GESTÃO DE SEGURANÇA DA INFORMAÇÃO - VULNERABILIDADE DE SEGURANÇA

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO
	
		Lupa
	 
	Calc.
	
	
	 
	 
	 
	 
	
	
	
	
	
	
		Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	
	 
		
	
		1.
		Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
	
	
	
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.
	
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		2.
		Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.
	
	
	
	Rede elétrica instável.
	
	
	Firewall mal configurado.
	
	
	Links sem contingência.
	
	
	Sistema operacional desatualizado.
	
	
	Funcionário desonesto.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		3.
		Vivemos em um mundo globalizado, com o espaço geográfico fragmentado, porém fortemente articulado pelas redes, onde a informação, independente do seu formato. Uma vez identificados quais os riscos que as informações estão expostas deve-se imediatamente iniciar um processo de segurança física e lógica, com o intuito de alcançar um nível aceitável de segurança. Quando falo em nível aceitável de segurança, me refiro ao ponto em que todas as informações devam estar guardadas de forma segura. Neste contexto como podemos definir o que são vulnerabilidades:
	
	
	
	Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários.
	
	
	São decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluição, etc.
	
	
	Método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
	
	
	É um tipo de ameaça que se aproveita de falhas em sistemas que interagem com bases de dados através da utilização de SQL.
	
	
	Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
	
	
	
	 
		
	
		4.
		Em setembro de 2012, o sistemas militar que controla armas nucleares, localizado na Casa Branca. Os Hackers invadiram através de servidores localizados na China. Neste ataque foi utilizada a técnica conhecida como spear-phishing, que é um ataque muito utilizado, e que consiste em enviar informações que confundam o usuário e o mesmo execute um código malicioso. Essa técnica geralmente ocorre através de envio de e-mails falsos, porém com aparência de confiáveis.. Qual você acha que foi o tipo de vulnerabilidade utilizada neste caso?
	
	
	
	Vulnerabilidade de Mídias.
	
	
	Vulnerabilidade Natural.
	
	
	Vulnerabilidade Física.
	
	
	Vulnerabilidade de Hardware.
	
	
	Vulnerabilidade Humana.
		
	Gabarito
Comentado
	
	
	
	
	 
		
	
		5.
		As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Software:
	
	
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	
	
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	
	
	Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários.
	
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	
	
	
	 
		
	
		6.
		É possível categorizar a criptografia em dois sistemas básicos:
· Sistema de chave secreta
· Sistema de chave pública
 
I-O sistema que utiliza de chave secreta possui como base o conhecimento de uma chave secreta entre as partes que estão se comunicando. A chave deve ser mantida em segredo para garantir a segurança desse sistema.
II-O sistema de chave pública é formulado através de uma chave conhecida pelas duas partes que estão se comunicando e uma chave privada que é guardada em segredo e tem como finalidade encriptar as informações.
III-Chave é um número a ser utilizado em conjunto com um algoritmo de criptografia na criação da mensagem cifrada.
 
Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
 
	
	
	
	Somente I e II
	
	
	Somente I e III
	
	
	Somente I
	
	
	I, II e III
	
	
	Somente II
	
Explicação:
Todas estão corretas
	
	
	
	 
		
	
		7.
		As contas do Gmail de jornalistas estrangeiros de pelo menos duas agências de notícias que operam em Pequim foram sequestradas, em (18/1/10) de acordo com uma associação de profissionais de imprensa que atuam na China. A notícia chega uma semana após o Google afirmar ter sido alvo de ataques cibernéticos destinados a acessar as contas de e-mail de ativistas chineses de direitos humanos. As contas do Gmail que eram utilizadas pelos jornalistas em Pequim foram invadidas e programadas para reenviar as mensagens para contas desconhecidas. Qual você acha que foi a vulnerabilidade para este ataque?
	
	
	
	Vulnerabilidade Mídia
	
	
	Vulnerabilidade Natural
	
	
	Vulnerabilidade de Software
	
	
	Vulnerabilidade Comunicação
	
	
	Vulnerabilidade Física
	
	
	
	 
		
	
		8.
		Em relação as afirmações abaixo, assinale a opção que contenha apenas as corretas:
I-A técnica de criptografia pode ser classificada em duas: Criptografia simétrica e Criptografia assimétrica.
II-Na criptografia assimétrica ambas as partes de comunicação possuem a mesma chave. Como vantagem esse tipo de técnica apresenta um algoritmo muito rápido, porém como desvantagem é que o canal deve ser mais seguro para que o envio da chave secreta não seja interceptado.
III-A criptografia simétrica possui como princípio a utilização de duas chaves. Sendo que uma chave é mantida em segredo e a outra chave pode ser enviada publicamente. Nesse tipo de criptografia, uma das chaves é utilizada no processo de encriptação da informação e a outra chave é utilizada no processo de decriptação da informação
	
	
	
	I, II e III
	
	
	Somente III
	
	
	Somente I
	
	
	Somente I e III
	
	
	Somente II e III
	
Explicação:
A II e III estão trocadas.