ISO 27002 - Traduzido

Prévia do material em texto

O que os funcionários precisam saber para relatar um incidente de segurança? 
A - Como denunciar um incidente e para quem. 
B - Se o incidente ocorreu antes e qual foi o dano resultante 
C - As medidas que deveriam ter sido tomadas para evitar o incidente em primeiro lugar 
D - Quem é responsável pelo incidente e se foi intencional. 
 
Que tipo de malware é um programa que, além da função que parece desempenhar, 
propositadamente conduz atividades secundárias? 
A - Logic Bomb 
B - verme tempestade 
C - Trojan 
D - Spyware 
 
A segurança física deve proteger uma empresa para que qualquer pessoa possa acessar 
facilmente os ativos da empresa. Isto é ilustrado pensando em termos de séries de anéis de 
proteção. Qual anel de proteção lida com o ativo que deve ser protegido? 
A - Construção 
B - Objeto 
C - Anel exterior 
D – Espaço de trabalho 
 
Qual destes não é um software malicioso? 
A - Phishing 
B - Spyware 
C - Vírus 
D - Worm 
 
Você se candidata a um cargo em outra empresa e consegue o emprego. Junto com o seu 
contrato, você é solicitado a assinar um código de conduta. O que é um código de conduta? 
A - Um código de conduta especifica como os funcionários devem se conduzir e é o mesmo para 
todas as empresas. 
B - Um código de conduta é uma parte padrão de um contrato de trabalho 
C - Um código de conduta difere de empresa para empresa e especifica, entre outras coisas, as 
regras de comportamento em relação ao uso de sistemas de informação. 
 
Sua organização tem um escritório com espaço para 25 (cinco) estações de trabalho. Essas 
estações de trabalho estão totalmente equipadas e em uso. Devido a uma reorganização, dez (10) 
estações de trabalho extras são adicionadas, cinco (5) das quais são usadas para um call center 24 
horas por dia. Cinco (5) estações de trabalho devem estar sempre disponíveis 
Quais medidas de segurança física devem ser tomadas para garantir isso? 
A - Obtenha um escritório extra e configure dez (10) estações de trabalho. Você teria, portanto, 
equipamentos sobressalentes que podem ser usados para substituir qualquer equipamento que 
não funcione 
B - Obter um escritório extra e configurar dez (10) estações de trabalho. Assegure-se de que haja 
pessoal de segurança tanto à noite quanto à noite, para que a equipe possa trabalhar com 
segurança e segurança. 
C - Obtenha um escritório extra e conecte todas as dez (10) novas estações de trabalho a uma 
fonte de alimentação de emergência e UPS (Uninterruptible Power Supply, fonte de alimentação 
ininterrupta). Ajuste o sistema de controle de acesso ao horário de trabalho da nova equipe. 
Informar o pessoal de segurança do edifício que o trabalho também será realizado à noite e à 
noite 
D - Obtenha um escritório extra e forneça um UPS (Uninterruptible Power Supply, fonte de 
alimentação ininterrupta) para as cinco estações de trabalho mais importantes. 
 
Sua empresa precisa garantir que ela atenda aos requisitos estabelecidos na legislação sobre 
proteção de dados pessoais. Qual é a primeira coisa que você deve fazer? 
A - Tornar os funcionários responsáveis por enviar seus dados pessoais 
B - Traduzir a legislação de proteção de dados pessoais em uma política de privacidade voltada 
para a empresa e os contratos com os clientes. 
C - Indique uma pessoa responsável por apoiar os gerentes na adesão à política. 
D - Emitir uma proibição sobre o fornecimento de informações pessoais. 
 
Dois amigos querem trocar um documento confidencial. É importante que os bisbilhoteiros não 
possam ver essas informações. Além disso, o receptor deve ser capaz de validar o remetente e 
que a informação não é alterada durante o transporte. Ambos os amigos têm uma combinação de 
chaves pública / privada. 
Qual chave é usada antes da transmissão para garantir a autenticidade do documento? 
A - Chave pública do remetente 
B - Chave pública do destinatário 
C - Chave privada do remetente 
D - Chave privada do destinatário 
 
Dentro de uma empresa, vários funcionários trabalham principalmente fora do perímetro da 
empresa. Esses funcionários têm laptops nos quais as informações necessárias (confidenciais) 
são armazenadas 
Qual medida de segurança técnica protege as informações contra divulgação indesejada no caso 
de o funcionário perder o laptop? 
A - Corrente de cabo anti-roubo 
B - Apresentações de conscientização para os funcionários 
C - Classificação de informação 
D - Criptografia de disco 
 
Você é um consultor e é regularmente contratado pelo Ministério da Defesa para realizar 
análises. Como as atribuições são irregulares, você terceiriza a administração de sua empresa 
para trabalhadores temporários. Você não quer que os trabalhadores temporários tenham acesso 
aos seus relatórios. Qual aspecto de confiabilidade das informações em seus relatórios você deve 
proteger? 
A - Disponibilidade de OA 
B - Integridade 
C - Confidencialidade 
 
Dois amigos querem trocar um documento confidencial por e-mail. Eles decidem usar a 
criptografia para proteger a confidencialidade do documento. Para ser capaz de criptografar e 
descriptografar o documento eles primeiro trocam a chave que é usada para criptografia e 
descriptografia por telefone. Que tipo de sistema de criptografia é usado pelos dois amigos? 
A - Sistema assimétrico 
B - Infraestrutura de chave pública (PKI) 
C - Sistema simétrico 
 
Sua empresa está no noticiário como resultado de uma ação infeliz de um de seus funcionários. 
Os telefones estão soando fora do gancho com os clientes que desejam cancelar seus contratos. 
Como chamamos esse tipo de dano? 
A - Danos diretos 
B - Dano indireto 
 
Susan envia um email para Paul. Quem determina o significado e o valor da informação neste 
email? 
A - Paul, o destinatário da informação. 
B - Paul e Susan, o remetente e o destinatário da informação. 
C - Susan, o remetente da informação. 
 
