Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fechar Avaliação: CCT0059_AV3_201201636973 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV3 Aluno: 201201636973 - HEITOR OLIVEIRA GONÇALVES Professor: RENATO DOS PASSOS GUIMARAES Turma: 9019/S Nota da Prova: 8,0 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 27/06/2015 11:19:36 1 a Questão (Ref.: 201201762834) Pontos: 1,0 / 1,0 A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão da área comercial. A gestão dos usuários. A gestão dos negócios da organização . A gestão do ciclo da informação interna. A gestão de orçamento. 2 a Questão (Ref.: 201201762835) Pontos: 1,0 / 1,0 As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação? Impacto presente ou associada a ativos que manipulam ou processam informações. Ameaça presente ou associada a ativos que manipulam ou processam informações. Fragilidade presente ou associada a ameaças que manipulam ou processam informações . Fragilidade presente ou associada a ativos que manipulam ou processam informações . Fragilidade presente ou associada a ativos que exploram ou processam informações . 3 a Questão (Ref.: 201201945839) Pontos: 1,0 / 1,0 Observe a figura acima e complete corretamente a legenda dos desenhos: Ataques, vulnerabilidades, incidentes de segurança, clientes e produtos, negócios Incidentes de segurança, vulnerabilidades, vulnerabilidade, segurança, negócios Agentes ameaçadores, vulnerabilidades, incidente de segurança, Negócios, clientes e produtos Ameaças, incidentes de segurança, incidentes de segurança, negócios, clientes e produtos Vulnerabilidades, ameaças, ataques, clientes e produtos, negócios 4 a Questão (Ref.: 201201945842) Pontos: 1,0 / 1,0 As ameaças podem ser classificadas quanto a sua origem: interna ou externa e quanto a sua intencionalidade: Intencional, presencial e remota Natural, presencial e remota Voluntária, involuntária e intencional Intencional, proposital e natural Natural, voluntária e involuntária 5 a Questão (Ref.: 201201759606) Pontos: 1,0 / 1,0 Um hacker está planejando um ataque a uma importante empresa de E-commerce. Desta forma será necessário levantar quais os serviços de rede estão disponíveis na rede da empresa. Para alcançar o seu objetivo o invasor tentará levantar estas informações através da escuta das portas do protocolo TCP e UDP. Neste caso estamos nos referindo a um ataque do tipo: SYN Flooding Three-way-handshake Port Scanning Fraggle Fragmentação de Pacotes IP 6 a Questão (Ref.: 201201929292) Pontos: 1,0 / 1,0 Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. 7 a Questão (Ref.: 201201759987) Pontos: 0,0 / 1,0 A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança dos Ativos. Segurança em Recursos Humanos. Controle de Acesso. Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. 8 a Questão (Ref.: 201202311192) Pontos: 1,0 / 1,0 Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Aplicar controles apropriados para reduzir os riscos. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Corrigir os riscos de segurança presentes. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. 9 a Questão (Ref.: 201201966539) Pontos: 1,0 / 1,0 Uma empresa teve a sua sala de servidores incendiadas e com isso perdeu todos os dados importantes para a empresa, mas ela estava preparada para a continuidade dos negócios, o que você acha que foi importante para a recuperação destes dados: Eles tinham um IDS que tem como principal objetivo reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede. A empresa possuía um FIREWALL que isolam a rede interna da organização da área pública da Internet, permitindo que alguns pacotes passem e outros não, prevenindo ataques de negação de serviço ou modificações e acessos ilegais aos dados internos. Eles dispunham de uma DMZ que são pequenas redes que geralmente contém serviços públicos que são conectados diretamente ao firewall ou a outro dispositivo de filtragem e que recebem a proteção deste dispositivo. Havia uma VPN interligando várias Intranets através da Internet. Na empresa haviam Backups ou cópias de segurança que são itens muito importantes na administração de sistemas devendo fazer parte da rotina de operação dos sistemas da organização, através de uma política pré-determinada. 10 a Questão (Ref.: 201201966397) Pontos: 0,0 / 1,0 O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"? Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. A organizaçãoprecisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa. Período de não visualização da prova: desde 01/07/2015 até 02/07/2015.
Compartilhar