SIMULADO AV GESTÃO SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Disc.: GESTÃO DE SEGURANÇA DA INFORMAÇÃO   
	Aluno(a): RICARDO TAVARES DE OLIVEIRA
	201607087812
	Acertos: 7,0 de 10,0
	30/09/2021
		1a
          Questão
	Acerto: 0,0  / 1,0
	
	As informações devem cumprir alguns requisitos, dentre os quais:
I. Autenticação: refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação
II. Confidencialidade: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser
III. Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre"
IV. Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados
Após a leitura das asserções, assinale a alternativa correta.
		
	 
	Somente as asserções I, II e III estão corretas
	
	Somente as asserções II, III e IV estão corretas
	
	Somente as asserções I, II e IV estão corretas
	
	Somente as asserções I e II estão corretas
	 
	Somente as asserções III e IV estão corretas
	Respondido em 08/10/2021 06:58:13
	
	Explicação:
Autenticação: irá definir que as partes envolvidas na comunicação sejam autenticadas, a fim de garantir que cada uma delas seja realmente quem diz ser
Confidencialidade:refere-se a proteger a informação de ser lida ou copiada por qualquer um que não está explicitamente autorizado pelo proprietário da informação
Consistência: assegura que o sistema comporta-se como esperado pelos usuários autorizados. Se o software ou hardware repentinamente começa a se comportar de maneira radicalmente diferente daquele que se costuma comportar, especialmente após uma atualização ou a reparação de um erro, pode ocorrer um "desastre"
Disponibilidade: irá definir que as informações devidas estarão disponíveis para seus respectivos usuários. Aqui cabe uma ressalva: para garantir esta disponibilidade da informação somente para o usuário devido, deve-se implementar controles de acesso, a fim de conter usuários não autorizados
	
		2a
          Questão
	Acerto: 0,0  / 1,0
	
	Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados ¿auditores¿. Um usuário de um outro grupo, o grupo ¿estudante¿, tenta acessar o sistema em busca de uma informação que somente o grupo ¿auditores¿ tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:
		
	
	Não-Repúdio;
	 
	Integridade;
	
	Auditoria;
	
	Disponibilidade;
	 
	Confidencialidade;
	Respondido em 08/10/2021 05:57:57
	
		3a
          Questão
	Acerto: 1,0  / 1,0
	
	As vulnerabilidades mais exploradas nos dias de hoje, são as do tipo buffer overflow, que muitas vezes pode dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente, burlar particularidades de cada sistema, ataques de Negação de Serviços (DDoS), e acesso irestrito ao sistema. Em relação a Classificação das Vulnerabilidades podemos citar como exemploS de Vulnerabilidade de Hardware:
		
	
	Acessos não autorizados ou perda de comunicação ou a ausência de sistemas de criptografia nas comunicações.
	
	Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas ou erro de fabricação.
	
	Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia).
	
	Instalações prediais fora dos padrões de engenharia ou salas de servidores mal planejadas.
	 
	Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso) ou erros durante a instalação.
	Respondido em 08/10/2021 06:04:59
	
		
	Gabarito
Comentado
	
	
	
		4a
          Questão
	Acerto: 1,0  / 1,0
	
	Qual tipo de ataque envolve alguma modificação do fluxo de dados ou a criação de um fluxo falso?
		
	
	Forte
	
	Fraco
	 
	Ativo
	
	Secreto
	
	Passivo
	Respondido em 08/10/2021 06:04:09
	
		
	Gabarito
Comentado
	
	
	
		5a
          Questão
	Acerto: 1,0  / 1,0
	
	Recente pesquisa realizada pela ESET no País identificou que 73% das corporações consultadas foram vítimas de algum incidente relacionado à segurança da informação nos últimos meses, o que sugere falhas nas políticas e ferramentas voltadas a combater esse tipo de problema, ao mesmo tempo em que exige uma reflexão urgente dos gestores. Todo ataque segue de alguma forma uma receita nossa conhecida, qual seria a melhor forma de definir a fase de "Levantamento das informações" nesta receita:
		
	
	Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais.
	
	Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de ¿acessos exclusivos¿ obtidos através de rootkits, backdoors ou trojans.
	
	Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema.
	
	Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento.
	 
	É uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o ¿alvo em avaliação¿ antes do lançamento do ataque.
	Respondido em 08/10/2021 06:24:22
	
		6a
          Questão
	Acerto: 1,0  / 1,0
	
	Em relação à avaliação de riscos, analise as afirmações abaixo:
I-A  primeira etapa do processo será de avaliar e dimensionar os riscos.
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e quais são os riscos associados.
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
 
Assinale apenas a opção com afirmações corretas:
		
	
	Apenas II e III
	
	Apenas I e III
	 
	Apenas I e II
	
	Apenas III
	
	I , II e III
	Respondido em 08/10/2021 06:30:02
	
	Explicação:
o certo será:
III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
	
		7a
          Questão
	Acerto: 1,0  / 1,0
	
	Os processos que envolvem a gestão de risco são, exceto:
		
	
	Planejar o gerenciamento de risco
	
	Realizar a análise quantitativa do risco
	
	Identificar os riscos
	 
	Gerenciar as respostas aos riscos
	
	Realizar a análise qualitativa do risco
	Respondido em 08/10/2021 06:33:10
	
		8a
          Questão
	Acerto: 1,0  / 1,0
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	Respondidoem 08/10/2021 06:46:10
	
		9a
          Questão
	Acerto: 0,0  / 1,0
	
	A norma NBR ISO/IEC 22313 também adota o ciclo PDCA a fim de utilizar essa ferramenta para planejar, implementar, analisar e melhor a eficiência do sistema de gestão de continuidade do negócio.
Sobre a etapa "DO", qual das alternativas descreve essa etapa:
		
	
	 Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação.
	 
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores
	 
	Ocorre a implementação e operação da política de continuidade de negócios, controles, processos e procedimentos.
	
	Nenhuma das opções anteriores
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	Respondido em 08/10/2021 06:53:51
	
	Explicação:
A segunda etapa do PDCA é o DO (fazer), que implementa-se o que foi estabelecido na etapa anterior, através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
		10a
          Questão
	Acerto: 1,0  / 1,0
	
	Quando você acessa um sistema computacional dentro da empresa, é necessário que você utilize sua identificação e a autenticação deve ocorrer para que você tenha permissão de acesso. Quanto a autenticação do usuário assinale a opção que contenha apenas afirmações verdadeiras:
I-A identificação informa ao sistema computacional quem é a pessoa que está acessando a informação.
II-Essa identificação pode ocorrer por meio de seu nome, de seu número de matrícula da empresa, de seu CPF ou de qualquer outra sequência de caracteres que represente você̂ como usuário.
III-Quanto à autenticação, a informação deve ser sigilosa. No sistema computacional, você é autenticado por alguma informação que você̂ saiba.
		
	
	Apenas II
	
	Apenas I e II
	
	Apenas II e III
	
	Apenas III
	 
	I, II e III