Exercícios de Segurança e Auditoria de Sistemas

Prévia do material em texto

Segurança e Auditoria de Sistemas 
 
Questão 1 
Correto 
Marcar questão 
Texto da questão 
O desenvolvimento de uma política de segurança da informação é realizado 
em quatro etapas principais. Assinale a alternativa que corresponde à fase 
de levantamento de informações: 
Escolha uma: 
a. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem 
como o entendimento das necessidades e uso dos recursos tecnológicos nos 
processos da instituição. 
A primeira fase para o desenvolvimento e implementação das políticas, normas e 
procedimentos de segurança da informação em uma organização é a fase de 
levantamento de informações. Não há como prosseguir para as outras fases sem o 
entendimento completo sobre o ambiente, regras de negócio e processos de uma 
organização. Fonte: Cap 1, pag. 11 
b. É nesta fase que serão formalizados os procedimentos junto à alta administração. 
c. Fase que envolve aspectos como a classificação das informações, atribuição de 
regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um 
todo. 
d. É a fase de mudança de cultura que inclui comportamentos que comprometem a 
segurança da informação. 
e. É a efetiva implantação das políticas, normas e procedimentos através de 
preparação de material promocional, divulgação constante, conscientização das 
responsabilidades, realização de palestras de modo que todo o público-alvo possa 
compreender e ser convencido a segui-las. 
Feedback 
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes 
de negócios, bem como o entendimento das necessidades e uso dos recursos 
tecnológicos nos processos da instituição.. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à classificação dos ativos da informação, assinale a alternativa que 
apresenta somente ativos da informação que pertencem ao tipo físico de 
natureza do ativo: 
Escolha uma: 
a. Empregados, ferramentas de desenvolvimento, planos de continuidade. 
Os ativos da informação são a própria informação somada a qualquer componente 
que a sustenta ou se utiliza dela. Este componente pode ser humano, tecnológico, 
hardware, software, entre outros. O grupo de ativos cuja natureza é física engloba 
somente objetos físicos que sustentam a informação. Fonte: Cap 1, pag. 7,8 
b. Sistemas operacionais, servidores, desktops e notebooks. 
c. Mídias magnéticas, impressoras e desktops. 
d. Equipamentos de comunicação, sistemas operacionais e aplicativos. 
e. Contratos, empregados e sistemas operacionais. 
Feedback 
A resposta correta é: Mídias magnéticas, impressoras e desktops.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
Um dos conceitos fundamentais de segurança da informação está 
relacionado ao nível de abstração, ou seja, o aumento da capacidade de 
subtrair detalhes, de modo que possamos visualizar algo de forma mais 
concisa. Assinale a alternativa que apresenta a ordem correta, do menor 
nível de abstração até o maior nível: 
Escolha uma: 
a. Informação, conhecimento, dados. 
b. Informação, dados, conhecimento. 
Conceitos básicos de segurança da informação, opção (C) À medida que o nível de 
abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-
se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2 
c. Dados, conhecimento, informação. 
d. Conhecimento, informação, dados. 
e. Dados, informação, conhecimento. 
Feedback 
A resposta correta é: Dados, informação, conhecimento.. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Quanto aos conceitos complementares de Segurança da Informação, 
considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = 
FALSO) e assinale a alternativa correspondente: 
(__) Ativo de informação: É a própria informação somada a qualquer 
componente que a sustenta ou se utiliza dela. 
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades. 
(__) Vulnerabilidade: É o ponto fraco de um ativo. 
(__) Ameaça: É a exploração de uma falha por um agente. 
(__) Controle: São os meios utilizados para resolução das vulnerabilidades. 
Escolha uma: 
a. V,V,V,V,V 
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a 
exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a 
iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um 
meio hostil. Fonte: Cap 1, pag. 5,6 
b. V,F,V,V,F 
c. V,F,V,F,V 
d. F,F,V,F,V 
e. F,F,V,F,V 
Feedback 
A resposta correta é: V,F,V,F,V. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO 
afirmar: 
Escolha uma: 
a. A implantação de um SGSI pode contribuir muito para a garantia da reputação de 
uma organização. 
b. Se a organização tem uma necessidade simples, isto requer uma solução simples 
de SGSI. 
