AV 2 - Gestão de segurança da informação

Prévia do material em texto

04/12/13 BDQ Prova 
f ile:///D:/Documents/My Box Files/Faculdade/2º período/Gestão de Segurança da Informação/Estácio_files/bdq_prova_resultado_preview_aluno.htm 1/3 
 
Avaliação: » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 
 Professor: SHEILA DE GOES MONTEIRO Turma: 9018/R 
Nota da Prova: Nota do Trab.: Nota de Partic.: Data: 30/11/2013 09:00:32 
 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes PING 
para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP da vítima 
desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP , que foi 
mascarado pelo atacante. 
Dumpster Diving ou Trashing 
Phishing Scan 
Smurf 
Shrink Wrap Code 
Fraggle 
 
Maria trabalha como engenheira química de uma importante empresa do ramo farmaceútico em um projeto inédito e 
que irá permitir a sua empresa obter um diferencial competitivo em relação aos concorrentes. As informações com 
que Maria trabalha deve ser classificada como interna e restrita a um grupo seleto dentro da organização, devendo a 
sua integridade ser preservada a qualquer custo e o acesso bastante limitado e seguro, sendo vital para a 
companhia. Em qual nível de segurança a informação deve ser classificada? 
Proibida 
Secreta Interna 
Pública 
Confidencial 
 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender a 
liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, Visa, 
Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado hospedagem, 
bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo vazamento de mais 
de 250 000 documentos diplomáticos americanos, Qual você acha que seria a vulnerabilidade neste ataque? 
 Vulnerabilidade Mídia 
Vulnerabilidade de Software 
Vulnerabilidade de Comunicação 
Vulnerabilidade Física 
 Vulnerabilidade Natural 
 
 1 a Questão (Ref.: 201301760870) Pontos: 0 , 0 / 0 , 5 
 2 
a Questão (Ref.: 201301764021) Pontos: 0 , 5 / 0 , 5 
 3 a Questão (Ref.: 201301834895) Pontos: 1 , 0 / 1 , 0 
 4 a Questão ( Ref.: 201301841532) Pontos: Sem Correç. / 1 , 5 
 
 
 
 
04/12/13 BDQ Prova 
f ile:///D:/Documents/My Box Files/Faculdade/2º período/Gestão de Segurança da Informação/Estácio_files/bdq_prova_resultado_preview_aluno.htm 2/3 
Identificar as vulnerabilidades que podem contribuir para as ocorrências de incidentes de segurança é um aspecto 
importante na identificação de medidas adequadas de segurança. Qual a diferença entre análise de vulnerabilidade, 
teste de vulnerabilidade e pesquisa de vulnerabilidade? 
Resposta: Análise - Verificar o(s) risco(s) associado(s) a essa vulnerabilidade; Teste - Verificar o(s) impacto(s) que 
esta(s) vulnerabilidade(s) pode(m) causar como forma a conceber possíveis soluções; Pesquisa - Verificar 
vulnerabilidades que não estão aparentes, não sabidas de ante mão pela Gestão de Segurança da Informação 
Gabarito: Análise vulnerabilidade: Verificar a existência de falhas de segurança no ambiente de TI das empresas. 
Teste de vulnerabilidade: Determinação de que falhas de segurança podem ser aplicadas à máquina ou rede alvo. 
Pesquisa de vulnerabilidade: Significa descobrir as falhas e deficiência em um produto ou aplicação que podem 
comprometer a segurança. 
 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo Fraggle e do tipo Smurf. 
Resposta: Smurf - Utiliza geralmente emails que ofereçam alguma vantagem extraordinária ao receptor da 
mensagem; 
Gabarito: Um ataque do tipo Fraggle consitem no envio de um excessivo número de pacotes PING para o domínio de 
broadcast da rede, tendo como endereço IP de origem, a vítima desejada. Dessa forma todos os hosts do domínio de 
broadcast irão responder para o endereço IP da vítima, que foi mascarado pelo atacante, ficando desabilitada de suas 
funções normais. Já um ataque do tipo smurf é idêntico ao atque Fraggle, alterando apenas o fato que utiliza-se de 
pacotes do protocolo UDP. 
 
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos por 
meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das ameaças 
quanto a sua intencionalidade? 
 Naturais, Voluntarias e Obrigatórias. 
Naturais, Involuntárias e Voluntarias. 
Naturais, Voluntarias e Vulneráveis. 
Naturais, Involuntárias e Obrigatórias. 
Ocasionais, Involuntárias e Obrigatórias. 
 
Um IDS pode implementar diversos algoritmos de detecção de ataque. Qual das alternativas abaixo está INCORRETA 
quando tratamos de mecanismos (algoritmos) de detecção utilizando algoritmo de detecção por anomalia? 
 Os dados coletados são armazenados com registros históricos da atividade considerada anormal do sistema 
 Os dados coletados são comparados com registros históricos da atividade considerada normal do sistema 
 Os dados coletados são comparados com registros recentes da atividade considerada anormal do sistema 
 Os dados coletados não são armazenados com registros históricos da atividade considerada normal do sistema 
 Os dados coletados não são comparados com registros históricos da atividade não considerada normal do 
sistema 
 
 5 a Questão ( Ref.: 201301841537) Pontos: Sem Correç. / 1 , 5 
 6 a Questão ( Ref.: 201301760808) Pontos: 0 , 5 / 0 , 5 
 7 a Questão ( Ref.: 201301841570) Pontos: 0 , 0 / 0 , 5 
 
 
 8 a Questão ( Ref.: 201301761260) Pontos: 1 , 0 / 1 , 0 
 
04/12/13 BDQ Prova 
f ile:///D:/Documents/My Box Files/Faculdade/2º período/Gestão de Segurança da Informação/Estácio_files/bdq_prova_resultado_preview_aluno.htm 3/3 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização 
certificada: 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores 
práticas de segurança reconhecidas no mercado 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança 
de empresas de maior porte reconhecidas no mercado. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das 
empresas de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança 
dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de 
segurança dos Gerentes de TI. 
 
Qual das opções abaixo completa a sentença: ¿Quanto maior a probabilidade de uma determinada ameaça ocorrer e 
o impacto que ela trará, maior será _________.¿ 
 O valor do Impacto. 
O risco associado a ameaça. 
A Vulnerabilidade do Risco. 
O risco associado a este incidente. A 
Vulnerabilidade do Ativo. 
 
A informação também possui seu conceito de valor e que está associado a um contexto, podendo gerar lucros ou ser 
alavancadora de vantagem competitiva e até mesmo possuir pouco ou nenhum valor. Qual das opções abaixo 
apresenta os quatro aspectos importantes para a classificação das informações? 
Confiabilidade, integridade, risco e valor. 
Confidencialidade, vulnerabilidade, disponibilidade e valor. 
Confidencialidade, integridade, disponibilidade e valor. 
Confidencialidade, integridade, disponibilidade e vulnerabilidade . 
Confiabilidade, integridade, vulnerabilidade e valor. 
Período de não visualizaçãoda prova: desde 21/11/2013 até 03/12/2013. 
 
 
 
 9 a Questão ( Ref.: 201301764018) Pontos: 0 , 0 / 0 , 5 
 10 a Questão ( Ref.: 201301764074) Pontos: 0 , 5 / 0 , 5