Qual é o principal aspecto de confiabilidade da informação além da confidencialidade e 
integridade? 
A - Contabilidade 
B - Autenticidade 
C - Autorização 
D - Disponibilidade 
 
O que é uma medida repressiva no caso de um incêndio? 
A - Fazendo seguro contra incêndio 
B - Apagar fogo depois de ter sido detectado por um detector de incêndio 
C - Reparar danos causados pelo fogo 
 
Qual é o maior risco para uma organização se nenhuma política de segurança da informação tiver 
sido definida? 
A - Se todos trabalham com a mesma conta, é impossível descobrir quem trabalhou em que 
B - As atividades de segurança da informação são realizadas por apenas algumas pessoas. 
C - Muitas medidas são implementadas 
D - Não é possível para uma organização implementar a segurança da informação de maneira 
consistente. 
 
Você é o proprietário do serviço de correio SpeeDelivery. No ano passado você instalou um 
firewall. Agora você descobre que nenhuma manutenção foi executada desde a instalação. Qual é 
o maior risco por causa disso? 
 A - O risco que os hackers podem fazer como quiserem na rede sem ser detectado 
 B - O risco de incêndio na sala do servidor 
 C - O risco de um surto de vírus 
 D - O risco de e-mails indesejados 
 
Você trabalha para uma grande organização. Você percebe que tem acesso a informações 
confidenciais que você não deveria conseguir acessar em sua posição. Você relata esse incidente 
de segurança ao helpdesk. O ciclo de incidentes é iniciado. Quais são os estágios do ciclo de 
incidentes de segurança? 
 A - Ameaça, dano, incidente, recuperação 
 B - Ameaça, dano, recuperação, incidente 
 C - Ameaça, Incidente, Danos, Recuperação 
 D - Ameaça, Recuperação, Incidente, Danos 
 
Qual é a relação entre dados e informações? 
A - Um dado é informação estruturada 
B - Informação é o significado e valor atribuído a uma coleção de dados 
 
 
Algumas ameaças são causadas diretamente pelas pessoas, outras têm uma causa natural. O que é 
um exemplo de uma ameaça humana intencional? 
A -Relâmpago 
B - Incêndio culposo 
C - Inundação 
D - Perda de um pendrive 
 
Por que o ar condicionado é colocado na sala do servidor? 
 A - Na sala do servidor, o ar tem que ser resfriado e o calor produzido pelo equipamento deve 
ser extraído. O ar da sala também é desumidificado e filtrado. 
B - Quando uma empresa deseja resfriar seus escritórios, a sala de servidores é o melhor lugar, 
dessa forma, nenhum espaço do escritório precisa ser sacrificado por um equipamento tão 
grande. 
C - Não é agradável para a equipe de manutenção ter que trabalhar em uma sala de servidores 
que é muito quente 
D - As fitas de backup são feitas de plástico fino que não pode suportar altas temperaturas, 
portanto, se ficar muito quente em uma sala de servidores, eles podem ficar danificados. 
 
Após uma análise exaustiva dos riscos e a identificação dos controles de segurança apropriados, 
a equipe de gerenciamento decide que, para uma ameaça específica, o impacto deve ser coberto 
pelo seguro. 
Qual tipo de controle de tratamento de risco é descrito aqui? 
A - Aceitar 
B - Evitar 
C - Reduzir 
D –Transferir 
 
Qual é o exemplo de uma ameaça não humana ao ambiente físico? 
A - Uma transação fraudulenta 
B - Arquivo corrompido 
C - Tempestade 
D – Vírus 
 
Uma empresa holandesa está processando informações de civis holandeses; isso implica a 
aplicabilidade de algumas regulamentações holandesas sobre a privacidade desses civis. A 
empresa está mandatada para implementar medidas de segurança. 
Qual medida ajuda a empresa a comprovar melhor a conformidade com os regulamentos 
aplicáveis? 
A - Entrega dos contratos de não divulgação (NDAs) assinados por todos os funcionários. 
B - Entregar os resultados de uma auditoria de segurança 
C - Instalando um firewall para limitar o acesso ao servidor. 
D - A execução de um teste de penetração no servidor processando as informações confidenciais. 
 
Que ação é uma ameaça humana não intencional? 
A – Incêndio culposo 
B - Roubo de um laptop 
C - Engenharia social 
D - Uso incorreto do extintor de incêndios 
 
A empresa Midwest Insurance tomou muitas medidas para proteger suas informações. Ele usa 
um Sistema de Gerenciamento de Segurança da Informação, a entrada e saída de dados em 
aplicativos é validada, documentos confidenciais são enviados em forma criptografada e os 
funcionários usam tokens para acessar sistemas de informação. Qual destes não é uma medida 
técnica? 
A - Sistema de Gerenciamento de Segurança da Informação 
B - Uso de tokens para obter acesso a sistemas de informação 
C - Validação de dados de entrada e saída em aplicativos 
D - Criptografia de informações 
 
 
Qual é a melhor descrição de uma análise de risco? 
A - Uma análise de risco é um método de mapear riscos sem olhar para os processos da empresa. 
B - Uma análise de risco ajuda a estimar os riscos e a desenvolver as medidas de segurança 
apropriadas. 
C - Uma análise de risco calcula as consequências financeiras exatas dos danos. 
 
Qual é o objetivo da política de segurança de uma organização? 
 A - Para fornecer orientação e suporte à segurança da informação 
 B - Definir todas as ameaças e medidas para garantir a segurança da informação 
 C - Documentar todos os incidentes que ameaçam a confiabilidade das informações 
 D - Documentar todos os procedimentos necessários para manter a segurança da informação 
 
Qual é o objetivo de classificar as informações? 
A - Autorizar o uso de um sistema de informação 
B - Criando um rótulo que indica quão confidencial é a informação 
C - Definição de diferentes níveis de sensibilidade nos quais a informação pode ser organizada 
D - Mostrar no documento quem tem permissão de acesso 
 
Qual é o exemplo de uma boa medida de segurança física? 
A - Todos os funcionários e visitantes carregam um passe de acesso. 
B - Impressoras defeituosas ou que foram substituídas são imediatamente removidas e doadas 
como lixo para reciclagem 
C - A equipe de manutenção pode receber acesso rápido e desimpedido à área do servidor em 
caso de desastre 
 
Qual legislação torna mais fácil lidar com ofensas perpetradas por meio de tecnologia da 
informação avançada? 
A - A lei de Registros Públicos 
B - Lei sobre proteção de dados pessoais 
C - A lei sobre crimes de informática 
D - Lei sobre Informação do Governo (Acesso Público) 
Na organização onde você trabalha, informações de natureza muito sensível são processadas 
A gerência é legalmente obrigada a implementar as medidas de segurança de mais alto nível. 
Como é esse tipo de estratégia de risco? 
A - Rolamento de risco 
B - Evitar risco 
C - Risco neutro 
 
