Estacio Redes

miércoles, 30 de mayo de 2012

GESTAO DA SEGURANCA DE INFORMACAO - AV2

PROVA AV1

Qual das opções abaixo não apresenta uma das quatro categorias conhecidas de Ataques?

R)Aceitação de Serviço

Qual das opções abaixo descreve um tipo de ataque que normalmente tem como objetivo atingir máquinas servidoras da WEB de forma a tornar as páginas hospedadas nestes servidores indisponíveis pela sobrecarga ao invés da invasão?

R) DDos

As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização, a todo instante os negócios, seus processo e ativos físicos, tecnológicos e humanos são alvos de investidas de ameaças de toda ordem. Qual das opções abaixo descreve o melhor conceito de Vulnerabilidade na ótica da Segurança da Informação?

R) Fragilidade presente ou associada a ativos que manipulam ou processam informações

Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados “auditores”. Um usuário de um outro grupo, o grupo “estudante”, tenta acessar o sistema em busca de uma informação que somente o grupo “auditores” tem acesso e consegue. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à:

R) Confidencialidade;

A utilização inadequadas dos dispositivos de armazenamento das informações, podem deixar seu conteúdo vulnerável a uma série de fatores que poderão afetar a integridade, a disponibilidade e a confidencialidade das informações. Este tipo de vulnerabilidade é classificada como:

R) Mídia

João coordena a área de segurança na empresa XPTO e tem conhecimento de que a negligência por parte dos administradores de rede e a falta de conhecimento técnico de alguns usuários são exemplos típicos de vulnerabilidade. Por conta disso implementou medidas que impedem a configuração e a instalação indevidas de programas de computador/sistemas operacionais que poderiam levar ao uso abusivo dos recursos por parte de usuários mal-intencionados e que neste caso representam exemplos de vulnerabilidade :

R) De Software;

O papel estratégico dos sistemas de informação nas empresas cresce a cada dia e envolve a utilização de tecnologia da informação para desenvolver produtos e serviços. Qual das opções abaixo não se aplica ao conceito de “Informação”?

R) Por si só não conduz a uma compreensão de determinado fato ou situação;

A empresa ABC está desenvolvendo um política de segurança da Informação e uma de suas maiores preocupações é com as informações críticas e sigilosas da empresa. Como estas informações impressas em papel serão descartadas. Qual o tipo de ataque está preocupando a empresa ABC?

R) Dumpster diving ou trashing

Qual das opções abaixo não é considerada como sendo um dos fatores fundamentais e que possam impactar no estudo e implementação de um processo de gestão de segurança em uma organização:

R) Intensidade.

Você está trabalhando em um projeto de segurança e necessita identificar os principais tipos de ameaças que podem comprometer a segurança da informação na sua empresa. Foram detectados em algumas máquinas programas que fornecem mecanismos para esconder e assegurar apresença de um invasor e normalmente utilizadas para obter acesso privilegiado em um computador. Neste caso podemos classificar esta ameaça como sendo um:

R) Rootkit

RISCO: Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades.

Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades.

Ainda segundo a norma, todas as atividades de uma organização envolvem risco. As organizações devem gerenciar o risco, identificando-o, analisando-o, e em seguida, avaliando se o risco deve ser modificado pelo tratamento do risco a fim de atender a seus critérios de risco.

Ao longo de todo esse processo, elas comunicam e consultam as partes interessadas e monitoram e analisam criticamente o risco e os controles que o modificam, a fim de assegurar que nenhum tratamento de risco adicional seja requerido.”

Por exemplo, para as empresas do ramo do comércio/indústria, o risco é visto como a exposição às perdas baseada nas freqüências estimadas e custo de concorrência. Já em um organização da área de saúde, segundo a resolução CNS 196/96, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural.

Diante de tantos cenários diferentes de aplicação da gestão de risco, é importante promover ajustes na terminologia adotada, alterando-a e expandindo-a na medida do necessário para tratar a questão dentro do escopo que está sendo estudada.

Alguns termos e definições:

Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.

Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.

Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.

Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.

Incidente: Quando uma ameaça se concretiza.

Vulnerabilidades: Criam situações que podem ser explorada por uma ameaça, acarretando prejuízo.

Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.

Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades

...