SóProvas

ID
3359704
Banca
CESPE / CEBRASPE
Órgão
TJ-PA
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27005, é correto afirmar que, na situação hipotética descrita no texto 4A04-I, ocorreu uma falha no ciclo de vida da gestão de risco, na fase

Alternativas
Comentários

  • A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto. A vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados

    Identificação OK

    Análise OK

    Avaliação OK

    Já tendo sido comunicado à alta gestão da instituição

    Comunicação OK

    o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação

    Opa...

    O risco não foi tratado.

    Gab. D

  • A equipe incumbida de analisar o caso concluiu que o risco era conhecido (IDENTIFICAÇÃO DO RISCO) e considerado alto (AVALIAÇÃO DO RISCO), já tendo sido comunicado à alta gestão da instituição (COMUNICAÇÃO); a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco e dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação

    Com relação a alternativa C, definição do contexto do risco, ao se identificar e avaliar o risco, automaticamente já foi definido o contexto, escopo e limites do risco, restando a alternativa D, pois foi comunicado o risco e nenhuma atitude (tratamento) foi tomada.

  • Identificação OK

    Análise OK

    Avaliação OK

    Brota no bailão pro desespero do seu ex... kkk

    zueira a parte.

    só faltou o tratamento ^^

  • Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina o contexto interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.  

  • Etapa 1 Identifique o risco: Você e sua equipe descobrem, reconhecem e descrevem riscos que podem afetar seu projeto ou seus resultados. Existem várias técnicas que você pode usar para encontrar os riscos do projeto. Durante esta etapa, você começa a preparar seu Registro de riscos do projeto.

    Etapa 2 Analise o risco: Uma vez identificados os riscos, você determina a probabilidade e a consequência de cada risco. Você desenvolve uma compreensão da natureza do risco e seu potencial para afetar as metas e objetivos do projeto. Essas informações também são inseridas no seu Registro de riscos do projeto.

    Etapa 3 Avalie ou classifique o risco: Você avalia ou classifica o risco determinando a magnitude do risco, que é a combinação de probabilidade e consequência. Você toma decisões sobre se o risco é aceitável ou se é sério o suficiente para garantir o tratamento. Essas classificações de risco também são adicionadas ao seu Registro de riscos do projeto.

    Etapa 4 Trate o risco:Isso também é chamado de Planejamento de respostas a riscos. Durante esta etapa, você avalia seus riscos mais bem classificados e define um plano para tratar ou modificar esses riscos para atingir níveis de risco aceitáveis. Como você pode minimizar a probabilidade dos riscos negativos e aumentar as oportunidades? Você cria estratégias de mitigação de risco, planos preventivos e planos de contingência nesta etapa. E você adiciona as medidas de tratamento de risco para os riscos mais altos ou mais graves para o seu registro de riscos do projeto.

    Etapa 5 Monitore e analise o risco: Este é o passo em que você pega o Registro de Risco do Projeto e o utiliza para monitorar, rastrear e revisar os riscos.