Você é o proprietário da empresa de correios SpeeDelivery. Com base em sua análise de risco, 
você decidiu tomar uma série de medidas. Você tem backups diários feitos do esgoto, mantém a 
sala do servidor bloqueada e instalou um sistema de alarme de invasão e um sistema de 
sprinklers. Qual dessas medidas é uma medida de detecção? 
A – Fita backup 
B - Alarme de acesso não autorizado 
C - Instalação de sprinkler 
D - Restrição de acesso a salas especiais 
 
Alguns anos anos atrás você começou sua empresa que agora cresceu de 1 para 20 empregados. 
As informações da sua empresa valem cada vez mais e foram-se os dias em que você poderia 
manter tudo em mãos. Você está ciente de que você tem que tomar medidas, mas o que elas 
deveriam ser? Você contrata um consultor que o aconselha a começar com uma análise de risco 
qualitativa. O que é uma análise de risco qualitativa? 
A - Esta análise segue um cálculo estatístico preciso da probabilidade a fim calcular a perda 
exata causada pelo dano 
 B - Essa análise é baseada em cenários e situações e produz uma visão subjetiva das possíveis 
ameaças. 
 
O login em um sistema de computador é um processo de concessão de acesso que consiste em 
três etapas: identificação, autenticação e autorização. O que ocorre durante o primeiro passo 
deste processo: identificação? 
 A - A primeira etapa consiste em verificar se o usuário está usando o certificado correto 
 B - A primeira etapa consiste em verificar se o usuário aparece na lista de usuários autorizados. 
 C - O primeiro passo consiste em comparar a senha com a senha registrada 
 D - A primeira etapa consiste em conceder acesso às informações para as quais o usuário está 
autorizado 
 
Você lê nos jornais que o ex-funcionário de uma grande empresa apagou sistematicamente os 
arquivos por vingança de seu gerente. Recuperar esses arquivos causou grandes perdas de tempo 
e dinheiro. 
Como esse tipo de ameaça é chamado? 
A - Ameaça humana 
B - Ameaça natural 
C - Engenharia Social 
 
Um hacker obtém acesso a um servidor da Web e exclui um arquivo no servidor que contém 
números de cartão de crédito. 
Quais dos princípios de Confidencialidade, Integridade, Disponibilidade (CIA) do arquivo do 
cartão de crédito são violados? 
A - Disponibilidade 
B - Confidencialidade 
C - Integridade 
 
A Midwest Seguros avalia o relatório mensal de todas as perdas reivindicadas por segurados 
como confidenciais. O que acontece se todos os outros relatórios deste escritório de seguros 
também receberem a classificação apropriada? 
A - Os custos de automação são mais fáceis de cobrar aos departamentos responsáveis. 
B - Uma determinação pode ser feita sobre qual relatório deve ser impresso primeiro e qual pode 
ser esperado um pouco mais. 
C - Todos podem facilmente ver quão sensíveis são os conteúdos dos relatórios consultando a 
etiqueta de classificação. 
D - Relatórios podem ser desenvolvidos com mais facilidade e com menos erros. 
 
Um funcionário está prestes a perder o emprego e decide excluir o máximo de documentos 
possível do servidor de armazenamento de rede. 
A qual categoria de ameaça principal esta ameaça pertence? 
A - Funcionário descontente 
B - Ameaça humana intencional 
C - Engenharia social 
 
Qual é o propósito de umaorganização ter uma política de segurança da informação? 
A - Demonstrar o ciclo Planejar-Fazer-Verificar-Agir (PDCA) dentro de uma organização. 
B - Para garantir que os funcionários não violem nenhuma lei. 
C – Para orientar como a segurança da informação é configurada dentro de uma organização. 
D - Para garantir que todos saibam quem é responsável por executar os procedimentos de 
backup. 
 
O que não é uma categoria para medidas de segurança? 
A -Medidas corretivas 
B - Medidas de investigação 
C - Medidas preventivas 
D - Medidas redutivas 
 
Qual é a relação entre dados e informações? 
A - Dado é uma informação estruturada 
B - Informação é o significado e valor atribuído a uma coleção de dados 
 
Que abordagem os Estados Unidos fizeram em relação à legislação sobre privacidade? 
A - Criar legislação conforme necessário 
B - Proativamente criar legislação sobre tecnologias futuras 
C - Pode confiar em auto-regulação 
D - Traduzir a convenção sobre direitos humanos em leis de privacidade 
 
Um incidente de segurança da informação tem vários estágios que juntos são conhecidos como o 
ciclo do incidente. Em diferentes estágios dentro deste ciclo, diferentes tipos de medidas de 
segurança são aplicadas. 
Em qual estágio do ciclo de incidente a medida do sistema de detecção de intrusão (IDS) é 
direcionada? 
A – No estágio ameaça 
B - Entre os estágios ameaça e incidente 
C – No estágio incidente 
D - Entre os estágios incidente e danos 
 
Três características determinam a confiabilidade das informações. Quais características são 
essas? 
A - Disponibilidade, Integridade e Exatidão 
B - Disponibilidade, Integridade e Confidencialidade 
C - Disponibilidade, Não-Repúdio e Confidencialidade 
 
Qual é o propósito de um Plano de Recuperação de Desastres (DRP)? 
A - Para identificar a vulnerabilidade subjacente a um desastre 
B – Para limitar as consequências caso ocorra um desastre 
C – Para reduzir a possibilidade de ocorrência de um desastre 
D - Para restaurar a situação de volta como antes do desastre 
 
Uma ameaça não humana para sistemas de computador é uma inundação. Em qual situação uma 
inundação é sempre uma ameaça relevante? 
A - Se a análise de risco não tiver sido realizada 
B - Quando os sistemas de computador são mantidos em um porão abaixo do nível do solo. 
C - Quando os sistemas de computador não são segurados 
D - Quando a organização está localizada perto de um rio. 
 
