neste caso estamos falando de vulnerabilidade do tipo: Física Aula 04 1a Questão Além de classificar as ameaças quando a sua intencionalidade, também podemos classificá-las quanto a sua origem, neste caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ? Interna e Externa 2a Questão A mídia costuma generalizar e chamar os responsáveis por qualquer ataque virtual de hackers, mas na verdade estas pessoas tem amplo conhecimento de programação e noções de rede e internet, não desenvolvem vulnerabilidades e não tem intenção de roubar informações, estes na verdade são os crackers que invadem sistemas em rede ou computadores para obter vantagens muitas vezes financeiras. Verifique nas sentenças abaixo as que estão corretas em relação a descrição dos potenciais atacantes: I - Wannabes ou script kiddies São aqueles que acham que sabem, dizem para todos que sabem, se anunciam, divulgam abertamente suas façanhas e usam 99% dos casos de scripts conhecidos. II- Defacers Pessoa que Interferem com o curso normal das centrais telefônicas, realizam chamadas sem ser detectados ou realizam chamadas sem tarifação. III- Pheakres São organizados em grupo, usam seus conhecimentos para invadir servidores que possuam páginas web e modificá-las. Apenas a sentença I está correta. 3a Questão Um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador pode ser descrito como sendo um: Adware 4a Questão Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização são consideradas: Medidas Preventivas 5a Questão As ameaças aproveitam das falhas de segurança da organização, que é considerado como ponto fraco, provocando possíveis danos, perdas e prejuízos aos negócios da empresa. Elas são constantes podendo acontecer a qualquer momento. Portanto é necessário conhecer profundamente qualquer tipo de vulnerabilidades para que não sejam comprometidos os princípios que se refere à segurança da informação. Quanto a sua intencionalidade elas podem ser classificadas como: Naturais, Involuntárias e voluntárias. 6a Questão Analiseas seguintes afirmativas sobre ameaças à Segurança da Informação: I. Cavalo de Troia é um programa que contém código malicioso e se passa por um programa desejado pelo usuário, com o objetivo de obter dados não autorizados do usuário. II. Worms, ao contrário de outros tipos de vírus, não precisam de um arquivo host para se propagar de um computador para outro. III. Spoofing é um tipo de ataque que consiste em mascarar pacotes IP, utilizando endereços de remetentes falsos. Estão CORRETAS as afirmativas: I, II e III. 7a Questão Ao analisarmos a afirmativa: “Devemos levar em consideração que diferentes ameaças possuem impactos diferentes e que dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaça”. Podemos dizer que é: verdadeira 8a Questão Pedro construiu um software malicioso capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Neste caso podemos afirmar que Pedro construiu um: Keylogger 1a Questão Programa que parece útil mas possui código destrutivo embutido, e além de executar funções para as quais foi projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário poderá ser melhor descrito como sendo um: cavalo de tróia (trojan horse) 2a Questão Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Ativo 3a Questão O programa que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador que podem ser desde o texto de um e-mail, até informações mais sensíveis, como senhas bancárias e números de cartões de crédito é conhecido como: Keylogger 4a Questão O que são exploits? São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem conhecimento da vulnerabilidade. 5a Questão Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e-mails não solicitados tem sido aplicada com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças, pornografia, códigos maliciosos, fraudes e golpes. É muito importante que se saiba como identificar os spams, para poder detectá-los mais facilmente e agir adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais características dos spams: I. Apresentam cabeçalho suspeito. II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. III. Apresentam no campo Assunto textos alarmantes ou vagos. IV. Oferecem opção de remoção da lista de divulgação. V. Prometem que serão enviados "uma única vez. VI. Baseiam-se em leis e regulamentações inexistentes. Estão corretas: Todas as afirmativas estão corretas 6a Questão Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Danos quase sempre internos - são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. 7a Questão As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças quanto a sua intencionalidade? Naturais, Involuntárias e Voluntarias. 8a Questão Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador pode ser descrito como sendo um: vírus Aula 05 1a Questão Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. 