- INT A SEG DA INF 2

Prévia do material em texto

Prezado(a) Aluno(a),
Responda a todas as questões com atenção. Somente clique no botão FINALIZAR PROVA ao ter certeza de que respondeu a todas as questões e que não precisará mais alterá-las. Para questões de múltipla escolha, marque a única opção correta.
 
Valor da prova: 10 pontos.
	
	 
	 
		1 ponto
	
		1.
		(Ano: 2018 Banca: FCC Órgão: SEFAZ-SC Prova: FCC - 2018 - SEFAZ-SC - Auditor-Fiscal da Receita Estadual - Tecnologia da Informação)
Considere os seguintes controles da política de segurança estabelecida em uma empresa:
I. Controlar o acesso de pessoas às áreas em que se encontram os servidores computacionais da empresa.
II. Bloquear acesso dos funcionários a sites inseguros da internet.
III. Instalar firewall para controlar os acessos externos para a rede local da empresa.
Os controles mencionados são, respectivamente, tipificados como de segurança:
 (Ref.: 202106324030)
	
	
	
	
	Física, lógica e física.
	
	
	Lógica, lógica e lógica.
	
	
	Física, lógica e lógica.
	
	
	Lógica, lógica e física.
	
	
	Física, física e lógica.
	
	 
	 
		1 ponto
	
		2.
		(Ano: 2010 Banca: CESPE / CEBRASPE Órgão: INMETRO Prova: CESPE - 2010 - INMETRO - Pesquisador - Infraestrutura e redes de TI)
Assinale a opção correta a respeito de segurança da informação, análise de riscos e medidas de segurança física e lógica
 (Ref.: 202106348031)
	
	
	
	
	Como medida de segurança preventiva, utilizam-se controle de acesso lógico e sessão de autenticação
	
	
	Em análises de riscos, é necessário levar em conta os possíveis ataques que podem ocorrer, contudo desconsideram-se os possíveis efeitos desses ataques
	
	
	As medidas de segurança se dividem em dois tipos: as preventivas e as corretivas
	
	
	Como medida de segurança corretiva, utilizam-se firewalls e criptografia
	
	
	Analisar riscos consiste em enumerar todos os seus tipos, quais deles expõem a informação e quais as consequências dessa exposição, bem como enumerar todas as possibilidades de perda direta e indireta
	
	 
	 
		1 ponto
	
		3.
		(FGV - 2015 - TCE-SE - Analista de Tecnologia da Informação - Segurança da Informação) Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:
I. Uma ameaça tem o poder de comprometer ativos vulneráveis.
II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.
Está correto somente o que se afirma em:
 (Ref.: 202106348066)
	
	
	
	
	I e III
	
	
	III
	
	
	I e II
	
	
	II
	
	
	I
	
	 
	 
		1 ponto
	
		4.
		(CESGRANRIO - 2014 - CEFET-RJ - Tecnólogo ¿ Web) O link de acesso à internet de uma instituição encontra-se muito instável porque o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de risco, isso deve ser considerado como evidência de
 (Ref.: 202106348071)
	
	
	
	
	Resiliência
	
	
	Ameaça
	
	
	Vulnerabilidade
	
	
	Negação de Serviço
	
	
	BYOD
	
	 
	 
		1 ponto
	
		5.
		¿Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio, quando aplicado sistematicamente, é o principal fundamento do sistema de proteção¿. Selecione a opção que se refere a esse mecanismo de proteção:
 (Ref.: 202106348045)
	
	
	
	
	Padrões à prova de falhas.
	
	
	Mediação completa.
	
	
	Privilégio mínimo.
	
	
	Separação de privilégios.
	
	
	Compartilhamento mínimo.
	
	 
	 
		1 ponto
	
		6.
		O sistema de backup de missão crítica é também chamado de ambiente de:
 (Ref.: 202106348060)
	
	
	
	
	Personal Unblocking Key.
	
	
	Daily Backup.
	
	
	Disaster Recovery.
	
	
	Ransomware.
	
	
	Personal Identification Number.
	
	 
	 
		1 ponto
	
		7.
		O sistema de monitoramento de nobreak detectou uma variação na tensão elétrica na entrada dos aparelhos, mas ela não foi o suficiente para causar danos aos equipamentos de computação a eles conectados. Conforme os termos relacionados à segurança da informação, o que ocorreu pode ser classificado como:
 (Ref.: 202106349749)
	
	
	
	
	Variação
	
	
	Eletricidade
	
	
	Dano
	
	
	Evento
	
	
	Tensionamento
	
	 
	 
		1 ponto
	
		8.
		Um membro da comissão de segurança precisa saber informações sobre cada um dos processos da GR. Ele consulta uma dentre as normas da família ISO/IEC 27000 utilizadas para definir uma série de normas relacionadas à segurança da informação. A norma em questão é a:
 (Ref.: 202106332097)
	
	
	
	
	ISO/IEC 31000
	
	
	ISO/IEC 27000
	
	
	ISO/IEC 27001
	
	
	ISO/IEC 27005
	
	
	ISO/IEC 27002
	
	 
	 
		1 ponto
	
		9.
		Em relação ao ciclo básico de atividades recomendado pela NBR 15999 para a realização de um bom Plano de Continuidade de Negócios (PCN) e que segue o modelo PDCA, selecione a etapa na qual serão implementadas as estratégias de prevenção e de mitigação:
 (Ref.: 202106332103)
	
	
	
	
	Documentação de Planos.
	