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental 
importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag. 
3,4 
c. Um SGSI é de fundamental importância para empresas do setor privado, porém não 
se aplica ao setor público. 
d. É o resultado da aplicação planejada de objetivos, diretrizes, políticas, 
procedimentos, modelos e outras medidas administrativas que, de forma conjunta, 
definem como são reduzidos os riscos para a segurança da informação. 
e. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por 
constituir um SGSI. 
Feedback 
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor 
privado, porém não se aplica ao setor público.. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação 
de Desempenho. Assinale a alternativa que descreve corretamente este 
tópico: 
Escolha uma: 
a. Referências indispensável para a aplicação da norma. 
b. Glossário completo com termos técnicos fundamentais. 
Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho, 
também conhecida como avaliação de performance é uma das últimas etapas na 
aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade da 
norma. Fonte: Cap 2, pag. 8 
c. Descreve os objetivos gerais e a aplicação da norma. 
d. Incentiva a melhoria contínua através de constantes ações corretivas. 
e. Etapas de monitoramento, medição e análise bem como auditoria interna e análise 
crítica por parte da alta administração. 
Feedback 
A resposta correta é: Etapas de monitoramento, medição e análise bem como 
auditoria interna e análise crítica por parte da alta administração.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
De forma a reunir diversas normas de segurança da informação, a ISO criou 
a série 27000. As duas principais normas desta família, e mais amplamente 
utilizadas, são as normas: 
Escolha uma: 
a. ISO 27001 e ISO 27009 
b. ISO 27009 e ISO 27013 
c. ISO 27009 e ISO 27017 
d. ISO 27007 e ISO 27009 
Tema: Introdução às normas e padrões de segurança da informação, opção (E). A 
norma ISO 27001 é a principal norma que uma organização deve utilizar como base 
para obter a certificação empresarial em gestão da segurança da informação sendo a 
única norma internacional que define os requisitos para um Sistema de Gestão de 
Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles 
que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2 
e. ISO 27001 e ISO 27002 
Feedback 
A resposta correta é: ISO 27001 e ISO 27002. 
Questão 8 
Incorreto 
Marcar questão 
Texto da questão 
As normas da família ISO 27000 herdaram a padronização instituída na 
década de 1990 pela norma: 
Escolha uma: 
a. ISO 9001 
b. BS7799 
c. BS7750 
Tema: Introdução às normas e padrões de segurança da informação, opção (D). A 
padronização para a área de segurança da informação foi iniciada pelo BSI (British 
Standard Institute) com a criaçãoda norma BS7799 na década de 1990, sendo 
considerado o mais completo padrão para o gerenciamento da segurança da 
informação no mundo. Fonte: Cap 2, pag. 2 
d. IEEE 802.1 
e. ISO 14001 
Feedback 
A resposta correta é: BS7799. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Sobre a utilização de recursos de TI em uma organização, assinale a 
alternativa incorreta: 
Escolha uma: 
a. É de fundamental importância que a organização possua uma política de utilização 
dos recursos de TI bem definida. 
Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter 
acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto 
que tal prática por representar riscos, como a instalação de malwares, pois o usuário 
final não possui, via de regra, conhecimento técnico suficiente para evitar tais 
incidentes. Fonte: Cap 3, pag. 1 
b. Os colaboradores da instituição devem ter ciência de que o uso dos recursos 
tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos 
negócios da organização. 
c. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno 
das organizações. 
d. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto 
que tal prática não representa risco significativo à segurança da informação. 
e. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) 
somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas 
funções e execução de seus trabalhos. 
Feedback 
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação 
de softwares, visto que tal prática não representa risco significativo à segurança da 
informação.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à titularidade das informações em um ambiente corporativo, 
considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = 
FALSO) e assinale a alternativa correspondente: 
Dentro do ambiente corporativo, a empresa detém os direitos sobre todos 
os dados e informações armazenados nos seus ambientes computacionais. 
Se o empregado for previamente avisado que o e-mail da empresa deve ser 
usado apenas para fins profissionais, a empresa poderá monitorar o 
conteúdo sem ferir as leis e normas vigentes. 