2a Questão Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi mascarado pelo atacante. Fraggle 3a Questão Pedro construiu um programa que permite que ele se conecte remotamente a um computador depois que o programa for instalado na máquina alvo. Neste caso podemos afirmar que Pedro construiu um: Backdoor 4a Questão João e Pedro são administrador de sistemas de uma importante empresa e estão instalando uma nova versão do sistema operacional Windows para máquinas servidoras. Durante a instalação Pedro percebeu que existem uma série de exemplos de códigos já prontos para serem executados, facilitando assim o trabalho de administração do sistema. Qual o tipo de ataque que pode acontecer nesta situação? Shrink Wrap Code 5a Questão Qual das opções abaixo descreve um tipo de ataque onde é possível obter informações sobre um endereço específico, sobre o sistema operacional, a arquitetura do sistema e os serviços que estão sendo executados em cada computador ? Ataque para Obtenção de Informações 6a Questão Pedro construiu uma página igual a página de uma grande empresa de comércio eletrônico com o objetivo de capturar as informações de usuário e senha e número do cartão de crédito de usuários desavisados. Para obter sucesso enviou mensagem não solicitada com o intuito de induzir o acesso a esta página fraudulenta. Neste caso podemos afirmar que Pedro pratica um ataque de: Phishing scan 7a Questão Existem diferentes caminhos que um atacante pode seguir para obter acesso ao sistema. Normalmente o atacante irá explorar uma vulnerabilidade ou fraqueza do sistema. O ataque que tem como objetivo a verificação do lixo em busca de informações que possam facilitar o ataque é denominado: Dumpster diving ou trashing 8a Questão João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando obter acesso à rede através do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual o tipo de ataque que o invasor está tentando utilizar? SYN Flooding 1a Questão Para que um ataque ocorra normalmente o atacante deverá seguir alguns passos até o seu objetivo, qual das opções abaixo Não representa um destes passos? Divulgação do Ataque Exploração das Informações Levantamento das Informações Obtenção de Acesso Camuflagem das Evidências 2a Questão Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Consiste na verificação do lixo em busca deinformações que possam facilitar o ataque. É uma técnica eficiente e muito utilizada e que pode ser considerada legal visto que não existem leis a respeito dos lixos. Neste caso é interessante que as informações críticas da organização (planilhas de custos, senhas e outros dados importantes) sejam triturados ou destruídos de alguma forma. Qual seria este ataque: Dumpster diving ou trashing. 3a Questão Qual opção abaixo representa a descrição do Passo “Levantamento das Informações” dentre aqueles que são realizados para um ataque de segurança? O atacante procura coletar o maior número possível de informações sobre o "alvo em avaliação". 4a Questão Um grande banco teve o saldo da conta corrente de vários clientes alterados devido a ocorrência de um ataque externo. O ataque ocorreu através da tela de entrada do sistema que faz uma consulta ao banco de dados de cadastro do cliente. Neste caso, foi utilizado um ataque de SQL Injection 5a Questão Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à máquina invadida para o atacante? Backdoor 6a Questão A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi utilizado um ataque de: Buffer Overflow 7a Questão Antônio deseja obter informações sigilosas de uma importante empresa da área financeira. Para isso implementou um programa que que irá coletar informações pessoais e financeiros da vítima. Para obter sucesso no ataque, Antônio irá induzir o acesso a página fraudulenta através do envio de uma mensagem não solicitada. Neste caso estávamos nos referindo ao ataque do tipo Phishing Scan 8a Questão Pedro realizou um ataque em um site e conseguiu um acesso privilegiado através do Banco de dados. Neste caso podemos afirmar que Pedro realizou um ataque do tipo: SQLinjection Aula 06 1a Questão Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. Explicação: O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por conseguinte é também aquele que tem a maior possibilidade de risco. 2a Questão Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de infra-estrutura, pretende instalar algumas câmeras de vídeo, além da colocação de avisos sobre a existência de alarmes. Neste caso que tipo de barreira você está implementando? Desencorajar 3a Questão Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi: Medidas preventivas 4a Questão Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Selecionar, implementar e operar controles para tratar os riscos. Manter e melhorar os controles Identificar e avaliar os riscos. Verificar e analisar criticamente os riscos. Manter e melhorar os riscos identificados nos ativos 5a Questão Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes ? Ameaça, incidente, impacto e recuperação 6a Questão Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente ? Ameaça, incidente, impacto e recuperação 7a Questão A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 8a Questão Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Identificar os riscos de segurança presentes. Aplicar controles apropriados para reduzir os riscos. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Explicação: Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em qualquer situação. Aplicar controles apropriados para reduzir os riscos.===> VERDADE Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.===> VERDADE Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> VERDADE 1a Questão É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos? Descrição dos requisitos de segurança da informação para um produto. Preparação de um plano de respostas a incidentes. Conformidade Legal e a evidência da realização dos procedimentos corretos Preparação de um plano de continuidade de negócios. Preparação de um plano para aceitar todos os Riscos 2a Questão Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante? Bot/Botnet 3a Questão Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Quantitativo 4a Questão Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ? Dumpster diving 5a Questão Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Manter e melhorar os controles Selecionar, implementar e operar controles para tratar os riscos. Identificar e avaliar os riscos. Verificar e analisar criticamente os riscos. Manter e melhorar os riscos identificados nos ativos 6a Questão Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá- las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante? Bot/Botnet 7a Questão Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança nadetecção de situações de risco. 