Segurança e Auditoria de Sistemas

Prévia do material em texto

Exercício de Segurança e Auditoria de Sistemas - Exercício de Fixação 1 - Tentativa 1 de 3
Questão 1 de 10
Faça a devida correlação entre as fases de um projeto ACL.
1. Planejar o projeto.
2. Adquirir os dados.
3. Acessar os dados com o ACL.
4. Verificar a integridade dos dados.
5. Analisar os dados.
6. Reportar os achados.
I - Assegurar-se de que os dados não contenham elementos corrompidos.
II - Identificar o objetivo em termos comerciais e técnicos.
III - Preparar os resultados para apresentação formal.
IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários.
V - Interrogar e manipular os dados para identificar exceções.
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem.
A - I – 1, II – 4, III – 2, IV – 6, V – 5, VI – 3.
B - I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4.
C - I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3.
D - I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6.
E - I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6.
Questão 2 de 10
A implantação de uma política de segurança da informação em uma organização apresenta benefícios a curto, médio e longo prazo. Assinale a alternativa que corresponde ao benefício de longo prazo:
A - Implantação de controles para resolução de vulnerabilidades
B - Maior segurança nos processos, através da implementação de novos procedimentos e prevenção de acessos não autorizados.
C - Padronização dos procedimentos e conformidade com padrões de segurança (normas ISO/IEC).
D - Redução imediata de probabilidade de ataques a ativos de informação.
E - Retorno do investimento por meio de redução de problemas e incidentes.
Questão 3 de 10
O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física, tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto, assinale a alternativa que corresponde à sequência correta:
A - Importante, crítico, vital, não considerável e relevante.
B - Não-considerável, importante, relevante, crítico e vital.
C - Não-considerável, relevante, importante, crítico e vital.
D - Relevante, não-considerável, importante, vital e crítico.
E - Vital, crítico, importante, relevante e não-considerável.
Questão 4 de 10
A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
A - É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados.
B - É o processo que implementa a teoria da agência.
C - É o processo que verifica somente informações da área contábil.
D - É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade.
E - É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estão sendo atendidos.
Questão 5 de 10
Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do menor nível de abstração até o maior nível:
A - Conhecimento, informação, dados.
B - Dados, conhecimento, informação.
C - Dados, informação, conhecimento.
D - Informação, conhecimento, dados.
E - Informação, dados, conhecimento.
Questão 6 de 10
No contexto da segurança da informação, o termo “engenharia social” se refere a
A - Conjunto de práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas, através da persuasão e se aproveitando da ingenuidade ou confiança das pessoas.
B - Conjunto de recomendações que permitem a um administrador do computador acessar informações sobre novas versões do Windows, através da utilização das teclas de atalho “CTRL-S”.
C - Estratégia de proteção contra vírus, que consiste em distribuir versões gratuitas de programas antivírus, por e-mail, para todos os endereços da lista de contatos do usuário.
D - Prática recomendada pela “Organização Mundial de Segurança”, segundo a qual o procedimento de atualização dos programas antivírus deve ser realizado por usuários diferentes a cada vez.
E - Série de normas que ensinam, dentre outras coisas, a identificar as pessoas responsáveis pela criação de vírus e outras ameaças eletrônicas.
Questão 7 de 10
Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica:
A - É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a fim de aumentar a segurança da informação.
B - É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação de uma função matemática unidirecional a uma quantidade de dados arbitrária.
C - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular para criptografar dados e uma chave pública para descriptografá-los.
D - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los.
E - Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia.
Questão 8 de 10
Quais são as cinco fases do Ciclo de Vida de Desenvolvimento de Sistemas, às quais devem ser integradas ao gerenciamento de risco?
A - Caracterização, identificação, analise, determinação e recomendação.
B - Identificação, analise, determinação, recomendação e documentação.
C - Iniciação, aquisição, implementação, manutenção e caracterização.
D - Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e Eliminação.
E - Iniciação, desenvolvimento, implementação, caracterização e documentação.
Questão 9 de 10
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação:
A - A informação é conservada para futura utilização.
B - A informação é criada, ou obtida através de uma fonte externa.
C - Quando é gerado valor agregado à informação.
D - Quando é realizado algum tipo de organização ou formatação da informação.
E - Quando é realizado o expurgo de informações.
Questão 10 de 10
No ciclo de vida da informação, é a etapa mais importante de todo processo de gestão da informação, pois dentro de suas finalidades básicas de conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes, é ela que garante melhores resultados em uma organização. Trata-se da etapa de:
A - Armazenamento.
