Baixe o app para aproveitar ainda mais
Prévia do material em texto
08/07/2015 Estácio data:text/html;charset=utf8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 1/3 Fechar Avaliação: CCT0059_AV3_201308093081 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO Tipo de Avaliação: AV3 Aluno: 201308093081 DANIELA BOMFIM MALOPER Professor: RENATO DOS PASSOS GUIMARAES Turma: 9012/L Nota da Prova: 6,0 de 10,0 Nota do Trab.: 0 Nota de Partic.: 0 Data: 04/07/2015 09:13:29 1a Questão (Ref.: 201308164510) Pontos: 0,0 / 1,0 Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade¿. Esta afirmação é: verdadeira se considerarmos que o nível não deve ser mudado. verdadeira, pois a classificação da informação pode ser sempre reavaliada. verdadeira desde que seja considerada que todas as informações são publicas. falsa, pois a informação não deve ser avaliada pela sua disponibilidade. falsa, pois não existe alteração de nível de segurança de informação. 2a Questão (Ref.: 201308164553) Pontos: 1,0 / 1,0 A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um elemento fundamental para: A gestão dos negócios da organização . A gestão da área comercial. A gestão de orçamento. A gestão do ciclo da informação interna. A gestão dos usuários. 3a Questão (Ref.: 201308367887) Pontos: 1,0 / 1,0 Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas devese imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades: Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários. São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc. É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL. 08/07/2015 Estácio data:text/html;charset=utf8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 2/3 Pontos fracos em que os ativos estão suscetíveis a ataques fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações. 4a Questão (Ref.: 201308330944) Pontos: 0,0 / 1,0 Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias: Danos quase sempre internos são uma das maiores ameaças ao ambiente, podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões. Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc. Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Erros propositais de instalação ou de configuração possibilitando acessos indevidos. Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc. 5a Questão (Ref.: 201308161340) Pontos: 0,0 / 1,0 Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para realizar um Ataque de Segurança : Exploração, Levantamento, Obtenção, Manutenção e Camuflagem Levantamento, Exploração, Obtenção, Manutenção e Camuflagem Obtenção, Exploração, Levantamento, Manutenção e Camuflagem Obtenção, Levantamento, Exploração, Manutenção e Camuflagem Levantamento, Obtenção, Exploração, Manutenção e Camuflagem 6a Questão (Ref.: 201308368121) Pontos: 1,0 / 1,0 Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliálas e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzilo ou impedir que se repita. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. 08/07/2015 Estácio data:text/html;charset=utf8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 3/3 7a Questão (Ref.: 201308161736) Pontos: 0,0 / 1,0 Quando devem ser executadas as ações corretivas? Devem ser executadas para eliminar as causas da nãoconformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da nãoconformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas somente para eliminar o resultado da nãoconformidade com os requisitos do SGSI de forma a evitar a sua repetição 8a Questão (Ref.: 201308161741) Pontos: 1,0 / 1,0 No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: Uma Operação Incorreta ou Erro do usuário. Uma tempestade. A perda de qualquer aspecto de segurança importante para a organização. Restrição Financeira. Uma inundação. 9a Questão (Ref.: 201308347586) Pontos: 1,0 / 1,0 Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco ocorrer? Acordo de reciprocidade Coldsite Hotsite Warmsite Realocação de operação 10a Questão (Ref.:201308242021) Pontos: 1,0 / 1,0 Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada? Afastar o incidente do cliente Comunicarse com as partes interessadas Confirmar a natureza e extensão do incidente Tomar controle da situação Controlar o incidente
Compartilhar