 
Por que informações confidenciais são classificadas? 
A - Para determinar como as informações devem ser processadas 
B - Para determinar o esquema de backup aplicável 
C - Melhorar a conscientização dos funcionários 
D - Para permitir que o destinatário arquive as informações recebidas 
 
Sua organização possui um escritório com espaço para 25 estações de trabalho. Essas estações de 
trabalho estão totalmente equipadas e em uso. Devido a uma reorganização, 10 estações de 
trabalho extras são adicionadas, 5 das quais são usadas para um call center 24 horas por dia. 
Cinco estações de trabalho devem estar sempre disponíveis. Quais medidas de segurança física 
devem ser tomadas para garantir isso? 
A - Obtenha um escritório extra e configure 10 estações de trabalho. Você teria, portanto, 
equipamentos sobressalentes que podem ser usados para substituir qualquer equipamento que 
não funcione 
B - Obtenha um escritório extra e configure 10 estações de trabalho. Assegure-se de que haja 
pessoal de segurança tanto à noite, para que a equipe possa trabalhar com segurança. 
C - Obtenha um escritório extra e conecte todas as 10 novas estações de trabalho a uma fonte de 
alimentação de emergência e UPS (Uninterruptible Power Supply, fonte de alimentação 
ininterrupta). Ajuste o sistema de controle de acesso ao horário de trabalho da nova equipe. 
Informar o pessoal de segurança do edifício que o trabalho também será realizado à noite. 
D - Obtenha um escritório extra e forneça um UPS (Uninterruptible Power Supply, fonte de 
alimentação ininterrupta) para as cinco estações de trabalho mais importantes. 
 
Você possui uma pequena empresa em uma área industrial remota. Ultimamente, o alarme 
dispara regularmente no meio da noite. Demora um pouco de tempo para responder a ele e 
parece ser um alarme falso. Você decide instalar uma câmera escondida. Como é chamada essa 
medida? 
A - Medida detectiva 
B - Medida preventiva 
C - Medida repressiva 
 
Qual das seguintes medidas é uma medida preventiva? 
A - Instalando um sistema de registro que permite que mudanças em um sistema sejam 
reconhecidas 
B - Desligar todo o tráfego da Internet depois que um hacker acessou os sistemas da empresa 
C - Colocando informações confidenciais em um cofre 
D - Classificar um risco como aceitável porque o custo de lidar com a ameaça é maior do que o 
valor da informação em risco. 
 
Você é o proprietário de uma empresa em crescimento, a SpeeDelivery, que fornece serviços de 
correio. Você decide que é hora de elaborar uma análise de risco para o seu sistema de 
informação. Isso inclui um inventário das ameaças e riscos. Qual é a relação entre uma análise de 
risco, ameaça e risco? 
A - Uma análise de risco identifica ameaças dos riscos conhecidos. 
B - Uma análise de risco é usada para esclarecer quais ameaças são relevantes e que riscos elas 
envolvem. 
C - Uma análise de risco é usada para remover o risco de uma ameaça 
D - As análises de risco ajudam a encontrar um equilíbrio entre ameaças e riscos. 
 
Qual ameaça pode se materializar como resultado da ausência de segurança física? 
A - Um pendrive com informações confidenciais é perdido por um funcionário. 
B - Um worm infecta vários servidores devido a filtragem de porta insuficiente. 
C – O software para de funcionar porque a licença expirou. 
D - Mau funcionamento do sistema devido a picos na fonte de alimentação. 
 
Qual é a melhor maneira de cumprir a legislação e os regulamentos para proteção de dados 
pessoais? 
A - Realizando uma análise de ameaça 
B - Mantendo um registro de incidente 
C - Realizando uma análise de vulnerabilidade 
 D - Nomeando a responsabilidade para alguém 
 
Qual é a definição da expectativa de perda anual? 
A - A expectativa de perda anual é a quantidade de danos que podem ocorrer como resultado de 
um incidente durante o ano. 
B - Expectativa Anual de Perda é o tamanho das reclamações de danos resultantes da não 
realização de análises de risco de forma eficaz. 
C - A expectativa de perda anual é o dano médio calculado pelas companhias de seguros para 
empresas em um país. 
D - Expectativa Anual de Perdas é o valor mínimo pelo qual uma organização deve se assegurar. 
 
Peter trabalha na empresa Midwest Insurance. Sua gerente, Linda, pede que ele envie os termos e 
condições de uma apólice de seguro de vida para Rachel, uma cliente. Quem determina o valor 
das informações no documento de termos e condições do seguro? 
 A – A destinatária, Rachel 
 B - A pessoa que elaborou os termos e condições do seguro 
 C - A gerente, Linda 
 B - O remetente, Peter 
 
O ciclo de incidentes tem quatro estágios. Qual estágio segue o estágio de Ameaça? 
A - Dano 
B - Incidente 
C - Recuperação 
 
Qual é o equivalente físico da medida logica de segurança de informação Sistema de Detecção 
de Intrusão (IDS)? 
A - Câmeras 
B - Resfriamento 
C - Extintores de Incêndio 
D - UPS 
 
 
A Midwest Insurance controla o acesso a seus escritórios com um sistema de chave de acesso 
Que tipo de medida de segurança é essa? 
A - Corretiva 
B - Detectiva 
C - Preventiva 
D - Repressiva 
 
Houve um incêndio em uma filial da empresa Midwest Insurance. O corpo de bombeiros chegou 
rapidamente ao local e conseguiu apagar o fogo antes que ele se espalhasse e queimasse todo o 
local. O servidor, no entanto, foi destruído no incêndio. As fitas de backup mantidas em outra 
sala haviam derretido e muitos outros documentos foram perdidos parasempre. Qual é o 
exemplo do dano indireto causado por este incêndio? 
A - Fitas de backup OA derretidas 
B - O sistemas de computador queimados 
C – Documentos queimados 
D - Danos causados pela água devido aos extintores de incêndio 
 
Você acabou de começar a trabalhar em uma grande organização. Você foi convidado a assinar 
um código de conduta, bem como um contrato. O que a organização deseja alcançar com isso? 
A - Um código de conduta ajuda a evitar o mau uso das instalações de TI. 
B - O código de conduta é uma obrigação legal que as organizações têm de cumprir 
C - Um código de conduta impede um surto de vírus. 
D - Um código de conduta fornece orientação aos funcionários sobre como relatar suspeitas de 
mau uso das instalações de TI. 
 
