2015 AV3 GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 1/3
   Fechar
Avaliação: CCT0059_AV3_201308092601 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV3
Aluno: 201308092601 ­ LUCIANO DA SILVA PIRES DE ALMEIDA
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9004/D
Nota da Prova: 8,0 de 10,0         Nota do Trab.: 0        Nota de Partic.: 0        Data: 04/07/2015 09:13:10
  1a Questão (Ref.: 201308163989) Pontos: 1,0  / 1,0
Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor . Qual das
opções abaixo não representa um dos possíveis conceitos fundamentais do valor atribuído às informações para
as organizações quando tratamos de Segurança da Informação?
Valor de restrição.
Valor de propriedade.
Valor de uso.
Valor de troca.
  Valor de orçamento.
  2a Questão (Ref.: 201308335657) Pontos: 1,0  / 1,0
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de
usuários denominados ¿engenheiros¿. Após várias consultas com respostas corretas e imediatas, em um
determinado momento, um usuário pertencente ao grupo ¿engenheiros¿ acessa o sistema em busca de uma
informação já acessada anteriormente e não consegue mais acessá­la. Neste caso houve uma falha na
segurança da informação para este sistema na propriedade relacionada à:
  Disponibilidade
Confidencialidade
Integridade
Auditoria
Privacidade
  3a Questão (Ref.: 201308330392) Pontos: 1,0  / 1,0
As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode
dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades
de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a
Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
  Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 2/3
  4a Questão (Ref.: 201308160835) Pontos: 1,0  / 1,0
Podemos dizer que os controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o
grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua
capacidade de gerar efeitos adversos na organização são consideradas:
Métodos Quantitativos
Métodos Detectivos
  Medidas Preventivas
Medidas Corretivas e Reativas
Medidas Perceptivas
  5a Questão (Ref.: 201308160812) Pontos: 0,0  / 1,0
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para
realizar um Ataque de Segurança :
  Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
  Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
  6a Questão (Ref.: 201308693430) Pontos: 1,0  / 1,0
Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de
incidentes sequencialmente ?
  Ameaça, incidente, impacto e recuperação
Incidente, impacto, ameaça e recuperação
Ameaça, impacto, incidente e recuperação
Impacto, ameaça, incidente e recuperação
Incidente, recuperação, impacto e ameaça
  7a Questão (Ref.: 201308725243) Pontos: 1,0  / 1,0
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve
ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados
necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os
riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se
necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22685%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%220%22%… 3/3
III e IV.
II.
I e II.
  II e III.
I e III.
  8a Questão (Ref.: 201308678521) Pontos: 1,0  / 1,0
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da
informação?
Segregação de funções.
Procedimentos elaborados.
Auditoria.
Suporte técnico.
  Conscientização dos usuários.
  9a Questão (Ref.: 201308241514) Pontos: 0,0  / 1,0
Você está trabalhando em um projeto de rede para a empresa XPTO. A empresa pretende implantar um
servidor de banco de dados somente para consulta dos usuários internos da organização. Em qual tipo de rede
você localizaria este servidor considerando que você irá utilizar o conceito de perímetro de segurança?
  na rede interna da organização
na Zona Demilitarizada (DMZ) suja
ligado diretamente no roteador de borda
  na Zona Demilitarizada (DMZ) protegida
em uma subrede externa protegida por um proxy
  10a Questão (Ref.: 201308678523) Pontos: 1,0  / 1,0
Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de
Desastres (PRD)?
O PCN só pode ser implementado se o PRD já tiver em uso.
O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre
somente os ativos de informação.
O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN
foca­se na continuidade para todos os processos.
O PRD é mais abrangente que o PCN.
  O PCN foca­se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação
dos danos causados.