Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disc.: GESTÃO DE SEGURANÇA DA INFORMAÇÃO Aluno(a): RICARDO TAVARES DE OLIVEIRA 201607087812 Acertos: 7,0 de 10,0 30/09/2021 1a Questão Acerto: 0,0 / 1,0 As informações devem cumprir alguns requisitos, dentre os quais: I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados Após a leitura das asserções, assinale a alternativa correta. Somente as asserções I, II e III estão corretas Somente as asserções II, III e IV estão corretas Somente as asserções I, II e IV estão corretas Somente as asserções I e II estão corretas Somente as asserções III e IV estão corretas Respondido em 08/10/2021 06:58:13 Explicação: Autenticação: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser Confidencialidade:refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre" Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados 2a Questão Acerto: 0,0 / 1,0 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à: Não-Repúdio; Integridade; Auditoria; Disponibilidade; Confidencialidade; Respondido em 08/10/2021 05:57:57 3a Questão Acerto: 1,0 / 1,0 As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware: Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações. Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação. Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia). Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas. Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação. Respondido em 08/10/2021 06:04:59 Gabarito Comentado 4a Questão Acerto: 1,0 / 1,0 Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso? Forte Fraco Ativo Secreto Passivo Respondido em 08/10/2021 06:04:09 Gabarito Comentado 5a Questão Acerto: 1,0 / 1,0 Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita: Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans. Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque. Respondido em 08/10/2021 06:24:22 6a Questão Acerto: 1,0 / 1,0 Em relação à avaliação de riscos, analise as afirmações abaixo: I-A primeira etapa do processo será de avaliar e dimensionar os riscos. II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e quais são os riscos associados. III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos. Assinale apenas a opção com afirmações corretas: Apenas II e III Apenas I e III Apenas I e II Apenas III I , II e III Respondido em 08/10/2021 06:30:02 Explicação: o certo será: III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos. 7a Questão Acerto: 1,0 / 1,0 Os processos que envolvem a gestão de risco são, exceto: Planejar o gerenciamento de risco Realizar a análise quantitativa do risco Identificar os riscos Gerenciar as respostas aos riscos Realizar a análise qualitativa do risco Respondido em 08/10/2021 06:33:10 8a Questão Acerto: 1,0 / 1,0 Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Definir e medir a eficácia dos controles ou grupos de controle selecionados. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Respondidoem 08/10/2021 06:46:10 9a Questão Acerto: 0,0 / 1,0 A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio. Sobre a etapa "DO", qual das alternativas descreve essa etapa: Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos. Nenhuma das opções anteriores É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Respondido em 08/10/2021 06:53:51 Explicação: A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. 10a Questão Acerto: 1,0 / 1,0 Quando você acessa um sistema computacional dentro da empresa, é necessário que você utilize sua identificação e a autenticação deve ocorrer para que você tenha permissão de acesso. Quanto a autenticação do usuário assinale a opção que contenha apenas afirmações verdadeiras: I-A identificação informa ao sistema computacional quem é a pessoa que está acessando a informação. II-Essa identificação pode ocorrer por meio de seu nome, de seu número de matrícula da empresa, de seu CPF ou de qualquer outra sequência de caracteres que represente você̂ como usuário. III-Quanto à autenticação, a informação deve ser sigilosa. No sistema computacional, você é autenticado por alguma informação que você̂ saiba. Apenas II Apenas I e II Apenas II e III Apenas III I, II e III
Compartilhar