Para que uma análise de risco é usada? 
A - Uma análise de risco é usada para expressar o valor da informação para uma organização em 
termos monetários. 
B - Uma análise de risco é usada para esclarecer ao gerenciamento suas responsabilidades. 
C - Uma análise de risco é usada em conjunto com medidas de segurança para reduzir os riscos a 
um nível aceitável 
D - Uma análise de risco é usada para garantir que as medidas de segurança sejam 
implementadas de maneira econômica e em tempo hábil. 
 
Você é o dono da empresa de correios SpeeDelivery. Você realizou uma análise de risco e agora 
quer determinar sua estratégia de risco. Você decide tomar medidas para os grandes riscos, mas 
não para os pequenos riscos. Como é chamada essa estratégia de risco? 
A - Transferir risco 
B – Evitar risco 
C – Aceitar risco 
 
Quem está autorizado a alterar a classificação de um documento? 
A - O autor do documento 
B - O administrador do documento 
C - O proprietário do documento 
D - O gerente do dono do documento 
 
O que não é um critério no processo de revisão no qual é determinado se a segregação de funções 
é aplicável a um funcionário? 
A - Em quais processos de tomada de decisão a pessoa em questão está envolvida. 
B - Em quais processos de controle a pessoa em questão está envolvida. 
C - Em quais locais a pessoa em questão está ativa. 
 
Na maioria das organizações, o acesso ao computador ou a rede é concedido somente após o 
usuário ter inserido um nome de usuário e senha corretos. Este processo consiste em 3 etapas: 
identificação, autenticação e autorização. Qual é o objetivo da segunda etapa, autenticação? 
A - Na segunda etapa, você torna sua identidade conhecida, o que significa que você tem acesso 
ao sistema 
B - A etapa de autenticação verifica o nome de usuário em relação a uma lista de usuários que 
têm acesso ao sistema 
C - O sistema determina se o acesso pode ser concedido determinando se o token usado é 
autêntico 
D - Durante a etapa de autenticação, o sistema fornece os direitos necessários, como a 
capacidade de ler os dados no sistema 
 
Qual das ameaças listadas abaixo pode ocorrer como resultado da ausência de uma medida 
física? 
A - Um usuário pode visualizar os arquivos pertencentes a outro usuário. 
B - Um servidor é desligado por causa do superaquecimento. 
C - Um documento confidencial é deixado na impressora. 
D - Hackers podem entrar livremente na rede de computadores. 
 
O que é feito se os relatórios receberem a classificação apropriada? 
A - Os custos de automação são mais fáceis de cobrar aos departamentos responsáveis. 
B - Pode ser feita uma determinação de qual relatório deve ser impresso primeiro e qual pode 
esperar um pouco mais. 
C - Todos podem ver facilmente a sensibilidade do conteúdo do relatório consultando a etiqueta 
de classificação. 
D - Relatórios podem ser desenvolvidos com mais facilidade e com menos erros 
 
Existem três tipos de ameaças humanas: ameaças humanas intencionais, ameaças humanas não 
intencionais e uma terceira ameaça humana. Qual é o terceiro tipo de ameaça humana? 
A - Atos de estupidez 
B - Engenharia social 
C - Ameaças humanas técnicas 
 
Um funcionário da companhia aérea percebe que ela tem acesso a um dos aplicativos da empresa 
que não utilizou antes. Esse é um incidente de segurança da informação? 
A – Sim 
B - Não 
 
 
Um funcionário de marketing envia acidentalmente por e-mail uma planilha com todos os 
clientes da empresa, seus dados pessoais e comerciais, para o endereço de e-mail errado. 
Quem determina o valor da informação na planilha? 
A - Cada parte determina o valor da informação independentemente 
B - A legislação de privacidade determina a penalidade e, portanto, o valor 
C - O destinatário, que pode usá-lo para roubo de identidade 
D - O remetente, que o utiliza para fins contábeis 
 
Você possui uma loja e o dinheiro continua desaparecendo da caixa registradora. Você quer 
acabar com isso por meio de uma medida detectiva. O que é um exemplo de uma medida 
detectiva? 
A - Feche a loja e contrate um detetive 
B – Colocar um sinal de alerta no registo. 
C - Colocar uma câmera escondida. 
 
Os consultores da Smith Consultants Inc trabalham em laptops protegidos por criptografia 
assimétrica. Para manter o gerenciamento das chaves barato, todos os consultores usam o mesmo 
par de chaves. Qual é o risco da empresa se eles operam dessa maneira? 
A - A chave privada se torna conhecida, todos os laptops devem ser fornecidos com novas 
chaves. 
B - Se a infraestrutura de chave pública (PKI) se tornar conhecida, todos os laptops devem ser 
fornecidos com novas chaves 
C - Se a chave pública se tornar conhecida, todos os laptops devem ser fornecidos com novas 
chaves. 
 
Qual é o motivo mais importante para aplicar a segregação de funções? 
A - Segregação de funções deixa claro quem é responsável pelo que. 
B - A segregação de funções garante que, quando uma pessoa está ausente, pode-se investigar se 
ela cometeu fraude 
C - As tarefas e responsabilidades devem ser separadas para minimizar as oportunidades de uso 
indevido ou alterado de ativos comerciais, independentemente de a alteração ser não autorizada 
ou não intencional. 
D - Segregação de tarefas torna mais fácil para uma pessoa que está pronta com sua parte do 
trabalho tirar folga ou assumir o trabalho de outra pessoa. 
 
Qual é a estratégia de risco mais comum, além de assumir riscos e ser neutra em relação ao 
risco? 
A - Aceitação de risco 
B - Prevenção de riscos 
C - Seguro contra riscos 
D - Transferência de risco 
 
Um funcionário detecta comportamento anormal de seu computador de mesa. Depois de relatar 
ao administrador do sistema e uma primeira investigação, os administradores do sistema decidem 
obter alguma ajuda da equipe de resposta a emergências do computador (CERT). 
Qual tipo de escalonamento é descrito acima? 
A - Escalonamento funcional 
B – Escalonamento hierárquico 
C - Escalonamento de privilégio 
D - Escalonamento vertical 
 
Quais são os principais tipos de danos, resultantes de incidentes? 
A - Danos diretos e indiretos 
B - Danos financeiros e emocionais 
C - Dano visível e invisível 
 
