AV3 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 2015

Prévia do material em texto

08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 1/3
   Fechar
Avaliação: CCT0059_AV3_201308093081 » GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Tipo de Avaliação: AV3
Aluno: 201308093081 ­ DANIELA BOMFIM MALOPER
Professor: RENATO DOS PASSOS GUIMARAES Turma: 9012/L
Nota da Prova: 6,0 de 10,0         Nota do Trab.: 0        Nota de Partic.: 0        Data: 04/07/2015 09:13:29
  1a Questão (Ref.: 201308164510) Pontos: 0,0  / 1,0
Analise a afirmativa: ¿O nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade
quanto pela de disponibilidade¿. Esta afirmação é:
verdadeira se considerarmos que o nível não deve ser mudado.
  verdadeira, pois a classificação da informação pode ser sempre reavaliada.
verdadeira desde que seja considerada que todas as informações são publicas.
  falsa, pois a informação não deve ser avaliada pela sua disponibilidade.
falsa, pois não existe alteração de nível de segurança de informação.
  2a Questão (Ref.: 201308164553) Pontos: 1,0  / 1,0
A gestão do ciclo de vida da informação, no contexto da segurança da Informação, tem se tornado um
elemento fundamental para:
  A gestão dos negócios da organização .
A gestão da área comercial.
A gestão de orçamento.
A gestão do ciclo da informação interna.
A gestão dos usuários.
  3a Questão (Ref.: 201308367887) Pontos: 1,0  / 1,0
Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas
redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as
informações estão expostas deve­se imediatamente iniciar um processo de segurança física e lógica, com o
intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao
ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos
definir o que são vulnerabilidades:
Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou
confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a
computadores ou informações.
Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões,
criadores e disseminadores de vírus de computadores, incendiários.
São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos,
tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados
através da utilização de SQL.
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 2/3
  Pontos fracos em que os ativos estão suscetíveis a ataques ­ fatores negativos internos. Permitem o
aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
  4a Questão (Ref.: 201308330944) Pontos: 0,0  / 1,0
Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As
consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios
para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos,
alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de
ataques. Em relação a classificação das ameaças podemos definir como ameaças involuntárias:
  Danos quase sempre internos ­ são uma das maiores ameaças ao ambiente, podem ser ocasionados por
falha no treinamento, acidentes, erros ou omissões.
  Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos e etc.
Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas
comunicações.
Erros propositais de instalação ou de configuração possibilitando acessos indevidos.
Ameaças propositais causadas por agentes humanos como crackers, invasores, espiões, ladrões e etc.
  5a Questão (Ref.: 201308161340) Pontos: 0,0  / 1,0
Qual das Opções abaixo representa a ordem correta dos passos que um Atacante normalmente segue para
realizar um Ataque de Segurança :
  Exploração, Levantamento, Obtenção, Manutenção e Camuflagem
  Levantamento, Exploração, Obtenção, Manutenção e Camuflagem
Obtenção, Exploração, Levantamento, Manutenção e Camuflagem
Obtenção, Levantamento, Exploração, Manutenção e Camuflagem
Levantamento, Obtenção, Exploração, Manutenção e Camuflagem
  6a Questão (Ref.: 201308368121) Pontos: 1,0  / 1,0
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de
operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes
riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação
significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá­las e propor controles (soluções e
ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na
Análise e Avaliação dos Riscos:
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano,
reduzi­lo ou impedir que se repita.
  A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os
componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras.
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do
risco que foram levantados.
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua
capacidade de gerar efeitos adversos na organização.
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com
menções mais subjetivas como alto, médio e baixo.
08/07/2015 Estácio
data:text/html;charset=utf­8,%3Ctable%20width%3D%22650%22%20border%3D%220%22%20align%3D%22center%22%20cellpadding%3D%225%22%… 3/3
  7a Questão (Ref.: 201308161736) Pontos: 0,0  / 1,0
Quando devem ser executadas as ações corretivas?
  Devem ser executadas para eliminar as causas da não­conformidade com os requisitos do SGSI de
forma a evitar a sua repetição
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a
evitar a sua repetição
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a
sua repetição
  Devem ser executadas para garantir as causas da não­conformidade com os requisitos do SGSI de
forma a evitar a sua repetição
Devem ser executadas somente para eliminar o resultado da não­conformidade com os requisitos do
SGSI de forma a evitar a sua repetição
  8a Questão (Ref.: 201308161741) Pontos: 1,0  / 1,0
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um
Problema de Segurança:
Uma Operação Incorreta ou Erro do usuário.
Uma tempestade.
A perda de qualquer aspecto de segurança importante para a organização.
  Restrição Financeira.
Uma inundação.
  9a Questão (Ref.: 201308347586) Pontos: 1,0  / 1,0
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até
mesmo uma equipe de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor
conduza o objeto a operar sob um nível de risco controlado. Nas estratégias de contingência possíveis de
implementação, qual a estratégia que está pronta para entrar em operação assim que uma situação de risco
ocorrer?
Acordo de reciprocidade
Cold­site
  Hot­site
Warm­site
Realocação de operação
  10a Questão (Ref.:201308242021) Pontos: 1,0  / 1,0
Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual
das opções abaixo não está em conformidade com as orientações da norma citada?
  Afastar o incidente do cliente
Comunicar­se com as partes interessadas
Confirmar a natureza e extensão do incidente
Tomar controle da situação
Controlar o incidente