8a Questão Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado: Aceitação do Risco Aula 07 1a Questão Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. 2a Questão A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil 3a Questão Os processos que envolvem a gestão de risco são, exceto: Identificar os riscos Realizar a análise quantitativa do risco Realizar a análise qualitativa do risco Planejar o gerenciamento de risco Gerenciar as respostas aos riscos 4a Questão A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise: I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: II e IV, somente 5a Questão De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. 6a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 7a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Normas. 8a Questão Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Aceitação de risco Suposição de risco Transferência de risco Limitação de risco Prevenção de risco 1a Questão Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 4-3-1-2-5. 2a Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27005 3a Questão Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, Análise de risco, Requisitos legais 4a Questão Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. 5a Questão Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a alguns pontos, EXCETO: Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa para uso externo. Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e qualquer arquivo trafegado na rede. Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos às sanções cabíveis. Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário de descanso. Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados. 6a Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. 7a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 8a Questão Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças. Apenas I correta Aula 08 1a Questão Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Suporte técnico. Conscientização dos usuários. Segregação de funções. Auditoria. Procedimentos elaborados. 2a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado 3a Questão Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 4a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Lógica. 5a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Desencorajamento 6a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act.Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. 7a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: II e III. 8a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas. 1a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI 2a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 3a Questão Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: Identificar, Analisar e avaliar os riscos. 4a Questão A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A realimentação por parte dos envolvidos no SGSI Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores A avaliação das ações preventivas e corretivas Os resultados das auditorias anteriores e análises críticas A avaliação dos riscos e incidentes desejados 5a Questão A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. 6a Questão A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Preventiva. 7a Questão No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: Uma Operação Incorreta ou Erro do usuário. Restrição Financeira. Uma inundação. A perda de qualquer aspecto de segurança importante para a organização. Uma tempestade. 8a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas Aula 09 1a Questão De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. 2a Questão Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 3a Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. 4a Questão Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Desenvolvendo e implementando uma resposta de GCN. 5a Questão Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre? Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. 6a Questão BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Qualitativae Quantitativa 7a Questão O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Desenvolvendo e Implementando"? Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. 8a Questão Na implantação da Getsão de Continuidade de Negócios. É importante que a GCN esteja no nível mais alto da organização para garantir que: As metas e objetivos definidos não sejam comprometidos por interrupções inesperadas 1a Questão Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? Comunicar-se com as partes interessadas Tomar controle da situação Afastar o incidente do cliente Confirmar a natureza e extensão do incidente Controlar o incidente 2a Questão Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ? Análise de impacto dos negócios (BIA) 3a Questão Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)? O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados. 4a Questão De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. 5a Questão Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. 