gestão segurança da informação

Prévia do material em texto

Fechar 
 
Avaliação: CCT0059_AV2_ GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV2 
Aluno: 
Professor: SERGIO RODRIGUES AFFONSO FRANCO Turma: 9014/N 
Nota da Prova: 2,0 de 8,0 Nota do Trab.: 0 Nota de Partic.: 2 Data: 05/06/2015 20:19:09 
 
 
 1a Questão (Ref.: 201402152739) Pontos: 0,0 / 1,5 
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque 
de Buffer Overflow? 
 
 
Resposta: 
 
 
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que 
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante 
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das 
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que 
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o 
padrão de entrada de dados. 
 
 
Fundamentação do(a) Professor(a): Resposta errada 
 
 
 
 2a Questão (Ref.: 201402075239) Pontos: 0,5 / 0,5 
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de 
usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o 
sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso 
houve uma falha na segurança da informação para este sistema na propriedade relacionada à: 
 
 
Integridade; 
 Confidencialidade; 
 
Disponibilidade; 
 
Não-Repúdio; 
 
Auditoria; 
 
 
 
 3a Questão (Ref.: 201402258305) Pontos: 1,0 / 1,5 
No contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, como as 
organizações conseguem identificar as atividades críticas e que serão utilizadas para o perfeito 
dimensionamento das demais fases de elaboração do plano de continuidade ? 
 
 
Resposta: Atravez da implantação da GNC as organizações podem traçar planos baseados em normas NBR ISO/ 
para gerenciamento de incidentes, e elaborar passo a passo, planos de continuidade, para gerenciamento de um 
incidente afim de manter a operação daquela organização. 
 
 
Gabarito: Através da análise de impacto dos negócios (BIA) que documenta o impacto das atividades que 
suportam os produtos e serviços de uma organização. 
 
 
Fundamentação do(a) Professor(a): Resposta parcialmente correta 
 
 
 
 4a Questão (Ref.: 201402072473) Pontos: 0,5 / 0,5 
Com relação à afirmação ¿São as vulnerabilidades que permitem que as ameaças se concretizem¿ podemos 
dizer que: 
 
 A afirmativa é verdadeira. 
 
A afirmativa é verdadeira somente para vulnerabilidades lógicas. 
 
A afirmativa é verdadeira somente para vulnerabilidades físicas. 
 
A afirmativa é falsa. 
 
A afirmativa é verdadeira somente para ameaças identificadas. 
 
 
 
 5a Questão (Ref.: 201402075245) Pontos: 0,0 / 0,5 
Um fator importante em um processo de classificação da informação é o nível de ameaça conhecido que cada 
informação tem . Quando uma informação é classificada como aquela que a organização não tem interesse em 
divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado, porém caso seja disponibilizada 
não causará danos sérios à organização, podemos afirmar que ela possui qual nível de segurança? 
 
 
Confidencial. 
 Interna. 
 
Secreta. 
 
Irrestrito. 
 Pública Confidencial. 
 
 
 
 6a Questão (Ref.: 201402071996) Pontos: 0,0 / 0,5 
Um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, 
isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador 
pode ser descrito como sendo um: 
 
 
backdoor 
 
exploit 
 spyware 
 
keylogger 
 vírus 
 
 
 
 7a Questão (Ref.: 201402623636) Pontos: 0,0 / 0,5 
João é analista de segurança da empresa Ypisol e percebeu que alguém está tentando derrubar à rede através 
do envio de um grande número de requisições de conexão (pacotes SYN) para o servidor WEB da empresa. Qual 
o tipo de ataque que o invasor está tentando utilizar? 
 
 
Fraggle 
 Ip Spoofing 
 
Port Scanning 
 SYN Flooding 
 
Fragmentação de pacotes IP 
 
 
 
 8a Questão (Ref.: 201402604674) Pontos: 0,0 / 0,5 
Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações 
confidenciais em lixos ? 
 
 
DoS 
 Backdoor 
 Dumpster diving 
 
Adware 
 
Defacement 
 
 
 
 9a Questão (Ref.: 201402072098) Pontos: 0,0 / 1,0 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 
 ISO/IEC 27001 
 
ISO/IEC 27003 
 
ISO/IEC 27004 
 ISO/IEC 27005 
 
ISO/IEC 27002 
 
 
 
 10a Questão (Ref.: 201402582204) Pontos: 0,0 / 1,0 
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa 
estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que 
detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. 
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: 
 
 
Testando, mantendo e analisando criticamente os preparativos de GCN. 
 Incluindo a GCN na cultura da organização. 
 
Determinando a estratégia de continuidade de negócios. 
 
Entendendo a organização. 
 Desenvolvendo e implementando uma resposta de GCN.