AV 2015.1 GESTÃO DE SEGURANÇA DA INFORMAÇÃO CCT0185

Prévia do material em texto

Fechar 
 
Avaliação: CCT0185_AV_ » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV 
Aluno: 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9001/AA 
Nota da Prova: 7,0 Nota de Partic.: 2 Data: 17/06/2015 20:21:24 
 
 
 1a Questão (Ref.: 201308114457) Pontos: 1,5 / 1,5 
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como 
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? 
 
 
Resposta: Prevenção e Proteção. Na prevenção são tomadas medidas de segurança para criar barreiras e evitar 
que incidentes ou impactos ocorram. Na categoria Proteção, são executadas as medias necessárias para conter 
o ataque ou reduzir o impacto após sua ocorrência. 
 
 
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das 
ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A 
proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, 
detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
 
 
 2a Questão (Ref.: 201308224731) Pontos: 1,5 / 1,5 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto., explique o elemento "Determinando a estratégia" do GCN: 
 
 
Resposta: "Determinando a estratégia" define pontos importantes do GCN. Como cada empresa é diferente uma 
das outras, deve-se determinar as estratégias apropriadas para que a organização não pare e continue 
operando em níveis aceitáveis dos seus serviços essenciais. 
 
 
Gabarito: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja 
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e 
serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 
 
 
 
 3a Questão (Ref.: 201308132853) Pontos: 0,5 / 0,5 
A demanda gradual por armazenamento de conhecimento tem levado à necessidade de administração desses 
dados de forma confiável. Qual das opções abaixo representa melhor a seqüencia na evolução do tratamento 
dos Dados para a sua utilização eficaz nas organizações? 
 
 
Dado - Conhecimento Bruto - Informação Bruta 
 Dado - Informação - Conhecimento 
 
Dado - Informação - Dados Brutos 
 
Dado - Informação - Informação Bruta 
 
Dado - Conhecimento - Informação 
 
 
 
 4a Questão (Ref.: 201308685132) Pontos: 0,5 / 0,5 
Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha 
na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um 
tamanho maior do que quando Maria iniciou a transmissão. Neste caso houve uma falha na segurança da 
informação relacionada à: 
 
 
Confidencialidade; 
 
Não-Repúdio; 
 
Autenticidade; 
 
Auditoria; 
 Integridade; 
 
 
 
 5a Questão (Ref.: 201308338992) Pontos: 0,5 / 0,5 
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas 
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as 
informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o 
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao 
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos 
definir o que são vulnerabilidades: 
 
 
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através 
da utilização de SQL. 
 
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, 
criadores e disseminadores de vírus de computadores, incendiários. 
 Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o 
aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 
 
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. 
 
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou 
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a 
computadores ou informações. 
 
 
 
 6a Questão (Ref.: 201308639472) Pontos: 0,5 / 0,5 
O que são exploits? 
 
 São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades 
conhecidas. Geralmente são escritos pelos ¿verdadeiros hackers¿ e são utilizados por pessoas sem 
conhecimento da vulnerabilidade. 
 
É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste 
programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro 
programa para se propagar. 
 
Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra 
máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o 
sistema alvo será inundado (flood) pelas respostas do servidor. 
 
Consiste no software de computador que recolhe a informação sobre um usuário do computador e 
transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento 
informado do usuário. 
 
São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito 
lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam 
testando uma a uma até achar a senha armazenada no sistema 
 
 
 
 7a Questão (Ref.: 201308132452) Pontos: 0,5 / 0,5 
Qual das opções abaixo descreve um tipo de ataque que consiste em enviar um excessivo número de pacotes 
PING para o domínio de broadcast da rede? Neste tipo de ataque o endereço de origem utilizado é o endereço IP 
da vítima desejada, de forma que todos os hosts do domínio de broadcast irão responder para este endereço IP 
, que foi mascarado pelo atacante. 
 
 
Shrink Wrap Code 
 
Phishing Scan 
 Fraggle 
 
Smurf 
 
Dumpster Diving ou Trashing 
 
 
 
 8a Questão (Ref.: 201308132467) Pontos: 0,5 / 0,5 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Manter a reputação e imagem da organização 
 
Melhorar a efetividade das decisões para controlar os riscos 
 
Melhorar a eficácia no controle de riscos 
 
 
 
 9a Questão (Ref.: 201308132842) Pontos: 1,0 / 1,0 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais 
das empresas de TI. 
 
implementou um sistema para gerência da segurança da informaçãode acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
 
 
 
 10a Questão (Ref.: 201308135611) Pontos: 0,0 / 1,0 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha 
como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? 
 
 
Não-Repúdio; 
 Autenticidade; 
 
Auditoria; 
 
Integridade; 
 Confidencialidade; 
 
 
 
Período de não visualização da prova: desde 12/06/2015 até 25/06/2015.