B - Distribuição.
C - Obtenção.
D - Tratamento.
E - Uso.
Exercício de Segurança e Auditoria de Sistemas - Exercício de Fixação 2 - Tentativa 1 de 3
Questão 1 de 10
As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO:
A - Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone.
B - Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente.
C - Implementar tecnologias de identificação de chamadas de/ou para o suporte.
D - Investir em equipamento triturador.
E - Investir em software específico disponível para proteger uma empresa contra a engenharia social.
Questão 2 de 10
Quanto ao processo de assinatura digital, analise as sentenças abaixo:
I-As assinaturas digitais usam um formato padrão aceito mundialmente, denominado Public Key Infrastructure (PKI).
II-A PKI é um sistema criptográfico simétrico.
III-Para assinar digitalmente documentos, um usuário precisa obter um par dechaves: chave pública e chave privada, através de um certificado digital.
IV-O receptor do documento utiliza a chave pública do emissor para descriptografar a assinatura. Se a chave pública não puder descriptografar a assinatura (através da comparação dos hashes), isso significa que a assinatura não poderá ser validada.
Está correto o que consta em:
A - I, III e IV, apenas.
B - I,II e III, apenas.
C - I,II,III,IV.
D - II e IV, apenas.
E - III, apenas.
Questão 3 de 10
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar:
A - A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação obtida para fins ilícitos.
B - A etapa de manipulação psicológica é a etapa de levantamento de informações sobre o(s) alvo(s) e o ambiente circunvizinho a este.
C - A etapa de manipulação psicológica é o primeiro passo em um ataque de engenharia social.
D - A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados.
E - Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é único.
Questão 4 de 10
Quanto a certificados digitais, NÃO é correto afirmar:
A - Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian.
B - No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil.
C - O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais.
D - O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz).
E - O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”.
Questão 5 de 10
Quanto a estratégias para mitigação de riscos, no contexto de gerenciamento de riscos em segurança da informação, é correto afirmar:
A - Se o custo do ataque é maior que o ganho, então o risco não é aceitável.
B - Se o custo do ataque é menor que o ganho, então o risco não é aceitável.
C - Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.
D - Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
E - Se o projeto do sistema não é vulnerável, o risco é existente.
Questão 6 de 10
Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO:
A - Capacidade de conciliar os interesses de segurança com os interesses do negócio.
B - Certificações e especializações na área de segurança da informação.
C - Dominar técnicas de engenharia social.
D - Excelente capacidade de comunicação.
E - Familiaridade com termos e conceitos da área.
Questão 7 de 10
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas:
A - Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas.
B - Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados.
C - Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
D - Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados.
E - Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
Questão 8 de 10
Sobre autenticação de fator múltiplo, analise as sentenças abaixo:
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha.
II O fator de herança inclui algo que o usuário possui, como um token.
III O PIN é um fator de posse.
IV A biometria é um fator de herança.
Está correto o que consta em:
A - I e IV, somente.
B - I, III e IV, somente.
C - I, somente.
D - III e IV, somente.
E - IV, somente.
Questão 9 de 10
Quanto às categorias de malwares, analise as sentenças abaixo:
I. Vírus é um programa que se autorreplica após alguma ação do usuário.
II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário.
III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário.
IV. Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo.
 Está correto o que consta em:
A - I e II, apenas.
B - I e IV, apenas.
C - I,II e IV, apenas.
D - I,II,III,IV.
E - IV, apenas.
Questão 10 de 10
Sobre forense computacional, é correto afirmar que:
A - A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, não necessitando de peritos especialistas nesta área.
B - A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo.
C - A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita somente a incidentes de segurança que não envolvam quebra de leis.
D - Não é possível recuperar informações a partir de fragmentos de arquivos.
E - Quando ocorre um incidente de segurança em uma empresa, não é necessário observar procedimentos de preservação de evidências.
Exercício de Segurança e Auditoria de Sistemas - Exercício de Fixação 3 - Tentativa 1 de 3
Questão 1 de 10
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de simulação paralela. A respeito desta técnica assinale a alternativa correta:
A - É uma técnica que consiste em incluir a lógica de auditoria nos sistemas na fase de desenvolvimento.
B - É uma técnica que consiste na análise de um arquivo de log do tipo sysadmin.
C - É uma técnica também conhecida como ITF.
D - Esta técnica processa os dados reais do cliente por meio de um programa de auditoria especialmente desenvolvido e que atende a toda a lógica necessária para o teste, simulando as funcionalidades do programa em produção.
