GESTÃO DE SEGURANÇA DA INFORMAÇÃO 08_07_2015

Prévia do material em texto

Fechar 
 
Avaliação: CCT0059_AV3_201201636973 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Tipo de Avaliação: AV3 
Aluno: 201201636973 - HEITOR OLIVEIRA GONÇALVES 
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9019/S 
Nota da Prova: 8,0 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 27/06/2015 11:19:36 
 
 
 1
a
 Questão (Ref.: 201201762834) Pontos: 1,0 / 1,0 
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado 
um elemento fundamental para: 
 
 A gestão da área comercial. 
 A gestão dos usuários. 
 A gestão dos negócios da organização . 
 A gestão do ciclo da informação interna. 
 A gestão de orçamento. 
 
 
 
 2
a
 Questão (Ref.: 201201762835) Pontos: 1,0 / 1,0 
As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas 
áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e 
humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o 
melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? 
 
 Impacto presente ou associada a ativos que manipulam ou processam informações. 
 Ameaça presente ou associada a ativos que manipulam ou processam informações. 
 Fragilidade presente ou associada a ameaças que manipulam ou processam informações . 
 Fragilidade presente ou associada a ativos que manipulam ou processam informações . 
 Fragilidade presente ou associada a ativos que exploram ou processam informações . 
 
 
 
 3
a
 Questão (Ref.: 201201945839) Pontos: 1,0 / 1,0 
 
Observe a figura acima e complete corretamente a legenda dos desenhos: 
 
 
 Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios 
 Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios 
 Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos 
 Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos 
 Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 
 
 
 
 4
a
 Questão (Ref.: 201201945842) Pontos: 1,0 / 1,0 
As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua 
intencionalidade: 
 
 Intencional, presencial e remota 
 Natural, presencial e remota 
 Voluntária, involuntária e intencional 
 Intencional, proposital e natural 
 Natural, voluntária e involuntária 
 
 
 
 5
a
 Questão (Ref.: 201201759606) Pontos: 1,0 / 1,0 
Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será 
necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o 
seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo 
TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: 
 
 SYN Flooding 
 Three-way-handshake 
 Port Scanning 
 Fraggle 
 Fragmentação de Pacotes IP 
 
 
 
 6
a
 Questão (Ref.: 201201929292) Pontos: 1,0 / 1,0 
Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira 
corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma 
combinação de ambas. Neste sentido podemos definir a barreira "Detectar": 
 
 Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. 
 Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. 
 Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os 
acessos, definindo perfis e autorizando permissões. 
 Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. 
 Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. 
 
 
 
 7
a
 Questão (Ref.: 201201759987) Pontos: 0,0 / 1,0 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não 
autorizado, danos e interferências com as instalações e informações da organização. Neste caso a 
NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: 
 
 Segurança dos Ativos. 
 Segurança em Recursos Humanos. 
 Controle de Acesso. 
 Segurança Física e do Ambiente. 
 Gerenciamento das Operações e Comunicações. 
 
 
 
 8
a
 Questão (Ref.: 201202311192) Pontos: 1,0 / 1,0 
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de 
Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de 
riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo 
apresentam possíveis opções para o tratamento do risco, exceto: 
 
 Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. 
 Aplicar controles apropriados para reduzir os riscos. 
 Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da 
organização e aos critérios para a aceitação do risco. 
 Corrigir os riscos de segurança presentes. 
 Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 
 
 
 
 9
a
 Questão (Ref.: 201201966539) Pontos: 1,0 / 1,0 
Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados 
importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você 
acha que foi importante para a recuperação destes dados: 
 
 Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma 
ação intrusiva, através da análise das informações disponíveis em um sistema de computação 
ou rede. 
 A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública 
da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de 
negação de serviço ou modificações e acessos ilegais aos dados internos. 
 Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços 
públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que 
recebem a proteção deste dispositivo. 
 Havia uma VPN interligando várias Intranets através da Internet. 
 Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na 
administração de sistemas devendo fazer parte da rotina de operação dos sistemas da 
organização, através de uma política pré-determinada. 
 
 
 
 10
a
 Questão (Ref.: 201201966397) Pontos: 0,0 / 1,0 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e 
que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. 
Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas 
necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o 
elemento "Entendendo a Organização"? 
 
 Para o estabelecimento do programa de GCN é necessário entender a organização para definir 
a priorização dos produtos e serviços da organização e a urgência das atividades que são 
necessárias para fornecê-los. 
 O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma 
estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios 
e planos de recuperação que irão detalhar os passos a serem tomados durante e após um 
incidente , para manter ou restaurar as operações. 
 A organizaçãoprecisa verificar se suas estratégicas e planos estão completos, atualizados e 
precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda 
identificada as oportunidades de melhorias possíveis. 
 A determinação da estratégia de continuidade de negócio permite que uma resposta 
apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa 
continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de 
tempo aceitável durante e logo após uma interrupção. 
 Para que às partes interessadas tenham confiança quanto à capacidade da organização de 
sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos 
valores da organização, através da sua inclusão na cultura da empresa. 
 
 
 
Período de não visualização da prova: desde 01/07/2015 até 02/07/2015.