Gestão de Segurança da Inforamção Av2

Prévia do material em texto

18/06/2015 BDQ Prova
file:///C:/Users/Rodrigo/Desktop/Est%E1cio_files/bdq_prova_resultado_preview_aluno.html 1/4
 
Avaliação: CCT0059_AV2_ (AG) » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV2
Aluno:
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9019/S
Nota da Prova: 4,5 de 7,5         Nota do Trab.: 0        Nota de Partic.: 2        Data: 09/06/2015 21:11:03
  1a Questão (Ref.: 201301666776) Pontos: 0,5  / 1,5
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um
aspecto importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de
vulnerabilidade, teste de vulnerabilidade e pesquisa de vulnerabilidade?
Resposta: Analise = procurar por vulnerabilidades Teste = testar e consertar vulnerabilidades pesquisa =
pesquisar sobre possiveis ameaças
Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das
empresas. Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina
ou rede alvo. Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou
aplicação que podem comprometer a segurança.
  2a Questão (Ref.: 201301678390) Pontos: 0,5  / 1,5
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua
gestão e utiliza como modelo o Plan­Do­Check­Act (PDCA), aplicado para estruturar todos os processos do
SGSI, explique a etapa "Check" do PDCA:
Resposta: Consiste em analisar todos os pontos para enfim proseguir com o PDCA
Gabarito: Check (monitorar e analisar criticamente o SGSI): ­ A organização deve implementar procedimentos
de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e
violações de segurança bem­sucedida, e os incidente de segurança da informação. ­ Os procedimentos de
análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança,
dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise
crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em
função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser
atualizados.
  3a Questão (Ref.: 201302103814) Pontos: 0,5  / 0,5
Ao elaborar e comunicar uma Política de Segurança da Informação é necessário:
 
I. Usar uma linguagem conhecida.
II. Usar meios adequados aos tipos de mensagens e usuários.
III. Adotar estilo simples e claro.
IV. Respeitar o interlocutor sem superestimá­lo nem subestimá­lo.
18/06/2015 BDQ Prova
file:///C:/Users/Rodrigo/Desktop/Est%E1cio_files/bdq_prova_resultado_preview_aluno.html 2/4
V. Respeitar a cultura organizacional e a do país a que se destina.
As alternativas I, III, IV e V estão corretas, mas a II está errada pois este é um item irrelevante no
contexto da política de segurança.
As alternativas I, II, III e IV estão corretas, mas a V está errada porque a política é única, mesmo para
uma multinacional, e as características humanas e legais do país na qual é aplicada não podem interferir
na sua tradução.
As alternativas I, II, III e V estão corretas, mas a IV está errada porque deve supor­se que todos os
usuários foram selecionados pela empresa, portanto entendem a tecnologia usada.
As alternativas I, II, IV e V estão corretas, mas a III está errada porque uma política deve ser
construída considerando­se uma linguagem tecnológica independentemente dos tipos de usuários a que
se destina.
  As alternativas I, II, III, IV e V estão corretas, pois ao elaborar uma política é necessário que ela seja
ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.
  4a Questão (Ref.: 201301755687) Pontos: 0,5  / 0,5
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
  Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
  5a Questão (Ref.: 201301586063) Pontos: 0,5  / 0,5
Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
Passivo
Fraco
Secreto
Forte
  Ativo
  6a Questão (Ref.: 201302096179) Pontos: 0,5  / 0,5
Desde o aparecimento do primeiro spam, em 1994, a prática de enviar e­mails não solicitados tem sido aplicada
com vários objetivos distintos e também utilizando diferentes aplicativos e meios de propagação na rede. Os
tipos de spam identificados até o momento são: correntes, boatos, lendas urbanas, propagandas, ameaças,
pornografia, códigos maliciosos, fraudes e golpes.
É muito importante que se saiba como identificar os spams, para poder detectá­los mais facilmente e agir
adequadamente. Dentre as afirmativas abaixo marque aquelas que podemos assinalar como sendo as principais
características dos spams:
I. Apresentam cabeçalho suspeito. 
II. Apresentam no campo Assunto palavras com grafia errada ou suspeita. 
III. Apresentam no campo Assunto textos alarmantes ou vagos. 
IV. Oferecem opção de remoção da lista de divulgação. 
V. Prometem que serão enviados "uma única vez. 
VI. Baseiam­se em leis e regulamentações inexistentes.
Estão corretas:
18/06/2015 BDQ Prova
file:///C:/Users/Rodrigo/Desktop/Est%E1cio_files/bdq_prova_resultado_preview_aluno.html 3/4
  Todas as afirmativas estão corretas
II, IV e VI
I, II, III, V e VI
Nenhuma afirmativa está correta
I, III e V
  7a Questão (Ref.: 201302118725) Pontos: 0,5  / 0,5
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de
incidentes sequencialmente ?
Incidente, impacto, ameaça e recuperação
Impacto, ameaça, incidente e recuperação
Incidente, recuperação, impacto e ameaça
Ameaça, impacto, incidente e recuperação
  Ameaça, incidente, impacto e recuperação
  8a Questão (Ref.: 201301762039) Pontos: 1,0  / 1,0
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento
de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança
da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI­
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO ­ a organização deve inicialmente definir:
A abordagem de análise/avaliação das vulnerabilidades da organização.
  Identificar, Analisar e avaliar os riscos.
A política do BIA.
A politica de gestão de continuidade de negócio.
Identificar e avaliar as opções para o tratamento das vulnerabilidades.
  9a Questão (Ref.: 201301792885) Pontos: 0,0  / 1,0
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tiposde organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto. Como podemos definir o elemento "Determinando a Estratégia"?
  A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O
GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades
de melhorias possíveis.
  Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a
organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade
de tempo aceitável durante e logo após uma interrupção.
O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de
gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de
recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou
restaurar as operações.
Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a
interrupções, a Gestão de continuidade de negócio deverá torna­se parte dos valores da organização,
através da sua inclusão na cultura da empresa.
Para o estabelecimento do programa de GCN é necessário entender a organização para definir a
priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para
fornecê­los.
18/06/2015 BDQ Prova
file:///C:/Users/Rodrigo/Desktop/Est%E1cio_files/bdq_prova_resultado_preview_aluno.html 4/4
Período de não visualização da prova: desde até .