Uma empresa holandesa pede para ser listada na Bolsa de Valores Americana. Qual legislação 
no âmbito da segurança da informação é relevante neste caso? 
A - Lei de Registros Públicos da OA 
B - O direito fiscal holandes 
C - Lei Sarbanes-Oxley 
D - Regulamentos de segurança para o governo holandês 
Uma análise de risco bem executada fornece uma grande quantidade de informações úteis. Uma 
análise de risco tem quatro objetivos principais. Qual não é um dos quatro principais objetivos de 
uma análise de risco? 
A - Identificar ativos e seu valor 
B - Determinar os custos das ameaças 
C - Estabelecer um equilíbrio entre os custos de um incidente e os custos de uma medida de 
segurança 
D - Determinar vulnerabilidades e ameaças relevantes 
 
A qual categoria de medidas de segurança pertence um alarme de fumaça? 
A - Corretivo 
B - Detectivo 
C - Preventivo 
D - Repressivo 
 
Qual medida de segurança não é uma medida de segurança no nível organizacional?A - A realização de investigações de antecedentes sobre o novo pessoal 
B - Implementação de Controle de Acesso Baseado em Função 
C - Configurar um programa de conscientização de segurança 
D - Configurando um documento de política de segurança da informação 
 
Sob qual condição um empregador pode verificar se os serviços de Internet e e-mail no local de 
trabalho estão sendo usados para fins particulares? 
 A - O empregador pode verificar isso se o funcionário for informado após cada instância da 
verificação. 
 B - O empregador pode verificar isso se os funcionários estiverem cientes de que isso pode 
acontecer. 
 C - O empregador tem permissão para verificar isso se um firewall também estiver instalado 
 D - O empregador não tem permissão para verificar o uso de serviços de TI pelos funcionários. 
 
Qual é o propósito da autenticação? 
A - Para tornar sua identidade conhecida, o que significa que você tem acesso ao sistema 
B - Para verificar o nome de usuário em uma lista de usuários que têm acesso ao sistema 
C - Para determinar se o acesso pode ser concedido determinando se o token usado é autêntico 
D - Para lhe dar os direitos de que você precisa, como poder ler os dados no sistema 
 
Algumas medidas de segurança são opcionais. Outras medidas de segurança devem sempre ser 
implementadas. Quais medidas devem sempre ser implementadas? 
A - Uma política de mesa limpa. 
B - Medidas de segurança física 
C - Acesso lógico de medidas de segurança 
D - Medidas exigidas por leis e regulamentos 
 
Qual é o exemplo de um incidente de segurança? 
A - A iluminação do departamento não funciona mais. 
B - Um membro da equipe perde um laptop. 
C - Você não pode definir as fontes corretas no seu software de processamento de texto. 
D - Um arquivo é salvo com um nome incorreto. 
 
Uma empresa se muda para um novo prédio. Algumas semanas após a mudança, um visitante 
aparece sem aviso prévio no escritório do diretor. Uma investigação mostra que os visitantes 
passam a receber o mesmo acesso que os da equipe da empresa. Que tipo de medida de 
segurança poderia ter impedido isso? 
A - Uma medida de segurança física 
B - Uma medida de segurança organizacional 
C - Uma medida de segurança técnica 
 
Um funcionário do departamento administrativo da Smiths Consultants Inc. descobre que a data 
de expiração de um contrato com um dos clientes é anterior à data de início. Que tipo de medida 
pode impedir esse erro? 
A - Medida de Disponibilidade 
B - Medida de integridade 
C - Medida organizacional 
D - Medida técnica 
 
A Midwest Seguros controla o acesso a seus escritórios com um sistema de chaves. Nós 
chamamos isso de medida preventiva. Quais são algumas outras medidas? 
A - Medidas de detectiva, repressivas e corretivas 
B - Medidas parciais, adaptativas e corretivas 
C - Medidas repressivas, adaptativas e corretivas 
 
Meu perfil de usuário especifica em quais unidades de rede posso ler e gravar. Qual é o nome do 
tipo de gerenciamento de acesso lógico no qual meu acesso e direitos são determinados 
centralmente? 
A - Controle de Acesso Discricionário (DAC) 
B - Controle de Acesso Obrigatório (MAC) 
C - Infraestrutura de chave pública (PKI) 
 
Qual medida garante que informações valiosas não sejam deixadas disponíveis? 
A - Política de mesa limpa 
B - Detecção de infravermelho 
C – Controle de acesso. 
 
O que é um exemplo de uma medida de segurança física? 
A - Um código de conduta que exige que os funcionários sigam a política clara do escritório, 
garantindo que informações confidenciais não sejam deixadas visíveis na mesa no final do dia de 
trabalho. 
B - Uma política de controle de acesso com passes que devem ser usados visivelmente 
C - A criptografia de informações confidenciais 
D - Extintores de incêndio especiais com gás inerte, como o argônio 
 
Você é o dono do serviço de correio SpeeDelivery. Por causa do crescimento da sua empresa, 
você precisa pensar em segurança da informação. Você sabe que precisa começar a criar uma 
política. Por que é tão importante ter uma política de segurança da informação como ponto de 
partida? 
A - A política de segurança da informação direciona os esforços de segurança da informação. 
B - A política de segurança da informação fornece instruções para a prática diária de segurança 
da informação. 
C - A política de segurança da informação estabelece quais dispositivos serão protegidos 
D - A política de segurança da informação estabelece quem é responsável por qual área de 
segurança da informação. 
 
Você é o dono da empresa de correios SpeeDelivery. Você emprega algumas pessoas que, 
enquanto esperam para fazer uma entrega, podem realizar outras tarefas. Você percebe, no 
entanto, que eles usam esse tempo para enviar e ler seus e-mails particulares e navegar na 
Internet. Em termos legais, de que maneira o uso da Internet e das facilidades de e-mail pode ser 
melhor regulado? 
A - Instalando um aplicativo que faz com que determinados sites não sejam mais acessíveis e que 
filtre anexos em e-mails. 
B - Elaborar um código de conduta para o uso da Internet e do correio eletrônico no qual os 
direitos e obrigações do empregador e do pessoal são estabelecidos. 
C - Implementando regulamentos de privacidade 
D - Instalar um antivírus. 
 
Por que as organizações possuem uma política de segurança da informação? 
A - Para demonstrar o funcionamento do ciclo Planejar-Fazer-Verificar-Agir (PDCA) dentro de 
uma organização. 
B - Para garantir que o pessoal não viole nenhuma lei. 
C - Para orientar como a segurança da informação é configurada dentro de uma organização. 
D - A fim de garantir que todos saibam quem é responsável pela execução dos procedimentos de 
backup. 
 