	
	Definição de Melhores Estratégias.
	
	
	Análise de Impacto de Negócios.
	
	
	Testes e Simulações.
	
	
	Mapeamento de Negócios.
	
	 
	 
		1 ponto
	
		10.
		Seu propósito é fornecer uma base para que se possa entender, desenvolver e implementar a continuidade de negócios em uma organização, além de fortalecer a confiança nos negócios da organização junto aos clientes e outras organizações¿. Selecione a opção para qual se aplica a afirmação citada:
 (Ref.: 202106332107)
	
	
	
	
	Plano de Continuidade Operacional (PCO)
	
	
	Política de Gestão de Continuidade de Negócios (PGCN)
	
	
	Plano de Recuperação de Desastre (PRD)
	
	
	Plano de Administração de Crises (PAC)
	
	
	Plano de Continuidade de Negócios (PCN)
	INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO
	
		Lupa
	 
	Calc.
	
	
	 
	 
	 
	EEX0007_202102400121_ESM
	
	
	
	
		Prezado (a) Aluno(a),
Você fará agora seu TESTE DE CONHECIMENTO! Lembre-se que este exercício é opcional, mas não valerá ponto para sua avaliação. O mesmo será composto de questões de múltipla escolha.
Após responde cada questão, você terá acesso ao gabarito comentado e/ou à explicação da mesma. Aproveite para se familiarizar com este modelo de questões que será usado na sua AV e AVS.
	 
		
	
		1.
		Na questão que avalia conhecimento de informática, a menos que seja explicitamente informado o contrário, considere que: todos os programas mencionados estejam em  configuração‐padrão, em português; o mouse esteja configurado para pessoas destras;  expressões, como clicar, clique simples e clique duplo se refiram a cliques com o botão esquerdo do mouse; e teclar corresponda à operação de pressionar uma tecla e, rapidamente, liberá‐la, acionando‐a apenas uma vez. Considere, também, que não haja restrições de proteção, de funcionamento e de uso em relação aos programas, arquivos, diretórios, recursos e equipamentos mencionados.
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações.
	
	
	
	Não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições
	
	
	Realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação
	
	
	Conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização
	
	
	Direcionar os funcionários apenas para o exercício de suas funções diárias, pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados
	
	
	Descartar o inventário dos ativos, caso a organização possua
	
Explicação:
.
	
	
	 
		
	
		2.
		(Ano: 2009 Banca: FCC Órgão: TCE-GO Prova: FCC - 2009 - TCE-GO - Técnico de Controle Externo - Tecnologia da Informação)
Em relação à segurança da informação e aos controles de acesso físico e lógico, considere:
I. Se um usuário não faz mais parte a lista de um grupo de acesso aos recursos de processamentoda informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes.
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto.
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number).
Está correto o que se afirma em:
	
	
	
	I e II, apenas.
	
	
	II e III, apenas.
	
	
	I, II e III.
	
	
	I e III, apenas.
	
	
	III, apenas.
	
	
	 
		
	
		3.
		(FUNDATEC - 2014 - SEFAZ-RS - Auditor Fiscal da Receita Estadual) Na segurança da informação, a fragilidade de um ativo ou grupo de ativos, que pode ser explorada por uma ou mais ameaças, é chamada de:
	
	
	
	Ameaça
	
	
	Desastre
	
	
	Risco
	
	
	Vulnerabilidade
	
	
	Incidente de Segurança da Informação
	
Explicação:
Módulo 1
	
	
	 
		
	
		4.
		O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio.
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas
	
	
	
	Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas
	
	
	Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas
	
	
	Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio
	
	
	Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada
	
	
	Estabelecer uma política informal proibindo o uso de softwares autorizados
	
Explicação:
.
	
	
	 
		
	
		5.
		A norma ISO/IEC 27001, em conjunto com a norma ISO/IEC 27002 (Código de Boas Práticas da Gestão da Segurança da Informação), formam as principais referências, atualmente, para quem procura tratar a questão da segurança da informação de maneira eficiente e com eficácia. Qual das alternativas abaixo  corresponde à abordagem ISO/IEC 27001 ?
	
	
	
	Um padrão técnico.
	
	
	Um serviço desenvolvido pelos governos para as empresas.
	
	
	Um produto ou tecnologia dirigida.
	