Independente de aviso prévio, a empresa jamais poderá monitorar o 
correio eletrônico de um funcionário, podendo a mesma responder ação 
judicial na Justiça do Trabalho. 
Escolha uma: 
a. V,V,V 
b. V,F,V 
c. V,V,F 
d. F,V,F 
Tema: Titularidade das informações, opção (B). A alternativas I e II são verdadeiras. A 
alternativa III é falsa pois é direito da empresa monitorar o correio eletrônico de um 
funcionário, visto que à ela pertence as informações armazenadas em seus ambientes 
computacionais, devendo a empresa avisar previamente e regular o uso do email 
corporativo. Fonte: Cap 3, pag. 2 
e. F,F,V 
Feedback 
A resposta correta é: V,V,F. 
Questão 1 
Incorreto 
Marcar questão 
Texto da questão 
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de 
vida da informação: 
Escolha uma: 
a. A informação é conservada para futura utilização. 
O ciclo de vida da informação é composto de seis etapas: obtenção, tratamento, 
armazenamento, distribuição, uso e descarte. O uso é a etapa mais importante, pois é 
quanto é gerado valor agregado à informação, podendo gerar informações gerenciais 
que podem ser utilizadas para tomadas de decisões, entre outros propósitos. Fonte: 
Cap 1, pag. 9,10 
b. Quando é realizado algum tipo de organização ou formatação da informação. 
c. A informação é criada, ou obtida através de uma fonte externa. 
d. Quando é gerado valor agregado à informação. 
e. Quando é realizado o expurgo de informações. 
Feedback 
A resposta correta é: Quando é gerado valor agregado à informação.. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
A confidencialidade é um dos pilares básicos da Segurança da Informação. 
Assinale a alternativa que corresponde ao seu conceito: 
Escolha uma: 
a. É a garantia de que a informação armazenada é verdadeira e não está corrompida. 
b. É a propriedade de que a informação deve estar disponível sempre que alguém 
autorizado, no exercício de suas funções, necessitar dela. 
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à 
proteção da informação, no sentido de que somente quem é autorizado a acessá-la 
deve fazê-lo. Fonte: Cap 1, pag. 4 
c. É o conceito de que determinadas informações só podem ser acessadas por quem é 
de direito conhecê-las. 
d. É a capacidade de provar que um usuário foi responsável por determinada ação. 
e. É a propriedade que garante que a informação está de acordo com a legislação 
pertinente. 
Feedback 
A resposta correta é: É o conceito de que determinadas informações só podem ser 
acessadas por quem é de direito conhecê-las.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
O estudo de impactos faz parte de um plano diretor de segurança, que tem 
como objetivo montar um mapa de relacionamento e dependência entre 
processos de negócio, aplicações e infraestrutura física, tecnológica e 
humana. É realizada uma análise para cada aspecto da segurança da 
informação (CIDAL Confidencialidade, Integridade, Disponibilidade, 
Autenticidade e Legalidade). Os níveis de impacto são classificados em 
cinco níveis. Considerando a sequência do menor impacto para o maior 
impacto, assinale a alternativa que corresponde à sequência correta: 
Escolha uma: 
a. Relevante, não-considerável, importante, vital e crítico. 
b. Vital, crítico, importante, relevante e não-considerável. 
Tema: Estudo de impactos (análise CIDAL), opção (D). Os níveis de impacto são 
classificados do menor impacto, ou seja, quando um processo de negócio é afetado 
por um incidente de segurança e este incidente não representa prejuízo à atividade 
produtiva, até o nível vital, quando um incidente afeta a organização de tal maneira 
que pode levar à falência da mesma. Fonte: Cap 1, pag. 16,17 
c. Não-considerável, importante, relevante, crítico e vital. 
d. Importante, crítico, vital, não considerável e relevante. 
e. Não-considerável, relevante, importante, crítico e vital. 
Feedback 
A resposta correta é: Não-considerável, relevante, importante, crítico e vital.. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
A implantação de uma política de segurança da informação em uma 
organização apresenta benefícios a curto, médio e longo prazo. Assinale a 
alternativa que corresponde ao benefício de longo prazo: 
Escolha uma: 
a. Padronização dos procedimentos e conformidade com padrões de segurança 
(normas ISO/IEC). 
b. Maior segurança nos processos, através da implementação de novos 
procedimentos e prevenção de acessos não autorizados. 