Você trabalha para um empregador flexível que não se importa se você trabalhe em casa ou na 
estrada. Você regularmente tira cópias de documentos em um cartão de memória USB que não é 
seguro. Quais são as conseqüências para a confiabilidade das informações se você deixar seu 
cartão de memória USB para trás no trem? 
A - A integridade dos dados no cartão de memória USB não é mais garantida. 
B - A disponibilidade dos dados no cartão de memória USB não é mais garantida. 
C - A confidencialidade dos dados no cartão de memória USB não é mais garantida. 
 
Você tem um escritório que projeta logotipos corporativos. Você está trabalhando em um 
rascunho para um cliente grande. Quando você vai pressionar o botão <salvar>, a tela fica em 
branco. O disco rígido está danificado e não pode ser reparado. Você encontra uma versão inicial 
do design em sua pasta de e-mail e reproduz o rascunho para o cliente. Como é chamada essa 
medida? 
A - Medida corretiva 
B - Medida preventiva 
C - Medida redutora 
 
Você trabalha no departamento de TI de uma empresa de médio porte. Informações confidenciais 
caíram nas mãos erradas várias vezes. Isso prejudicou a imagem da empresa. Você foi solicitado 
a propor medidas de segurança organizacionais para laptops em sua empresa. Qual é o primeiro 
passo que você deve dar? 
A - Formular uma política sobre mídia móvel (PDAs, laptops, smartphones, pen drives) 
B - Nomear o pessoal de segurança. 
C - Encriptar os discos rígidos de laptops e pen drives 
D - Configurar uma política de controle de acesso 
 
Existe uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários 
não pegam suas impressões imediatamente e as deixam na impressora. Quais são as 
conseqüências disso para a confiabilidade da informação? 
A - A integridade das informações não é mais garantida 
B - A disponibilidade das informações não é mais garantida. 
C - A confidencialidade das informações não é mais garantida. 
 
Qual é um ato legislativo ou regulamentar relacionado à segurança da informação que pode ser 
imposto a todas as organizações? 
A - ISO / IEC 27001: 2005 
B - Direito de propriedade intelectual 
C - ISO / IEC 27002: 2005 
D -Legislação de proteção de dados pessoais 
 
Você tem um pequeno escritório em uma área industrial. Você gostaria de analisar os riscos que 
sua empresa enfrenta. O escritório está em um local bem remoto; portanto, a possibilidade de 
incêndio não está totalmente fora de questão. Qual é a relação entre a ameaça de fogo e o risco 
de incêndio? 
A - O risco de incêndio é a ameaça de fogo multiplicada pela chance de que o incêndio possa 
ocorrer e as conseqüências dele. 
B - A ameaça do fogo é o risco de incêndio multiplicado pela chance de que o fogo possa ocorrer 
e as conseqüências dele. 
 
Sua empresa está preocupada com o efeito do aquecimento global no nível do mar e pede que 
você faça preparativos que evitem o tempo de inatividade do processo de faturamento. 
O que você vai criar? 
A - Plano de Continuidade de Negócios 
B - Plano de Recuperação de Desastres 
 
Você é o primeiro a chegar ao trabalho de manhã e percebe que o CD ROM no qual você salvou 
os contratos ontem desapareceu. Você foi o último a sair ontem. Quando você deve relatar este 
incidente de segurança de informações? 
A - Este incidente deve ser relatado imediatamente. 
B - Você deve primeiro investigar este incidente e tentar limitar o dano 
C - Você deve esperar alguns dias antes de relatar este incidente O CD ROM ainda pode 
reaparecer e, nesse caso, você terá feito um barulho por nada. 
Um processo de gerenciamento de incidentes tem várias finalidades. Qual não é o propósito do 
processo de Gerenciamento de Incidentes? 
A - Aprender sobre os pontos fracos para que possam ser corrigidos e futuros incidentes sejam 
evitados 
B - Certificar-se de que todos os funcionários e funcionários saibam o procedimento para relatar 
incidentes. 
C - Repreender a pessoa responsável por causar o incidente 
D - Resolver o incidente apropriadamente e o mais rápido possível 
 
Que tipo de segurança oferece uma infraestrutura de chave pública (PKI)? 
A - Ela fornece certificados digitais que podem ser usados para assinar documentos digitalmente. 
Tais assinaturas determinam de forma irrefutável quem enviou um documento. 
B - Ter uma PKI mostra aos clientes que um negócio baseado na Web é seguro 
C - Ao fornecer acordos, procedimentos e uma estrutura organizacional, uma PKI define qual 
pessoa ou qual sistema pertence a qual chave pública específica. 
D - A PKI garante que os backups dos dados da empresa sejam feitos regularmente. 
 
Que tipo de malware cria uma rede de computadores contaminados? 
A - Uma bomba lógica 
B – Storm Worm or Botnet 
C - Trojan 
D - Vírus 
 
Um raio atinge o datacenter e a oscilação de energia destrói vários servidores. Que tipo de 
ameaça é essa? 
A - Ameaça elétrica 
B - Ameaça não humana 
C - Ameaça esporádica 
D - Ameaça não intencional 
 
Qual legislação regula o armazenamento e a destruição de documentos de arquivo? 
A - A legislação dos registros públicos 
B - A legislação de proteção de dados pessoais 
C - A legislação sobre crimes de informática 
D - A legislação de informações governamentais (acesso público) 
 
Você trabalha para uma grande organização. Você percebe que tem acesso a informações 
confidenciais que você não deveria conseguir acessar em sua posição. Você relata esse incidente 
de segurança ao helpdesk. O ciclo de incidentes é iniciado. Qual fase do ciclo de incidentes 
segue o estágio do incidente? 
A - Ameaça 
B - Dano 
C - Recuperação 
 
Na Midwest Seguros, todas as informações são classificadas. Qual é o objetivo dessa 
classificação de informações? 
A - Para criar um manual sobre como lidar com dispositivos móveis. 
B - Aplicação de rótulos facilitando o reconhecimento das informações 
C - Estruturar informações de acordo com sua sensibilidade 
 
O que é uma ameaça humana à confiabilidade das informações no site da sua empresa? 
A - Um de seus funcionários comete um erro no preço de um produto em seu site. 
B - O computador que hospeda seu site está sobrecarregado e trava. Seu site está offline. 
C - Devido à falta de manutenção, um hidrante provoca vazamentos e inunda as instalações. Seus 
funcionários não podem entrar no escritório e, portanto, não podem manter as informações no 
site atualizadas 
 
