AV_GESTAO_DE_SEGURANCA_DA_INFORMACAO_2015.1

Prévia do material em texto

27/06/2015 Estácio
data:text/html;charset=utf­8,%3Cform%20name%3D%22form%22%20method%3D%22post%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%2… 1/3
   Fechar
Avaliação: CCT0185_AV_  » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV
Aluno:   
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9003/AC
Nota da Prova: 7,0        Nota de Partic.: 1,5        Data: 18/06/2015 19:00:01
  1a Questão (Ref.: 201407499185) Pontos: 1,5  / 1,5
Entre os tipos de ataques existentes, descreva as diferenças entre um ataque do tipo SQL Injection e um ataque
de Buffer Overflow?
Resposta: Os ataques do tipo SQL injection, exploram sistemas que utilizam consulta a base de dados através
de comandos SQL, o atacante realiza uma instrução SQL para realizar o ataque. Ataques de Buffer Overflow
ocorrem em sistemas que esperam entrada de dados, o atacante insere uma informação não esperada no
sistema que pode provocar congelamento e a partir daí realizar as ações indevidas.
Gabarito: Ataque do tipo SQL Injection é um tipo de ataque que se aproveita de falhas em sistemas que
interagem com bases de dados através da utilização de SQL. A injeção de SQL ocorre quando o atacante
consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação das
entrada de dados de uma aplicação. Já o ataque de Buffer overflow consiste em enviar para um programa que
espera por uma entrada de dados qualquer, informações inconsistentes ou que não estão de acordo com o
padrão de entrada de dados.
  2a Questão (Ref.: 201407510794) Pontos: 1,5  / 1,5
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua
gestão e utiliza como modelo o Plan­Do­Check­Act (PDCA), aplicado para estruturar todos os processos do
SGSI, explique a etapa "Act" do PDCA:
Resposta: Act ­ Manter e Melhorar ­ Nessa etapa, os processos já estão implementados e sempre devem ser
mantidos e melhorados a medida que for surgindo a necessidade. Na maioria das vezes existirá oportunidade
de melhoria nos SGSI.
Gabarito: Act (Manter e melhorar o SGSI): ­ A organização deve implementar as melhorias identificadas no
SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
  3a Questão (Ref.: 201407421537) Pontos: 0,5  / 0,5
Com o crescimento da internet, das tecnologias e aplicações a ela relacionadas e principalmente na forma como
a tecnologia da informação tem apóiado as operações das empresas, qual das opções abaixo não é verdadeira
quando tratamos do conceito de ¿Informação¿ ?
A informação é vital para o processo de tomada de decisão de qualquer corporação.
É necessário disponibilizá­la para quem tem a real necessidade de conhecê­la.
Pode conter aspectos estratégicos para a Organização que o gerou.
É fundamental proteger o conhecimento gerado.
27/06/2015 Estácio
data:text/html;charset=utf­8,%3Cform%20name%3D%22form%22%20method%3D%22post%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%2… 2/3
  Deve ser disponibilizada sempre que solicitada.
  4a Questão (Ref.: 201407421667) Pontos: 0,5  / 0,5
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿auditores¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿auditores¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá­la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
Integridade;
Privacidade;
Confidencialidade;
  Disponibilidade;
Não­repúdio;
  5a Questão (Ref.: 201407492540) Pontos: 0,5  / 0,5
Ataque ao site do IBGE ­ Jun de 2011. O site do IBGE foi atacado e seu site posteriormente ficou fora do ar,
antes foi deixada uma mensagem informando : "Este mês, o governo vivenciará o maior número de ataques de
natureza virtual na sua história feito pelo fail shell". Foi um ataque orquestrado, não só para este site mas para
varias instituições governamentais, acredita­se que foram utilizados mais de 2 bilhões de acesso no caso foi
utilizado um Denial­of service.. O banco de dados IBGE não foi afetado, o portal é mais informativo, não
comprometendo aos dados internos e criticos que não devem ser divulgados. Qual você acha que foi a
vulnerabilidade para este ataque?
Vulnerabilidade Comunicação
Vulnerabilidade Natural
Vulnerabilidade Mídias
  Vulnerabilidade Software
Vulnerabilidade Física
  6a Questão (Ref.: 201407418455) Pontos: 0,5  / 0,5
As ameaças são agentes ou condições que causam incidentes que comprometem as informações e seus ativos
por meio da exploração de vulnerabilidades. Qual das opções abaixo apresenta as possíveis classificações das
ameaças quanto a sua intencionalidade?
  Naturais, Involuntárias e Voluntarias.
Naturais, Voluntarias e Obrigatórias.
Naturais, Voluntarias e Vulneráveis.
Ocasionais, Involuntárias e Obrigatórias.
Naturais, Involuntárias e Obrigatórias.
  7a Questão (Ref.: 201407950985) Pontos: 0,5  / 0,5
Qual o nome do código malicioso que tem o intuito de após uma invasão, permitir posteriormente o acesso à
máquina invadida para o atacante ?
  Backdoor
Worm
Spam
0Day
27/06/2015 Estácio
data:text/html;charset=utf­8,%3Cform%20name%3D%22form%22%20method%3D%22post%22%20style%3D%22color%3A%20rgb(0%2C%200%2C%2… 3/3
Rootkit
  8a Questão (Ref.: 201407418532) Pontos: 0,5  / 0,5
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco:
  Eliminar os riscos completamente e não precisar mais tratá­los
Melhorar a eficácia no controle de riscos
Manter a reputação e imagem da organização
Melhorar a efetividade das decisões para controlar os riscos
Entender os riscos associados ao negócio e a gestão da informação
  9a Questão (Ref.: 201407418871) Pontos: 1,0  / 1,0
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são
definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à
sua gestão de acordo com a visão estratégica da alta direção?
Procedimentos.
Normas.
Manuais.
Relatório Estratégico.
  Diretrizes.
  10a Questão (Ref.: 201407928650) Pontos: 0,0  / 1,0
Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa
estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que
detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações.
No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento:
  Entendendo a organização.
Incluindo a GCN na cultura da organização.
Determinando a estratégia de continuidade de negócios.
Testando, mantendo e analisando criticamente os preparativos de GCN.
  Desenvolvendo e implementando uma resposta de GCN.
Período de não visualização da prova: desde 12/06/2015 até 25/06/2015.