E - Esta técnica também é conhecida como “test data” ou “test deck”.
Questão 2 de 10
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA:
A - Antes das transações serem executadas, os resultados de teste esperado são predeterminados, para que os resultados reais possam ser comparados com os resultados predeterminados.
B - Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema.
C - Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples.
D - Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de transações que ocorrem normalmente e testes usando dados inválidos.
E - Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste.
Questão 3 de 10
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa:
A - O auditor adquire os dados para o projeto.
B - O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local.
C - O auditor informa ao software ACL como ler e interpretar os dados que ele contém.
D - Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca asdeclarações dos objetivos do projeto.
E - Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado.
Questão 4 de 10
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma:
A - ISO 19011
B - ISO 27001
C - ISO 27002
D - ISO 9001
E - ISO 9002
Questão 5 de 10
As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização denominada:
A - IEEE.
B - INMETRO.
C - INTOSAI.
D - ISACA.
E - ISO.
Questão 6 de 10
Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a:
A - ACL
B - COBIT
C - INMETRO
D - ISACA
E - ISSO
Questão 7 de 10
O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública. Assinale a alternativa que apresenta o órgão responsável por este guia:
A - IEEE.
B - INMETRO
C - INTOSAI
D - ISSO
E - TCU
Questão 8 de 10
Em um relatório de auditoria de sistemas de informação, a seção de metodologia de auditoria:
A - Descreve o tipo de auditoria e o que está a ser auditado.
B - Fornece uma conclusão geral.
C - Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada objetivo.
D - Fornece uma explicação detalhada dos resultados da auditoria.
E - Identifica os itens a serem avaliados pela auditoria.
Questão 9 de 10
A respeito do relatório de auditoria de sistemas de informação, assinale a alternativa INCORRETA:
A - O conteúdo do relatório deve ser suficientemente abrangente para permitir que o mesmo seja independente.
B - O relatório é o principal meio de comunicar os resultados de uma auditoria ao cliente ou entidade auditada.
C - O relatório pode ter um impacto significativo nas decisões de gestão relativas à organização auditada e aos seus destinatários.
D - Os relatórios devem ajudar os auditados a compreender as questões de controle, recomendações e o risco associado de não tomarem medidas corretivas.
E - Os relatórios não são distribuídos a partes externas, como o público em geral ou agências governamentais que têm autoridade reguladora sobre a entidade de auditoria, visto que tratam de informações confidenciais das organizações.
Questão 10 de 10
Faça a devida correlação entre as fases de um projeto ACL:
1.Planejar o projeto
2.Adquirir os dados
3.Acessar os dados com o ACL
4.Verificar a integridade dos dados
5.Analisar os dados
6.Reportar os achados
I - Assegurar-se de que os dados não contenham elementos corrompidos.
II - Identificar o objetivo em termos comerciais e técnicos.
III - Preparar os resultados para apresentação formal.
IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários.
V - Interrogar e manipular os dados para identificar exceções.
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem.
A - I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3
B - I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4
C - I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3
D - I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6
E - I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6
Prova de Segurança e Auditoria de Sistemas - Exercício do Conhecimento - Tentativa 1 de 2
Questão 1 de 5
A auditoria de sistemas utiliza a técnica de facilidade de teste integrado (ITF − Integrated Test Facility), na qual dados de teste são introduzidos nos ambientes reais de processamento utilizando-se versões correntes da produção. Os auditores criam uma espécie de empresa fictícia nos arquivos processados pelo sistema de aplicação.
Abaixo a figura do ITF
Em relação a vantagem e desvantagem, selecione a alternativa correta:
A - Vantagem – custo a ser definido pela empresa Desvantagem – mistura de dados reais e fictícios
B - Vantagem – custo baixo por ser na empresa Desvantagem – contaminação com dados reais
C - Vantagem – custo baixo por ser na empresa Desvantagem – mistura de dados reais e fictícios
D - Vantagem – mistura de dados fictícios Desvantagem – contaminação com dados reais
E - Vantagem – pode ser feito a distância Desvantagem – mistura de dados reais e fictícios
Questão 2 de 5
O gerenciamento de riscos compreende em diminuir a exposição aos riscos mais relevantes, pode-se adotar a estratégia da identificação do impacto que os riscos podem oferecer às atividades da organização, assim como sua probabilidade de ocorrência, mediante a análise da matriz de riscos:
I - Compreender os objetivos
II - Compreender os riscos
III - administrar os riscos
IV - exposição aceitável
Selecione a alternativa que define a sequência ideal para a matriz de riscos:
A - I, II, III e IV.
B - I, II, III.
C - I, IIII, IV e III.
D - I, IV, III e II.
E - II, III, IV e I.
Questão 3 de 5
A auditoria envolve tecnologia, o que tornou possível vários tipos de análise e produção de resultados extraordinários na área, bem como uma atuação mais próxima da realidade. Verifique abaixo quais ferramentas podem ser utilizadas em auditoria:
I - Ferramentas de estruturação de dados
II -ferramentas para análise estatística
III - ferramentas para acompanhamento das fases de planejamento e execução
IV -ferramentas de gestão de conhecimento
V - ferramentas de avaliação de riscos
Selecione a alternativa que define quais ferramentas podem ser utilizadas em auditoria:
A - I, II e V.
B - I, II, III e IV.
C - I, II, III, IV e V.
D - I, III e V.
E - I, IIII, IV e VI.
Questão 4 de 5
A política de segurança de informação na empresa é fator fundamental para o sucesso da utilização da informação e a segmentação desta utilização de acordo com as atribuições dos funcionários ou outros sistemas que utilizarão a mesma. O desenvolvimento desta política possui algumas características, selecione a alternativa que a contempla.
A - A alta direção deve estar comprometida e totalmente ciente da política que será implementada.
B - Nem todos os passos da elaboração da política de segurança serão registrados, até por motivo de segurança.
C - Normas e procedimentos podem ser feitos após implantação para que não se perca tempo;
D - O levantamento e validação e implementação das informações serão feitas exclusivamente pela equipe de responsável pela equipe segurança.
E - Toda empresa deve implementar a política de segurança, mas não há a necessidade de que todos os envolvidos fiquem cientes da mesma.
Questão 5 de 5
A necessidade de desenvolver aplicações seguras é prioridade nas empresas. As normas ABNT relativas à segurança da informação são (ISO/IEC 15.408 e família ISO/IEC 27000). Para um ambiente seguro deve-se utilizar:
I- Configuração estática;
II- Suporte ao ciclo de vida;
III- testes apenas nas situações críticas de segurança;
IV- Analisar e avaliar as vulnerabilidades.
Selecione a alternativa que define os principais aspectos de um ambiente seguro:
A - I e II.
B - I, II e III.
C - I, II, III e IV.
D - II e III.
E - II e IV.
Prova de Workshop 5 - Programa de Habilidades Socioemocionais - Avaliação Workshop - Tentativa 1 de 2
Questão 1 de 5
De acordo com o texto estudado, assinale a alternativa correta no que se refere a competência socioemocional “Imaginação Criativa”.
A - Tem relação estreita com a função executiva “Flexibilidade”, pois implica desenvolver um olhar alternativo que possibilite ampliar o entendimento e enxergar novas possibilidades.
B - Anda de mãos dadas com a macrocompetência “Resiliência Emocional”, pois a busca de novas ideias muitas vezes pode trazer frustrações, inseguranças e outras emoções nem sempre fáceis de serem vividas.
C - A vulnerabilidade, a insegurança e o caos podem ser considerados com um terreno fértil para novas ideias e criações.
D - Há vezes em que a tentativa de produzir uma coisa nova parece dar errado, mas se mudamos a perspectiva vemos que esse “erro” dá origem a algo novo.
E - Todas as afirmações anteriores são verdadeiras.
Questão 2 de 5
Analisando o que estudamos no curso, as imagens que representam o infinito, a fita de Möbius e Ouroborusforam utilizadas como símbolos que representam:
A - A infinitude de tudo que existe no mundo.
B - A voracidade do tempo.
C - A velocidade do tempo.
D - Os ciclos da vida.
E - A velocidade da vida.
Questão 3 de 5
No modelo do Instituto Ayrton Senna, em que este curso se baseia, a “Abertura ao Novo” é subdividido em quais competências?
A - Empatia, Respeito, Confiança.
B - Curiosidade para Aprender, Imaginação Criativa, Interesse Artístico.
C - Iniciativa Social, Assertividade, Entusiasmo.
D - Tolerância ao Estresse, Tolerância à Frustração, Autoconfiança.
E - Determinação, Organização, Foco, Persistência, Responsabilidade.
Questão 4 de 5
Os principais objetivos deste curso que está se encerrando foram: 
A - Subsidiar os estudantes com referências teóricas sobre competências socioemocionais e sobre funções executivas.
B - Salientar a estreita relação entre razão e emoção no ser humano.
C - Estimular a utilização do modelo Big Five e das Funções Executivas do cérebro como possíveis “espelhos” para o autoconhecimento.
D - Promover reflexões sobre a busca de equilíbrio entre múltiplos fatores que fazem parte da vida, tanto internos como externos, como caminho para o amadurecimento socioemocional. 
E - Todas as alternativas estão corretas.
Questão 5 de 5
Na concepção defendida neste curso, a competência “Abertura ao Novo” implica:
A - A importância de estarmos sempre abertos a novas experiências, pois somente assim nos desenvolvemos. Todos devemos aceitar essas novas experiências, que são as mudanças radicais em nossas vidas.
B - Independente do risco envolvido, uma pessoa adulta sempre deve experimentar o novo.
C - O novo pode envolver riscos. Arriscar-se em relação ao desconhecido é uma tomada de decisão, e para isso é necessário ter consciência de prováveis ou possíveis consequências.
D - Todas as pessoas devem desenvolver o seu espírito aventureiro, seu gosto pelo risco, pois somente assim a humanidade evolui.
E - O que sabemos e dominamos não habita nossa zona de conforto.
Prova de Segurança e Auditoria de Sistemas - Avaliação Objetiva - Tentativa 1 de 2
Questão 1 de 10
As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO:
A - Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone.
B - Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente.
C - Implementar tecnologias de identificação de chamadas de/ou para o suporte.
D - Investir em equipamento triturador.
E - Investir em software específico disponível para proteger uma empresa contra a engenharia social.
Questão 2 de 10
Consideram as afirmações:
I - “O software Audit Command Language faz parte da categoria de softwares especializados em auditoria, visto que possui diversas funcionalidades, podendo ler bases de dados de diversos formatos.”
II - O software IDEA permite auditoria baseada em gestão de risco, através de governança organizacional e alto desempenho operacional.
III - As ferramentas específicas de auditoria de SI possuem a vantagem de serem desenvolvidas para uma demanda específica, por isso a eficiência da ferramenta é muito maior do que um software generalista, além de ter custo baixo de produção, visto que possui menos funcionalidades que necessitam ser desenvolvidas.
Podemos dizer que:
A - I, II e III são falsas
B - I, II e III são verdadeiras
C - II e III são falsas
D - Somente II e III são verdadeiras
E - Somente III é verdadeira
Questão 3 de 10
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa:
A - O auditor adquire os dados para o projeto.
B - O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local.
C - O auditor informa ao software ACL como ler e interpretar os dados que ele contém.
D - Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca as declarações dos objetivos do projeto.
E - Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado.
Questão 4 de 10
Sobre tipos de backup é correto afirmar:
A - Backup completo é a soma de um backup diferencial com um backup incremental.
B - Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.
C - Os backups diferenciais são mais seguros que os backups incrementais.
D - Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo.
E - Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.
Questão 5 de 10
Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o exame independente e objetivo afirma que:
A - A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013.
B - A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal).
C - A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento.
D - A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das regras de negócio, de modo a assegurar a fidelidade no julgamento.
E - A auditoria deve ser realizada somente por órgãos governamentais, como o TCU.
Questão 6 de 10
Quanto à segurança no tratamento de mídias, é correto afirmar:
A - Não existem normas que tratam do descarte de mídias de forma segura.
B - O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
C - Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação.
D - Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação.
E - Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível.
Questão 7 de 10
Quanto às categorias de malwares, analise as sentenças abaixo:
I. Vírus é um programa que se autorreplica após alguma ação do usuário.
II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário.
III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário.
IV. Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo.
 Está correto o que consta em:
A - I e II, apenas.
B - I e IV, apenas.
C - I,II e IV, apenas.
D - I,II,III,IV.
E - IV, apenas.
Questão 8 de 10
Quanto à segurança no tratamento de mídias, é correto afirmar:
A - Não existem normas que tratam do descarte de mídias de forma segura.
B - O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
C - Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação.
D - Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação.
E - Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível.
Questão 9 de 10
Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica:
A - É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a fim de aumentar a segurança da informação.
B - É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação de uma função matemática unidirecional a uma quantidade de dados arbitrária.
C - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular para criptografar dados e uma chave pública para descriptografá-los.
D - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los.
E - Usa um algoritmode criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia.
Questão 10 de 10
Quanto a certificados digitais, NÃO é correto afirmar:
A - Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian.
B - No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil.
C - O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais.
D - O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz).
E - O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”.