Alguém envia um e-mail. O remetente deseja que o destinatário possa verificar quem escreveu e 
enviou o email. O que o remetente anexa ao email? 
A - Uma assinatura digital 
B - Um certificado PKI 
C - Sua chave privada 
D - Sua chave pública 
 
O Information Security Manager (ISM) da Smith Consultants Inc. introduz as seguintes medidas 
para garantir a segurança das informações: 
- Os requisitos de segurança para a rede são especificados. 
- Um ambiente de teste é configurado com o propósito de testar relatórios provenientes do banco 
de dados. 
- As várias funções de funcionários recebem direitos de acesso correspondentes. 
- Passes de acesso RAD são introduzidos para o edifício. 
Qual dessas medidas não é uma medida técnica? 
A - A especificação de requisitos de rede 
B – Implantação de um ambiente de teste 
C – Introdução de uma política de acesso lógico 
D – Introdução de passes de acesso RFID 
 
O termo 'big data' é comumente usado. No entanto, os dados em si têm menos (ou nenhum) valor 
para uma organização. Qual processo agrega valor aos dados e transforma dados em 
'informações'? 
A - Análise 
B - Arquivamento 
C - Backup 
D - Duplicação 
 
Quando estamos em nossa mesa, queremos que o sistema de informação e as informações 
necessárias estejam disponíveis. Queremos poder trabalhar com o computador e acessar a rede e 
nossos arquivos. Qual é a definição correta de disponibilidade? 
 A - O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários 
trabalhem com ele 
 B - O grau em que a continuidade de uma organização é garantida 
 C - O grau em que um sistema de informação está disponível para os usuários 
D - A quantidade total de tempo que um sistema de informações é acessível aos usuários 
 
O que é "uma possível causa de um incidente indesejado, que pode resultar em danos a um 
sistema ou organização"? 
A – Exposição 
B - Risco 
C - Ameaça 
D - Vulnerabilidade 
 
Que tipo de malware é um programa que coleta informações do usuário do computador e as 
envia para outra pessoa? 
A - Logic Bomb 
B - Storm Worm 
C - Trojan 
D - Spyware 
 
Durante uma análise de risco, um administrador de sistemas menciona que, devido à falta de 
comunicação entre gestores de recursos humanos (HRM) e administradores de sistemas, os 
funcionários ainda podem acessar o servidor da empresa a partir de casa, mesmo que não sejam 
mais empregados pela empresa. Qual característica de um risco está faltando aqui? 
A - Impacto nos negócios 
B - Controle de segurança 
C - Agente de ameaça 
D - Vulnerabilidade 
 
Qual das seguintes medidas é uma medida corretiva? 
A - Incorporar um Sistema de Detecção de Invasão (IDS) no projeto de um centro de 
computação 
B - Instalar antivírus em um sistema de informações 
C – Fazer backup dos dados que foram criados ou alterados naquele dia 
D - Restaurar um backup do banco de dados correto depois que uma cópia corrompida do banco 
de dados foi gravada sobre o original 
 
Por que a conformidade é importante para a confiabilidade das informações? 
A - Conformidade é outra palavra para confiabilidade. Assim, se uma empresa indica que é 
compatível, significa que as informações são gerenciadas corretamente. 
B - Ao atender aos requisitos legislativos e às regulamentações do governo e da administração 
interna, uma organização mostra que gerencia suas informações de maneira sólida. 
C - Quando uma organização emprega um padrão como o ISO / IEC 27002 e a utiliza em todos 
os lugares, ela é compatível e, portanto, garante a confiabilidade de suas informações. 
D - Quando uma organização é confiavel, ela atende aos requisitos da legislação de privacidade e 
ao fazê-lo, protege a confiabilidadede suas informações. 
 
Qual medida de segurança física é necessária para controlar o acesso às informações da empresa? 
A – Ar condicionado 
B - Nome de usuário e senha 
 C - Uso de vidros e portas resistentes a rupturas com as fechaduras, molduras e dobradiças 
certas 
D - Proibição o uso de pendrives 
 
Qual regulamentação é aplicável apenas para companhias abertas nos Estados Unidos (e.g. 
listadas na Bolsa de Valores de Nova York)? 
A - BS ISO 22301: 2012 
B - ISO / IEC 27001 
C - Conformidade com o setor de cartão de pagamento 
D - Lei Sarbanes-Oxley 
 
Para que é utilizada uma análise de risco? 
A - Para expressar o valor da informação para uma organização em termos monetários 
B - Para esclarecer à gerência suas responsabilidades 
C - Para conscientizar todos na organização sobre todos os riscos 
D - Para garantir que as medidas de segurança sejam implantadas de forma econômica e 
oportuna 
 
Podemos adquirir e fornecer informações de várias maneiras. O valor da informação depende se 
ela é confiável. Quais são os aspectos de confiabilidade da informação? 
A – Disponibilidade, Valor da Informação e Confidencialidade 
B - Disponibilidade, Integridade e Confidencialidade 
C – Disponibilidade, Integridade e Completeza 
D - Pontualidade, Precisão e Completeza 
 
O que é uma medida de segurança organizacional? 
A - Criar procedimentos para triagem de novos funcionários 
B - Implementar controle de acesso em portas para proteger áreas 
C - Instalar software antivírus em todos os sistemas 
D - Mudar para um sistema operacional mais recente em toda a empresa 
 
De qual conceito as 'medidas tomadas para salvaguardar um sistema de informação de ataques' 
são a definição? 
A - Análise de risco 
B - Gerenciamento de risco 
C - Controles de segurança 
 
Existem três tipos de "ameaças humanas". A ameaça que um usuário acidentalmente exclui um 
documento pertence a qual categoria? 
A - Atos de estupidez 
B - Ameaças humanas intencionais 
C - Engenharia social 
D - Ameaças humanas não intencionais 
 
 
O ato de tomar medidas de segurança organizacionais está ligado a todas as outras medidas que 
devem ser tomadas. Qual é o nome do sistema que garante a coerência da segurança da 
informação na organização? 
A - Sistema de Gerenciamento de Segurança da Informação (SGSI) 
B - Rootkit 
C - Normas de Segurança para informações governamentais