2014.01 - EAD AV Gestão de Segurança da Informação

Prévia do material em texto

Nota da Prova: 3,5 Nota de Partic.: 1,5 
 
 
 1a Questão (Ref.: 201302035453) Pontos: 0,0 / 0,5 
De acordo com a afirmação ¿O nível de segurança requerido para obter cada um dos três princípios da CID 
difere de empresa para empresa, pois cada empresa possui uma combinação única de requisitos de negócio e 
de segurança¿, podemos dizer que: 
 
 A afirmação é verdadeira. 
 
A afirmação é somente verdadeira para as empresas privadas. 
 
A afirmação será somente verdadeira se as empresas forem de um mesmo mercado. 
 A afirmação é falsa. 
 
A afirmação é somente falsa para as empresas privadas. 
 
 
 
 2a Questão (Ref.: 201302035580) Pontos: 0,0 / 0,5 
O crescimento explosivo da internet e das tecnologias e aplicações a ela relacionadas revolucionou o modo de 
operação das empresas, o modo como as pessoas trabalham e a forma como a tecnologia da informação apóia 
as operações das empresas e as atividades de trabalho dos usuários finais. Qual das opções abaixo não pode ser 
considerada como razão fundamental para as aplicações de tecnologia da informação nas empresas? 
 
 Apoio ao uso da Internet e do ambiente wireless 
 Apoio às Estratégias para vantagem competitiva 
 
Apoio à tomada de decisão empresarial 
 
Apoio às Operações 
 
Apoio aos Processos 
 
 
 
 3a Questão (Ref.: 201302106485) Pontos: 0,5 / 0,5 
No ano passado um grupo de Anônimos coordenou uma ação em escala inédita, com a justificativa de defender 
a liberdade de expressão. Seus integrantes lançaram ataques de negação de serviço contra Amazon, PayPal, 
Visa, Mastercard e o banco suíço PostFinance. As companhias sofreram represália por terem negado 
hospedagem, bloqueado recursos financeiros ou vetado doações para o WikiLeaks, o serviço responsável pelo 
vazamento de mais de 250 000 documentos diplomáticos americanos, Qual você acha que seria a 
vulnerabilidade neste ataque? 
 
 
Vulnerabilidade de Comunicação 
 
Vulnerabilidade Física 
 
Vulnerabilidade Mídia 
 Vulnerabilidade de Software 
 
Vulnerabilidade Natural 
 
 
 
 4a Questão (Ref.: 201302032402) Pontos: 0,0 / 0,5 
As ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões e etc. 
poderão ser classificadas como: 
 
 
Insconsequentes 
 Destrutivas 
 
Tecnológicas. 
 
Globalizadas 
 Voluntárias 
 
 
 
 5a Questão (Ref.: 201302032427) Pontos: 0,0 / 0,5 
A empresa Ypisilon foi invadida através do seu sistema de e-commerce. O ataque ocorreu através do envio de 
informações inconsistentes para um campo de entrada de dados da tela principal do sistema. Neste caso, foi 
utilizado um ataque de: 
 
 Buffer Overflow 
 Smurf 
 
Fraggle 
 
Fragmentação de pacotes IP 
 
SQL injection 
 
 
 
 6a Questão (Ref.: 201302014465) Pontos: 0,5 / 1,5 
A preservação da confidencialidade, integridade e disponibilidade da informação utilizada nos sistemas de 
informação requer medidas de segurança, que por vezes são também utilizadas como forma de garantir a 
autenticidade e o não repúdio. As medidas de segurança podem ser classificadas, em função da maneira como 
abordam as ameaças, em duas grandes categorias. Quais são elas e como são definidas? 
 
 
Resposta: Ativos Tangiveis: São bens de uma empresa que podem sofrear ataques tipo, uma agenda, um 
computador, funcionáio até mesmo uma lixeira através da engenharia social Ativos intangiveis: A marca da 
empresa a cradibilidade e confiança ou seja, tud aquilo que você não toca. A melhor forma de previnir é, usar 
softwares atualizados e originais, treinamento da matéria humana, descarte dos ativos de forma coreta, lixo, 
midias de armazenamento HDs, pendrives, documentos papel etc. 
 
 
Gabarito: A prevenção: é o conjunto das medidas que visam reduzir a probabilidade de concretização das 
ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente. A 
proteção: é o conjunto das medidas que visão dotar os sistemas de informação com capacidade de inspeção, 
detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. 
Naturalmente, estas medidas só atuam quando ocorre um incidente. 
 
 
 
 7a Questão (Ref.: 201302124739) Pontos: 1,0 / 1,5 
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem 
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao 
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto., explique o elemento "Determinando a estratégia" do GCN: 
 
 
Resposta: A estrategia da GCN é fazer com que a empesa tenha uma continuidade de negócio de forma 
organizada e eficinente imprlementando a gestão de continuidade do negócio. 
 
 
Gabarito: A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja 
escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e 
serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. 
 
 
 
 8a Questão (Ref.: 201302032474) Pontos: 0,5 / 0,5 
Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de um ativo explorar uma vulnerabilidade 
 
Probabilidade de um ativo explorar uma ameaça. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de uma ameaça explorar um incidente. 
 
 
 
 9a Questão (Ref.: 201302218692) Pontos: 0,0 / 1,0 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios 
de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise 
de risco. 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança 
da informação. 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela 
direção e Melhoria do SGSI 
 Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI 
 
 
 
 10a Questão (Ref.: 201302208398) Pontos: 1,0 / 1,0 
Qual o dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle 
da rede de computadores de uma empresa sendo sua função a de regular o tráfego de dados entre essa rede e 
a internet e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados. 
 
 
Adware. 
 
Mailing. 
 Firewall. 
 
Antivírus. 
 
Spyware.