6a Questão Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ? Planejamento, desenvolvimento e implementação do programa 7a Questão Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: Integridade; 8a Questão Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Desenvolvendo e implementando uma resposta de GCN. Aula 10 1a Questão Considerando que um usuário deseje enviar um e-mail criptografado, assinale a alternativa que apresenta a chave do destinatário que esse usuário deverá conhecer para realizar corretamente a criptografia. Chave pública 2a Questão Os algoritmos de criptografia podem ser classificados quanto a simetria das suas chaves. Neste sentido é correto afirmar que? A criptografia assimétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave única é aquela quando o emissor e receptor não utilizam a mesma chave A criptografia assimétrica ou de chave pública, quando o emissor e receptor só utilizam as mesmas chaves A criptografia simétrica ou de chave pública, quando o emissor e receptor não utilizam chaves diferentes A criptografia simétrica ou de chave única é aquela quando o emissor e receptor utilizam a mesma chave 3a Questão Quando tratamos de Criptografia de Chave Assimétrica ou pública quais das opções abaixo está INCORRETA : A Chave Privada deve ser mantida em segredo pelo seu Dono Chave Publica e Privada são utilizadas por algoritmos assimétricos A Chave Publica pode ser divulgada livremente Cada pessoa ou entidade mantém duas chaves A Chave Publica não pode ser divulgada livremente, somente a Chave Privada 4a Questão Ana, Bernardo e Carlos precisam se comunicar de forma segura, e, para tal, cada um possui um par de chaves assimétricas, sendo uma delas pública e a outra, privada, emitidas por autoridade certificadora confiável. Uma mensagem será enviada de Ana para Bernardo, satisfazendo às seguintes condições: 1 - a mensagem deve ser criptografada de modo que não seja interceptável no caminho; 2 - Bernardo deve poder verificar com certeza que a mensagem foi enviada por Ana; 3 - deve ser possível continuar enviando mensagens, entre as 3 pessoas, que atendam às condições anteriores. A mensagem de Ana para Bernardo deve ser assinada com a chave privada de Ana e criptografada com a chave pública de Bernardo. 5a Questão Dentre as vantagens de utilização de normas, podemos destacar as seguintes, EXCETO: Criação de vantagens competitivas Atrair e manter clientes Demonstração de liderança de mercado Compartilhamento de informações com os stakeholders Desenvolvimento e manutenção das melhores práticas 6a Questão Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos se comuniquem diretamente com sites na Internet. Neste caso você optará por implementar : Um servidor proxy 7a Questão A rede delimitadora que tem como objetivo principal segregar o ambiente interno (seguro) do ambiente externo (inseguro), é conhecida como: zona desmilitarizada (DMZ). 8a Questão O fato de se poder conectar qualquer computador em qualquer lugar a qualquer outro computador pode torná- lo vulnerável. O recurso técnico para proteger essa conexão de dados é através de: Firewall 1a Questão Você trabalha na área de administração de rede e para aumentar as medidas de segurança já implementadas pretende controlar a conexão a serviços da rede de um modo indireto, ou seja, impedindo que os hosts internos e externos se comuniquem diretamente. Neste caso você optará por implementar : Um servidor proxy 2a Questão Em relação a firewalls, analise as assertivas abaixo: I.Firewalls em estado de conexão mapeiam pacotes e usam campos cabeçalhos TCP/IP para cuidar da conectividade. II.Firewalls podem implementar gateways em nível de aplicação que examinam os pacotes por dentro, além do cabeçalho TCP/IP, para ver o que a aplicação está fazendo. III. Um problema fundamental com firewalls é que eles oferecem um único perímetro de defesa, o qual, se rompido, deixará comprometida toda a segurança. É correto o que se afirma em : I, II e III3a Questão Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados: Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. 4a Questão Analise as seguintes afirmações relacionadas à Segurança da Informação e os objetivos do controle de acesso: I. A disponibilidade é uma forma de controle de acesso que permite identificar os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado. II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente. III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifica e avalia padrões suspeitos que podem identificar um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confidenciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais. Indique a opção que contenha todas as afirmações verdadeiras. I e III. 5a Questão Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer? Hot-site 6a Questão Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é necessário determinar a estratégia de continuidade de negócios. Analise a opção que melhor retrata a estratégia a ser definida: A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. 7a Questão Qual das opções abaixo NÃO é correta quando tratamos do conceito de Perímetro de segurança e seus componentes ? Redes Não Confiáveis - Não é possível informar se necessitam de proteção. Redes Não Confiáveis - Não possuem controle da administração. Redes Desconhecidas - Não é possível informar, de modo explícito, se a rede é confiável ou não confiável. Redes Não Confiáveis - Não possuem políticas de segurança. Redes Confiáveis - Localizadas no perímetro de segurança da rede, portanto necessitam de proteção 8a Questão Que cuidado deve ser tomado no armazenamento de fitas de backup fora da organização? O local de armazenamento deve estar protegido contra acessos não autorizados.
Compartilhar