INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO - AVALIAÇÃO PARCIAL

Prévia do material em texto

Acerto: 1,0 / 1,0 
 
Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e 
implementação de um processo de gestão de segurança em uma organização? 
[ua] Impacto . 
E Risco. 
[] âmeaça, 
[E] & insegurança 
[] vulnerabilidade. 
Questão Acerto: 1,0 / 1,0 
 
Suponha que João deseja utilizar 05 serviços oferecidos via Internet por seu banco. Como o banco pode garantir-se de que, 
posterormente, João venha a afirmar que não for ele quem fez o acesso? Neste caso estamos falando de: 
[a Confidencialidade 
[8] —Não-repúdio 
[E] Integridade 
E Autenticação 
[] Disponibilidade 
Gabarito 
Coment. 
Acerto: 1,0 / 1,0 
 
Maio/2011 - & Sony sofre invasão de hackers com o vazamento de informações de mais de 100 milhões de usuários da rede 
online de games PlayStation Network. O ataque à base de dados de clientes se realizou desde um servidor de aplicações 
conectado com ela, e que está depois de um servidor site e dois firewalls. Segundo a companhia, 05 hackers encobriram o 
ataque como uma compra na plataforma online de Sony e depois de passar do servidor site, O ataque, que foi considerado um 
dos maiores, no sentido do vazamento de dados confidenciais, da história obrigou a Sony a reconstruir grande parte da sua 
rede, causado um prejuizo de 171 milhões de Dólares. A rede também ficou fora do ar por 28 dias, sendo que alguns servicos 
menos essenciais foram reestabelecidos primeiro e regionalmente antes do reestabelecimento total de todos 05 serviços. . 
Qual você acha que foi a vulnerabilidade para este ataque” 
Vulnerabilidade de Comunicação 
Wulnerabilidade Natural 
vulnerabilidade Fisica 
«& Vulnerabilidade de Software 
vulnerabilidade de Midias [
B
y
 C
I
C
I
C
]
astão Acerto: 2,0 [1,0 
 
&o analisarmos a afirmativa: iDevemos levar em consideração que diferentes ameaças possuem impactos diferentes e que 
dependendo do ativo afetado, podemos ter também impactos diferentes para uma mesma ameaçaé. Podemos dizer que é: 
[] falsa, pois os impactos são sempre iguzis para ameaças diferentes. 
[=] parcialmente verdadeira, pois sempre temos impactos diferentes para uma mesma ameaça. 
[8] w& verdadeira 
[5] falsa, pois não depende do ativo afetado. 
[] falsa, pois não devemos considerar que diferentes ameaças existem . 
Questão Acerto: 1,0 / 1,0 
 
Um dos principais tipos de ataques à Segurança das informações funciona da seguinte forma: Ocorre na camada de transporte 
do modelo 051. E realizado um mapeamento das portas do protocolos TCP e UDP abertas em um determinado host, e partir 
dai, o atacante poderá deduzir quais os serviços estão ativos em cada porta. Qual seria este ataque: 
[] Fraggle. 
[] Syn Flooding. 
[] Ip Spoofing. 
[] Packet Sniffing. 
[8]«& Port Scanning. 
Gabarito 
Coment. 
uestão Acerto: 0,0 / 1,0 
nome é “dado” para uma vulnerabilidade descoberta e não pública no momento da descoberta *? 
 
[] Backdoor 
[E] Rootkit 
[] Spam 
[] Adware 
[ls Oday
tão Acerto: 0,0 / 1,0 
 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
[] Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha 
uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. 
[]& Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão 
de Segurança da Informação (5GST), proporcionando os fundamentos sobre os quais toda a familia estã baseada e se 
integra. 
[] Contém & seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança 
e uma seção introdutória que aborda a questões de contingência. 
[] & gestão de niscos consiste no processo de seleção e implementação de medidas para modificar um nsco. Inclui a 
análise, o tratamento e à comunicação de riscos e exclui a aceitação de riscos. 
[R]3 Os objetivos de controle = os controles desta Norma têm como finalidade ser implementados para atender aos 
requisitos identificados exclusivamente por meio da classificação das informações. 
tão Acerto: 1,0 / 1,0 
 
& empresa KPTO optou como forma de complementar seu projeto de Seguranca da Informação, a instalação de camêras de 
video, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está 
sendo utilizada ? 
[] Limitação 
[] Reação 
[] Correção 
[8] Desencorajamento 
[] Preventiva 
Acerto: 0,0 /1,0 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser 
implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a 
gestão da continuidade de negócios devera adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o 
esforço gasto. Como podemos definir o elemento “Desenvolvendo e Implementando”? 
[] Para o estabelecimento do programa de GCH é necessãnio entender à organização para definir a priorização dos 
produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. 
[]«& Resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de 
negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para 
manter ou restaurar as operações. 
[] & organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá 
ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. 
[] Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a 
Gestão de continuidade de negócio devera toma-se parte dos valores da organização, através da sua inclusão na 
cultura da empresa, 
[8] Permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa 
continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e 
logo após uma interrupção.
E CUPIEIIL. 
Acerto: 1,0 / 1,0 
 
& sub-rede, também conhecida como rede de perimetro, utilizada para transmitir informações entre uma rede confiável e uma 
não confiável, mantendo os serviços que possuem acesso externo separados da rede local, é chamada de: 
[E] DMZ 
[E] Firewall! 
[] Intranet 
LI VPN 
[41] Proxy 
g Gabarito 
Coment.
Acerto: 0,0. / 1,0 
 
No contexto da segurança da informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuizos. Neste contexto elas 
podem ser 
1) Fisicas 
24 Lógicas 
3) Administrativas 
Analise 25 questões abaixo e relacione o tipo corretamente: 
| | Procedimento 
I | Fechadura 
l | Firewall 
| Cadeado 
| E Normas 
BJS Djtinaas 
[] 1,3,1,3,? 
[] %2,1,2,3 
[] 2,2,1,3,1 
El: Sd2,d,3 
Acerto: 1,50. / 1,0 
 
Valores são o conjunto de caracteristicas de uma determinada pessoa ou organização, que determinam a forma como a pessoa 
ou organização se comportam e interagem com outros indivíduos e com o meio ambiente. 4 informação terá valor econômico 
para uma organização se ela gerar lucros ou se for alavancadora de vantagem competitiva, caso contrário poderá ter pouco ou 
nenhum valor. Qual a melhor definição para o valor de uso de uma informação: 
[R]w Baseia-se na utilização final que se fará com a informação. 
É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). 
Reflete o custo substitutivo de um bem. 
Utiliza-se das propriedades inseridas nos dados. 
Surge no caso de informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. DI
CI
CI
CI
Acerto: 1,0 /1,0 
 
vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a 
informação,independente do seu formato. Uma vez identificados quais 05 nscos que as informações estão expostas deve-se 
imediatamente iniciar um processo de segurança fisica e lógica, com o intuito de alcançar um nível aceitável de segurança. 
Quando falo em nivel aceitável de segurança, me refiro ao ponto em que todas as informações devam estar quardadas de 
forma segura. Neste contexto como podemos definir o que são vulnerabilidades: 
[] É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização 
de SQL. 
[8] Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de 
ameaças potenciais à continuidade dos negócios das organizações. 
[] Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores & 
disseminadores de virus de computadores, incendiários. 
[] Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do 
usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou 
informações. 
E São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades 
eletromagnéticas, maremotos, aquecimento, poluição, etc. 
Acerto: 1,0 / 1,0 
 
Passivo 
Fraco 
Forte 
Secreto 
LI 
[] 
[8] & ativo 
L] 
[La] 
Gabarito 
Coment. 
GEO Acerto: 0,0 / 1,0 
 
Recente pesquisa realizada pela ESET no Pais identificou que 73% das corporações consultadas foram vitimas de algum 
incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas 
a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de 
alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de “Levantamento das informações” 
nesta receita! 
[] Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de 
prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. 
[] Esta fase consiste na penetração do sistema proprnamente dita. Nesta fase são exploradas as vulnerabilidades 
encontradas no sistema. 
[RB] Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros 
atacantes através da utilização de iacessos exclusivos obtidos através de rootkits, backdoors ou trojans. 
[] Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. 
[]& Euma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o calvo em 
avaliação: antes do lancamento do ataque.
do Acerto: 1,0 / 1,0 
 
& segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela 
estã exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando 
um Plano de Gestão de Risco (PGI). O PGI é composto por d fases, quais são elas” 
L] 
[1] 
E 
[8] 
[1] 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco 
e Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto 
g Gabarito 
Coment. 
dO Acerto: 1,0 / 1,0 
 
& Norma NBR I150/1EC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a 
Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de 
ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível É 
[R]& 4 reputação da organização 
[] O serviço de iluminação 
EI & base de dados e arquivos 
[] O equipamento de comunicação 
[] O plano de continuidade do negócio. 
 
Acerto: 1,0 / 1,0 1 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que 
possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às 
organizações”? 
[] &dministrativa, Contábil e Fisica. 
[8] | fdministrativa, Física e Lógica, 
[] &drmnistrativa, Fisica e Programada. 
[] Lógica, Administrativa e Contábil, 
[] Lógica, Fisica e Programada. 
Gg Gabarito 
Coment.
uestão Acerto: 1,0 / 1,0 
 
& gestão de continuidade de negócios (GCN) faz parte de um processo que possibilita que uma organização lide com os 
incidentes de interrupção que poderiam impedi-la de atingir seus objetivos. Sobre a GCN analise as afirmativas abaixo: 
I-4 continuidade de negócios pode ser descrita pela capacidade de continuar a entregar seus produtos e serviços em niveis 
aceitáveis após a ocorrência de um incidente de interrupção, 
I-Através da integração da gestão de continuidade de negócios (GCN) e de uma estrutura sistêmica de gestão da organização 
é que criamos um Sistema de Gestão de Continuidade de Negócios (SGCN). 
NI-O SGCN pode ser aplicado apenas em empresas de porte grande, 
Essinale a opção que contenha apenas afirmações verdadeiras: 
El Apenas le II 
[R]w apenaslel 
[] Apenas 1 
[o êpenas II 
LI L le 
Questão ficerto: 1,0 / 1,0 
 
A política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos usuários 
a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra possíveis 
danos.à política de segurança da informação define qual é a filosofia da organização em relação aos acessos dos 
usuários a fim de assegurar que todas as informações da organização e de seus clientes estejam protegidas contra 
possíveis danos.De quem é a responsabilidade de proteger as informações” 
[8] De todos os funcionários da organização. 
êpenas o gerente 
Apenas do gestor de informação. 
Apenas do presidente da empresa 
Apenas do estagiário. CL
ET
ES
ES
Acerto: 1,0 / 1,0 
 
Em relação aos conceitos abaixo, assinale as opções que tenha apenas as afirmações corretas: 
"Ds dados são variáveis sem significado qualitativo e representam variáveis brutas. O termo “informação” é um meio de coletar os 
dados e gerenciá-los de forma a ter significado uteis a um usuário e assim construir um conhecimento”. 
1-"A informação é o mesmo que um conjunto de dados. Transformar esses dados em informação é transformar algo com pouco 
significado em um recurso de menor valor para a nossa vida pessoal ou profissional” 
WI" termo “conhecimento” pode ser entendido como um processo no qual uma crença pessoal é justificada em relação a verdade”. 
[8]& SomentelelIl 
[] Somente 1 
[] Somente IJ el 
[] Somente II e III 
L] Ile 
astão Acerto! 1,0 / 1,0 
 
Considere um sistema no qual existe um conjunto de informações disponivel para um determinado grupo de usuários 
denominados iauditoresé. Após várias consultas com respostas corretas e imediatas, em um determinado momento, um 
usuário pertencente ao grupo iauditoresé acessa o sistema em busca de uma informação já acessada anteriormente e não 
consegue mais acessã-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade 
relacionada à: 
[] Privacidade; 
[] Confidencialidade; 
[] Não-repúdio; 
[] Integridade; 
[R]& Disponibilidade; 
Acerto: 1,0 / 1,0 
 
f&taque ao site do IBGE - Jun de 2011, O site do IBGE foi atacado e seu site posteriormente ficou fora do ar, antes foi deixada 
uma mensagem informando : "Este mês, o governo vivenciarã o maior número de ataques de natureza virtual na sua história 
feito pelo fail shell”. Foi um ataque orquestrado, nãosó para este site mas para varias instituições governamentais, acredita-se 
que foram utilizados mais de 2 bilhões de acesso no caso foi utilizado um Denial-of service.. O banco de dados IBGE não foi 
afetado, o portal é mais informativo, não comprometendo aos dados internos e cnticos que não devem ser divulgados. Qual 
você acha que foi a vulnerabilidade para este ataque” 
vulnerabilidade Fisica 
Vulnerabilidade Mídias 
vulnerabilidade Software 
vulnerabilidade Comunicação 
vulnerabilidade Natural DI
CI
Ba
 C
IC
] 
4 
g Gabarito 
Coment.
astão Acerto: 1,0 / 1,0 
 
Elém de classificar as ameaças quando a sua intencionalidade, também podemos classificê-las quanto a sua origem, neste 
caso quais das opções abaixo apresenta a classificação quanto a origem para as ameaças ” 
[] Interna e Oculta 
[] Secreta e Oculta 
[] Secreta e Externa 
[] Conhecida e Externa 
[R]w& Interna e Externa 
Questão Acerto: 1,0 / 1,0 
 
Qual tipo de Ataque possui a natureza de bisbilhotar ou monitorar transmissões? 
[] Fraco 
[] Secreto 
[] Ativo 
[] Forte 
[R]e Passivo 
Questão Acerto: 1,0 / 1,0 
 
E essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral 
e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos” 
[] 
D] 
E] 
[] 
[] 
Descrição dos requisitos de segurança da informação para um produto. 
Conformidade Legal e a evidência da realização dos procedimentos corretos 
Preparação de um plano para aceitar todos os Riscos 
Preparação de um plano de continuidade de negócios. 
Preparação de um plano de respostas a incidentes. 
Gabarito 
Coment. 
Acerto: 1,0 /1,0 
 
Segundo a norma NBR I50/1EC 27002 os riscos de segurança da informação são identificados por meio de uma: 
[E] análise/avaliação sistemática dos riscos de segurança da informação 
[] Análise/avaliação sistemática dos incidentes de segurança da informação 
[] Identificação/avaliação sistemática dos eventos de segurança da informação 
[] Análise/orientação sistemática dos cenários de segurança da informação 
LI Andlise/revisão sistemática dos ativos de segurança da informação
( 8º) Questão Acerto: 1,0 / 1,0 
* 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem 
ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma 
IS0/1EC 27001 em qualquer organização: 
[8] Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 5GS] pela direção e 
Melhoria do 5G&I 
Controle de registros, responsabilidade da direção, melhoria do 5G51 e auditonas internas 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do 5GS1 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de nisco. DI
CI
CI
CI
 
Gabarito 
Coment. 
Questão Acerto: 0,0 / 1,0 
 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser 
implementados em todos 05 tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a 
gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o 
esforço gasto. Como podemos definir o elemento “Entendendo a Organização”? 
[E O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma 
estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os 
passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. 
[R]= 4 determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para 
cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um 
nivel operacional e quantidade de tempo aceitável durante e logo após uma interrupção, 
[] & organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá 
ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. 
[]«& Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos 
produtos = serviços da organização e a urgência das atividades que são necessárias para fornecê-los, 
[E] Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a 
Gestão de continuidade de negócio deverá toma-se parte dos valores da organização, atraves da sua inclusão na 
cultura da empresa. 
Gabarito 
Coment. 
Questão Acerto: 1,0 / 1,0 
 
Seja qual for o objeto da contingência : uma aplicação, um processo de negócio, um ambiente físico e, até mesmo uma equipe 
de funcionários, a empresa deverá selecionar a estratégia de contingência que melhor conduza o objeto a operar sob um nível 
de nsco controlado. Mas estratégias de contingência possiveis de implementação, qual a estratégia que estã pronta para entrar 
em operação assim que uma situação de risco ocorrer? 
Warm-site 
Cold-site 
Realocação de operação 
& Hot-site 
Acordo de reciprocidade [b
a 
CI
CI
CI