	
	Uma metodologia de avaliação de equipamentos.
	
	
	Um grupo detalhado de controles compreendidos das melhores práticas da segurança da informação.
	
Explicação:
A ISO/IEC 27001 é uma norma e não poderia ser considerada como: uma metodologia, um produto, um serviço ou um padrão. Sendo considerada como um grupo detalhado de controles compreendidos das melhores práticas da segurança da informação.
	
	
	 
		
	
		6.
		Um vírus de computador é um programa carregado em qualquer computador  incluindo computadores pessoais e servidores  sem que o proprietário tenha o conhecimento da sua existência, sendo executado contra a sua vontade.
 
Em relação à descrição: "Esse tipo de vírus é capaz de infectar várias partes de um sistema, incluindo o setor de inicialização, memória e arquivos. Isso dificulta a sua detecção e contenção".
De qual vírus o texto acima se refere?
	
	
	
	Vírus Cavalo de Tróia
	
	
	Vírus Multipartite
	
	
	Vírus Stealth
	
	
	Vírus Polimórfico
	
	
	Vírus de Macro
	
Explicação:
Características de cada tipo de vírus:
CAVALO DE TRÓIA (TROJAN) - São programas aparentemente inofensivos que trazem embutidos em um outro programa (o vírus) maligno.
POLIMÓRFICO - Variação mais inteligente do vírus mutante. Ele tenta dificultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de codificação.
MULTIPARTITE - Vírus que infecta registro mestre de inicialização, trilhas de boot e arquivos.
STEALTH - Vírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar um arquivo sem necessariamente alterar o arquivo infectado.
MACRO - Tipo de vírus que infecta as macros (códigos executáveis utilizados em processadores de texto e planilhas de cálculo para automatizar tarefas) de documentos, desabilitando funções como Salvar, Fechar e Sair.
	
	
	 
		
	
		7.
		A empresa Major atua no segmento de hospedagem de sites. Ela adotou um SGR, mas não levou em consideração um fornecedor de suprimentos de peças de computador sem contrato de prestação de serviços por tempo determinado. A Major, por sua vez, faz contratos por demanda. O fornecedor, neste caso, é classificado como:
	
	
	
	Indivíduo
	
	
	Contratante
	
	
	Parte analisada
	
	
	Comprador
	
	
	Parte interessada
	
Explicação:
Questão enviada pela EAD para inserir direto no sistema.
	
	
	 
		
	
		8.
		A matriz de risco exibe uma escala de impactos medidos para a ocorrência de incidentes de segurança. O risco, contudo, não só é composto de impactos, como também está associado a um fator não determinístico conhecido como:
	
	
	
	Carregamento
	
	
	Matriz
	
	
	Partes interessadas
	
	
	Verdade
	
	
	Probabilidade
	
Explicação:
A probabilidade (eixo vertical) consiste na medição de o quão provável é a ocorrência do risco. Em outras palavras, na probabilidade deve-se analisar o quão fácil ou difícil é que determinado risco aconteça, por exemplo, medir o quão provável é que chova hoje? A probabilidade deve ser medida em níveis, por exemplo: muito baixo, baixo, moderado, alto e muito alto. Essas probabilidades também podem ser convertidas em números (porcentagens) para facilitar o entendimento, sendo:
· muito baixo = 1 a 10%;
· baixo = 11% a 30%;
· moderado = 31% a 50%;
· alto = 51% a 70%;
· muito alto = 71% a 90%.
	
	
	 
		
	
		9.
		Um Plano de Recuperação de Desastres (PRD) é o documento que define os recursos, ações, tarefas e dados requeridos para administrar __________________ e __________________ que suportam os Processos de Negócio. Selecione a opção que preenche corretamente as lacunas:
	
	
	
	as consequências dos desastres previsíveis; na criação de planos de ação.
	
	
	o processo de recuperação; restauração dos componentes.
	
	
	o plano de continuidade; tratamento dos eventos imprevisíveis.
	
	
	o plano de continuidade; tratamento dos eventos previsíveis.
	
	
	o plano de operação; avaliar os pontos de controle.
	
Explicação:
.
	
	
	 
		
	
		10.
		O Risco é um conceito importante quando se trata do Plano de Continuidade de Negócios (PCN). A respeito do Risco, selecione a opção correta:
	
	
	
	Evento súbito e imprevisto que provoca grandes perdas ou danos a uma organização.
	
	
	É um conceito abstrato e com baixa chance de se transformar em um desastre.
	
	
	Possível evento que pode causar perdas ou danos, ou dificultar o atingimento de objetivos.
	
	
	Não pode ser analisado em termos probabilísticos, uma vez que sempre está presente.
	
	
	Normalmente não podem ser controlados.
	
Explicação:
O risco é qualquer evento que possa causar impacto na capacidade de empresas atingirem seus objetivos de negócio. Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização.