Baixe o app para aproveitar ainda mais
Prévia do material em texto
Exercício de Segurança e Auditoria de Sistemas - Exercício de Fixação 1 - Tentativa 1 de 3 Questão 1 de 10 Faça a devida correlação entre as fases de um projeto ACL. 1. Planejar o projeto. 2. Adquirir os dados. 3. Acessar os dados com o ACL. 4. Verificar a integridade dos dados. 5. Analisar os dados. 6. Reportar os achados. I - Assegurar-se de que os dados não contenham elementos corrompidos. II - Identificar o objetivo em termos comerciais e técnicos. III - Preparar os resultados para apresentação formal. IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários. V - Interrogar e manipular os dados para identificar exceções. VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem. A - I – 1, II – 4, III – 2, IV – 6, V – 5, VI – 3. B - I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4. C - I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3. D - I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6. E - I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6. Questão 2 de 10 A implantação de uma política de segurança da informação em uma organização apresenta benefícios a curto, médio e longo prazo. Assinale a alternativa que corresponde ao benefício de longo prazo: A - Implantação de controles para resolução de vulnerabilidades B - Maior segurança nos processos, através da implementação de novos procedimentos e prevenção de acessos não autorizados. C - Padronização dos procedimentos e conformidade com padrões de segurança (normas ISO/IEC). D - Redução imediata de probabilidade de ataques a ativos de informação. E - Retorno do investimento por meio de redução de problemas e incidentes. Questão 3 de 10 O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física, tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto, assinale a alternativa que corresponde à sequência correta: A - Importante, crítico, vital, não considerável e relevante. B - Não-considerável, importante, relevante, crítico e vital. C - Não-considerável, relevante, importante, crítico e vital. D - Relevante, não-considerável, importante, vital e crítico. E - Vital, crítico, importante, relevante e não-considerável. Questão 4 de 10 A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria: A - É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados. B - É o processo que implementa a teoria da agência. C - É o processo que verifica somente informações da área contábil. D - É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade. E - É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estão sendo atendidos. Questão 5 de 10 Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do menor nível de abstração até o maior nível: A - Conhecimento, informação, dados. B - Dados, conhecimento, informação. C - Dados, informação, conhecimento. D - Informação, conhecimento, dados. E - Informação, dados, conhecimento. Questão 6 de 10 No contexto da segurança da informação, o termo “engenharia social” se refere a A - Conjunto de práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas, através da persuasão e se aproveitando da ingenuidade ou confiança das pessoas. B - Conjunto de recomendações que permitem a um administrador do computador acessar informações sobre novas versões do Windows, através da utilização das teclas de atalho “CTRL-S”. C - Estratégia de proteção contra vírus, que consiste em distribuir versões gratuitas de programas antivírus, por e-mail, para todos os endereços da lista de contatos do usuário. D - Prática recomendada pela “Organização Mundial de Segurança”, segundo a qual o procedimento de atualização dos programas antivírus deve ser realizado por usuários diferentes a cada vez. E - Série de normas que ensinam, dentre outras coisas, a identificar as pessoas responsáveis pela criação de vírus e outras ameaças eletrônicas. Questão 7 de 10 Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica: A - É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a fim de aumentar a segurança da informação. B - É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação de uma função matemática unidirecional a uma quantidade de dados arbitrária. C - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular para criptografar dados e uma chave pública para descriptografá-los. D - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los. E - Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia. Questão 8 de 10 Quais são as cinco fases do Ciclo de Vida de Desenvolvimento de Sistemas, às quais devem ser integradas ao gerenciamento de risco? A - Caracterização, identificação, analise, determinação e recomendação. B - Identificação, analise, determinação, recomendação e documentação. C - Iniciação, aquisição, implementação, manutenção e caracterização. D - Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e Eliminação. E - Iniciação, desenvolvimento, implementação, caracterização e documentação. Questão 9 de 10 Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação: A - A informação é conservada para futura utilização. B - A informação é criada, ou obtida através de uma fonte externa. C - Quando é gerado valor agregado à informação. D - Quando é realizado algum tipo de organização ou formatação da informação. E - Quando é realizado o expurgo de informações. Questão 10 de 10 No ciclo de vida da informação, é a etapa mais importante de todo processo de gestão da informação, pois dentro de suas finalidades básicas de conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes, é ela que garante melhores resultados em uma organização. Trata-se da etapa de: A - Armazenamento. B - Distribuição. C - Obtenção. D - Tratamento. E - Uso. Exercício de Segurança e Auditoria de Sistemas - Exercício de Fixação 2 - Tentativa 1 de 3 Questão 1 de 10 As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO: A - Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. B - Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente. C - Implementar tecnologias de identificação de chamadas de/ou para o suporte. D - Investir em equipamento triturador. E - Investir em software específico disponível para proteger uma empresa contra a engenharia social. Questão 2 de 10 Quanto ao processo de assinatura digital, analise as sentenças abaixo: I-As assinaturas digitais usam um formato padrão aceito mundialmente, denominado Public Key Infrastructure (PKI). II-A PKI é um sistema criptográfico simétrico. III-Para assinar digitalmente documentos, um usuário precisa obter um par dechaves: chave pública e chave privada, através de um certificado digital. IV-O receptor do documento utiliza a chave pública do emissor para descriptografar a assinatura. Se a chave pública não puder descriptografar a assinatura (através da comparação dos hashes), isso significa que a assinatura não poderá ser validada. Está correto o que consta em: A - I, III e IV, apenas. B - I,II e III, apenas. C - I,II,III,IV. D - II e IV, apenas. E - III, apenas. Questão 3 de 10 Quanto ao ciclo de vida da Engenharia Social, é correto afirmar: A - A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação obtida para fins ilícitos. B - A etapa de manipulação psicológica é a etapa de levantamento de informações sobre o(s) alvo(s) e o ambiente circunvizinho a este. C - A etapa de manipulação psicológica é o primeiro passo em um ataque de engenharia social. D - A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados. E - Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é único. Questão 4 de 10 Quanto a certificados digitais, NÃO é correto afirmar: A - Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian. B - No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil. C - O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais. D - O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz). E - O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”. Questão 5 de 10 Quanto a estratégias para mitigação de riscos, no contexto de gerenciamento de riscos em segurança da informação, é correto afirmar: A - Se o custo do ataque é maior que o ganho, então o risco não é aceitável. B - Se o custo do ataque é menor que o ganho, então o risco não é aceitável. C - Se o projeto do sistema é vulnerável e explorável, o risco é inexistente. D - Se o projeto do sistema é vulnerável e não explorável, o risco é existente. E - Se o projeto do sistema não é vulnerável, o risco é existente. Questão 6 de 10 Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO: A - Capacidade de conciliar os interesses de segurança com os interesses do negócio. B - Certificações e especializações na área de segurança da informação. C - Dominar técnicas de engenharia social. D - Excelente capacidade de comunicação. E - Familiaridade com termos e conceitos da área. Questão 7 de 10 Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas: A - Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. B - Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados. C - Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. D - Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados. E - Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. Questão 8 de 10 Sobre autenticação de fator múltiplo, analise as sentenças abaixo: I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha. II O fator de herança inclui algo que o usuário possui, como um token. III O PIN é um fator de posse. IV A biometria é um fator de herança. Está correto o que consta em: A - I e IV, somente. B - I, III e IV, somente. C - I, somente. D - III e IV, somente. E - IV, somente. Questão 9 de 10 Quanto às categorias de malwares, analise as sentenças abaixo: I. Vírus é um programa que se autorreplica após alguma ação do usuário. II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário. III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário. IV. Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo. Está correto o que consta em: A - I e II, apenas. B - I e IV, apenas. C - I,II e IV, apenas. D - I,II,III,IV. E - IV, apenas. Questão 10 de 10 Sobre forense computacional, é correto afirmar que: A - A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, não necessitando de peritos especialistas nesta área. B - A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. C - A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita somente a incidentes de segurança que não envolvam quebra de leis. D - Não é possível recuperar informações a partir de fragmentos de arquivos. E - Quando ocorre um incidente de segurança em uma empresa, não é necessário observar procedimentos de preservação de evidências. Exercício de Segurança e Auditoria de Sistemas - Exercício de Fixação 3 - Tentativa 1 de 3 Questão 1 de 10 Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de simulação paralela. A respeito desta técnica assinale a alternativa correta: A - É uma técnica que consiste em incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. B - É uma técnica que consiste na análise de um arquivo de log do tipo sysadmin. C - É uma técnica também conhecida como ITF. D - Esta técnica processa os dados reais do cliente por meio de um programa de auditoria especialmente desenvolvido e que atende a toda a lógica necessária para o teste, simulando as funcionalidades do programa em produção. E - Esta técnica também é conhecida como “test data” ou “test deck”. Questão 2 de 10 Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA: A - Antes das transações serem executadas, os resultados de teste esperado são predeterminados, para que os resultados reais possam ser comparados com os resultados predeterminados. B - Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema. C - Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples. D - Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de transações que ocorrem normalmente e testes usando dados inválidos. E - Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. Questão 3 de 10 Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa: A - O auditor adquire os dados para o projeto. B - O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local. C - O auditor informa ao software ACL como ler e interpretar os dados que ele contém. D - Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca asdeclarações dos objetivos do projeto. E - Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado. Questão 4 de 10 A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma: A - ISO 19011 B - ISO 27001 C - ISO 27002 D - ISO 9001 E - ISO 9002 Questão 5 de 10 As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização denominada: A - IEEE. B - INMETRO. C - INTOSAI. D - ISACA. E - ISO. Questão 6 de 10 Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a: A - ACL B - COBIT C - INMETRO D - ISACA E - ISSO Questão 7 de 10 O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública. Assinale a alternativa que apresenta o órgão responsável por este guia: A - IEEE. B - INMETRO C - INTOSAI D - ISSO E - TCU Questão 8 de 10 Em um relatório de auditoria de sistemas de informação, a seção de metodologia de auditoria: A - Descreve o tipo de auditoria e o que está a ser auditado. B - Fornece uma conclusão geral. C - Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada objetivo. D - Fornece uma explicação detalhada dos resultados da auditoria. E - Identifica os itens a serem avaliados pela auditoria. Questão 9 de 10 A respeito do relatório de auditoria de sistemas de informação, assinale a alternativa INCORRETA: A - O conteúdo do relatório deve ser suficientemente abrangente para permitir que o mesmo seja independente. B - O relatório é o principal meio de comunicar os resultados de uma auditoria ao cliente ou entidade auditada. C - O relatório pode ter um impacto significativo nas decisões de gestão relativas à organização auditada e aos seus destinatários. D - Os relatórios devem ajudar os auditados a compreender as questões de controle, recomendações e o risco associado de não tomarem medidas corretivas. E - Os relatórios não são distribuídos a partes externas, como o público em geral ou agências governamentais que têm autoridade reguladora sobre a entidade de auditoria, visto que tratam de informações confidenciais das organizações. Questão 10 de 10 Faça a devida correlação entre as fases de um projeto ACL: 1.Planejar o projeto 2.Adquirir os dados 3.Acessar os dados com o ACL 4.Verificar a integridade dos dados 5.Analisar os dados 6.Reportar os achados I - Assegurar-se de que os dados não contenham elementos corrompidos. II - Identificar o objetivo em termos comerciais e técnicos. III - Preparar os resultados para apresentação formal. IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários. V - Interrogar e manipular os dados para identificar exceções. VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem. A - I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3 B - I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4 C - I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3 D - I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6 E - I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6 Prova de Segurança e Auditoria de Sistemas - Exercício do Conhecimento - Tentativa 1 de 2 Questão 1 de 5 A auditoria de sistemas utiliza a técnica de facilidade de teste integrado (ITF − Integrated Test Facility), na qual dados de teste são introduzidos nos ambientes reais de processamento utilizando-se versões correntes da produção. Os auditores criam uma espécie de empresa fictícia nos arquivos processados pelo sistema de aplicação. Abaixo a figura do ITF Em relação a vantagem e desvantagem, selecione a alternativa correta: A - Vantagem – custo a ser definido pela empresa Desvantagem – mistura de dados reais e fictícios B - Vantagem – custo baixo por ser na empresa Desvantagem – contaminação com dados reais C - Vantagem – custo baixo por ser na empresa Desvantagem – mistura de dados reais e fictícios D - Vantagem – mistura de dados fictícios Desvantagem – contaminação com dados reais E - Vantagem – pode ser feito a distância Desvantagem – mistura de dados reais e fictícios Questão 2 de 5 O gerenciamento de riscos compreende em diminuir a exposição aos riscos mais relevantes, pode-se adotar a estratégia da identificação do impacto que os riscos podem oferecer às atividades da organização, assim como sua probabilidade de ocorrência, mediante a análise da matriz de riscos: I - Compreender os objetivos II - Compreender os riscos III - administrar os riscos IV - exposição aceitável Selecione a alternativa que define a sequência ideal para a matriz de riscos: A - I, II, III e IV. B - I, II, III. C - I, IIII, IV e III. D - I, IV, III e II. E - II, III, IV e I. Questão 3 de 5 A auditoria envolve tecnologia, o que tornou possível vários tipos de análise e produção de resultados extraordinários na área, bem como uma atuação mais próxima da realidade. Verifique abaixo quais ferramentas podem ser utilizadas em auditoria: I - Ferramentas de estruturação de dados II -ferramentas para análise estatística III - ferramentas para acompanhamento das fases de planejamento e execução IV -ferramentas de gestão de conhecimento V - ferramentas de avaliação de riscos Selecione a alternativa que define quais ferramentas podem ser utilizadas em auditoria: A - I, II e V. B - I, II, III e IV. C - I, II, III, IV e V. D - I, III e V. E - I, IIII, IV e VI. Questão 4 de 5 A política de segurança de informação na empresa é fator fundamental para o sucesso da utilização da informação e a segmentação desta utilização de acordo com as atribuições dos funcionários ou outros sistemas que utilizarão a mesma. O desenvolvimento desta política possui algumas características, selecione a alternativa que a contempla. A - A alta direção deve estar comprometida e totalmente ciente da política que será implementada. B - Nem todos os passos da elaboração da política de segurança serão registrados, até por motivo de segurança. C - Normas e procedimentos podem ser feitos após implantação para que não se perca tempo; D - O levantamento e validação e implementação das informações serão feitas exclusivamente pela equipe de responsável pela equipe segurança. E - Toda empresa deve implementar a política de segurança, mas não há a necessidade de que todos os envolvidos fiquem cientes da mesma. Questão 5 de 5 A necessidade de desenvolver aplicações seguras é prioridade nas empresas. As normas ABNT relativas à segurança da informação são (ISO/IEC 15.408 e família ISO/IEC 27000). Para um ambiente seguro deve-se utilizar: I- Configuração estática; II- Suporte ao ciclo de vida; III- testes apenas nas situações críticas de segurança; IV- Analisar e avaliar as vulnerabilidades. Selecione a alternativa que define os principais aspectos de um ambiente seguro: A - I e II. B - I, II e III. C - I, II, III e IV. D - II e III. E - II e IV. Prova de Workshop 5 - Programa de Habilidades Socioemocionais - Avaliação Workshop - Tentativa 1 de 2 Questão 1 de 5 De acordo com o texto estudado, assinale a alternativa correta no que se refere a competência socioemocional “Imaginação Criativa”. A - Tem relação estreita com a função executiva “Flexibilidade”, pois implica desenvolver um olhar alternativo que possibilite ampliar o entendimento e enxergar novas possibilidades. B - Anda de mãos dadas com a macrocompetência “Resiliência Emocional”, pois a busca de novas ideias muitas vezes pode trazer frustrações, inseguranças e outras emoções nem sempre fáceis de serem vividas. C - A vulnerabilidade, a insegurança e o caos podem ser considerados com um terreno fértil para novas ideias e criações. D - Há vezes em que a tentativa de produzir uma coisa nova parece dar errado, mas se mudamos a perspectiva vemos que esse “erro” dá origem a algo novo. E - Todas as afirmações anteriores são verdadeiras. Questão 2 de 5 Analisando o que estudamos no curso, as imagens que representam o infinito, a fita de Möbius e Ouroborusforam utilizadas como símbolos que representam: A - A infinitude de tudo que existe no mundo. B - A voracidade do tempo. C - A velocidade do tempo. D - Os ciclos da vida. E - A velocidade da vida. Questão 3 de 5 No modelo do Instituto Ayrton Senna, em que este curso se baseia, a “Abertura ao Novo” é subdividido em quais competências? A - Empatia, Respeito, Confiança. B - Curiosidade para Aprender, Imaginação Criativa, Interesse Artístico. C - Iniciativa Social, Assertividade, Entusiasmo. D - Tolerância ao Estresse, Tolerância à Frustração, Autoconfiança. E - Determinação, Organização, Foco, Persistência, Responsabilidade. Questão 4 de 5 Os principais objetivos deste curso que está se encerrando foram: A - Subsidiar os estudantes com referências teóricas sobre competências socioemocionais e sobre funções executivas. B - Salientar a estreita relação entre razão e emoção no ser humano. C - Estimular a utilização do modelo Big Five e das Funções Executivas do cérebro como possíveis “espelhos” para o autoconhecimento. D - Promover reflexões sobre a busca de equilíbrio entre múltiplos fatores que fazem parte da vida, tanto internos como externos, como caminho para o amadurecimento socioemocional. E - Todas as alternativas estão corretas. Questão 5 de 5 Na concepção defendida neste curso, a competência “Abertura ao Novo” implica: A - A importância de estarmos sempre abertos a novas experiências, pois somente assim nos desenvolvemos. Todos devemos aceitar essas novas experiências, que são as mudanças radicais em nossas vidas. B - Independente do risco envolvido, uma pessoa adulta sempre deve experimentar o novo. C - O novo pode envolver riscos. Arriscar-se em relação ao desconhecido é uma tomada de decisão, e para isso é necessário ter consciência de prováveis ou possíveis consequências. D - Todas as pessoas devem desenvolver o seu espírito aventureiro, seu gosto pelo risco, pois somente assim a humanidade evolui. E - O que sabemos e dominamos não habita nossa zona de conforto. Prova de Segurança e Auditoria de Sistemas - Avaliação Objetiva - Tentativa 1 de 2 Questão 1 de 10 As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO: A - Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. B - Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente. C - Implementar tecnologias de identificação de chamadas de/ou para o suporte. D - Investir em equipamento triturador. E - Investir em software específico disponível para proteger uma empresa contra a engenharia social. Questão 2 de 10 Consideram as afirmações: I - “O software Audit Command Language faz parte da categoria de softwares especializados em auditoria, visto que possui diversas funcionalidades, podendo ler bases de dados de diversos formatos.” II - O software IDEA permite auditoria baseada em gestão de risco, através de governança organizacional e alto desempenho operacional. III - As ferramentas específicas de auditoria de SI possuem a vantagem de serem desenvolvidas para uma demanda específica, por isso a eficiência da ferramenta é muito maior do que um software generalista, além de ter custo baixo de produção, visto que possui menos funcionalidades que necessitam ser desenvolvidas. Podemos dizer que: A - I, II e III são falsas B - I, II e III são verdadeiras C - II e III são falsas D - Somente II e III são verdadeiras E - Somente III é verdadeira Questão 3 de 10 Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa: A - O auditor adquire os dados para o projeto. B - O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local. C - O auditor informa ao software ACL como ler e interpretar os dados que ele contém. D - Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca as declarações dos objetivos do projeto. E - Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado. Questão 4 de 10 Sobre tipos de backup é correto afirmar: A - Backup completo é a soma de um backup diferencial com um backup incremental. B - Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. C - Os backups diferenciais são mais seguros que os backups incrementais. D - Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo. E - Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. Questão 5 de 10 Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o exame independente e objetivo afirma que: A - A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. B - A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal). C - A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento. D - A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das regras de negócio, de modo a assegurar a fidelidade no julgamento. E - A auditoria deve ser realizada somente por órgãos governamentais, como o TCU. Questão 6 de 10 Quanto à segurança no tratamento de mídias, é correto afirmar: A - Não existem normas que tratam do descarte de mídias de forma segura. B - O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. C - Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação. D - Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação. E - Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível. Questão 7 de 10 Quanto às categorias de malwares, analise as sentenças abaixo: I. Vírus é um programa que se autorreplica após alguma ação do usuário. II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário. III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário. IV. Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo. Está correto o que consta em: A - I e II, apenas. B - I e IV, apenas. C - I,II e IV, apenas. D - I,II,III,IV. E - IV, apenas. Questão 8 de 10 Quanto à segurança no tratamento de mídias, é correto afirmar: A - Não existem normas que tratam do descarte de mídias de forma segura. B - O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. C - Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação. D - Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação. E - Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível. Questão 9 de 10 Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica: A - É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a fim de aumentar a segurança da informação. B - É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação de uma função matemática unidirecional a uma quantidade de dados arbitrária. C - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular para criptografar dados e uma chave pública para descriptografá-los. D - É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los. E - Usa um algoritmode criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia. Questão 10 de 10 Quanto a certificados digitais, NÃO é correto afirmar: A - Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian. B - No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil. C - O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais. D - O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz). E - O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”.
Compartilhar