Divulgação, características e benefícios da política de segurança da informação 
Gabarito comentado: opção (D), O retorno do investimento por meio de redução de 
problemas e incidentes de segurança só pode ser obtido após um longo período de 
implementação e uso da política de segurança da informação em uma organização. 
Fonte: Cap 1, pag. 12 
c. Implantação de controles para resolução de vulnerabilidades 
d. Redução imediata de probabilidade de ataques a ativos de informação. 
e. Retorno do investimento por meio de redução de problemas e incidentes. 
Feedback 
A resposta correta é: Retorno do investimento por meio de redução de problemas e 
incidentes.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
correta: 
Escolha uma: 
a. Trata-se de um glossário completo com termos técnicos fundamentais para o 
entendimento da norma. 
b. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de 
Segurança da Informação (SGSI). 
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte 
relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados 
emapenas uma frase, porém na norma ISO 27002 os mesmos controles são 
detalhados em páginas inteiras. Fonte: Cap 2, pag. 9 
c. Trata-se de um guia para obter a certificação da norma ISO 27001. 
d. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA). 
e. Trata-se da descrição de controles com os mesmos nomes dos controles da norma 
ISO 27002. 
Feedback 
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos 
controles da norma ISO 27002.. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
Um dos cinco princípios do COBIT é atender as necessidades das partes 
interessadas. Assinale a alternativa que corresponde ao conceito de partes 
interessadas, ou stakeholders: 
Escolha uma: 
a. Grupo responsável pela governança e o gerenciamento de informações de uma 
organização. 
b. São os gestores executivos de uma empresa. 
c. Pessoas que devem colaborar e trabalhar em conjunto a fim de garantir que a TI 
esteja inclusa na abordagem de governança e gestão. 
d. Pessoas que ajudam a alcançar os objetivos da empresa. 
Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito utilizado no 
COBIT e outras normas, no sentido original da palavra stake significa interesse ou 
participação, e holder significa aquele que possui. Podem ser pessoas ou organizações 
afetadas diretamente pelos projetos e processos de uma empresa. Fonte: Cap 2, pag. 
13 
e. Pessoas ou grupos que possuem investimento ou interesse no negócio. 
Feedback 
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse no 
negócio.. 
Questão 7 
Correto 
Marcar questão 
Texto da questão 
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua 
veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa 
correspondente: 
O objetivo desta norma é prover um modelo para estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar 
um Sistema de Gestão de Segurança da Informação (SGSI). 
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 
27002. 
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA). 
A certificação é feita para pessoa física. 
Escolha uma: 
a. V,F,V,V 
b. F,V,F,V 
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A 
alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, 
operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 
27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 
2, pag. 8,9,10 
c. F,V,V,F 
d. F,V,V,V 
e. F,F,V,F 
Feedback 
A resposta correta é: F,V,F,V. 
Questão 8 
Correto 
Marcar questão 
Texto da questão 
Um dos tópicos da norma NBR ISO/IEC 27002:2013 é o tópico de Aquisição, 
Desenvolvimento e Manutenção de Sistemas. Assinale a alternativa que 
descreve corretamente este tópico: 
Escolha uma: 
a. Engloba a identificação dos ativos da organização e define as responsabilidades 
apropriadas para a proteção dos mesmos. 
b. O acesso físico às instalações e à infraestrutura de apoio deve ser monitorizado e 
restrito. 
c. Evidencia que é necessário garantir que a segurança da informação é parte 
integrante de todo o ciclo de vida dos sistemas de informação. 
Tema: Norma NBR ISO/IEC 27002:2013, opção (D). Os controles descritos no tópico de 
aquisição, desenvolvimento e manutenção de sistemas deixam claro que a integração 
com o ciclo de vida completo de sistemas é parte fundamental da aplicação da norma 
em uma organização. Fonte: Cap 2, pag. 10 
d. Nesta seção são abordados aspectos de orientação para assegurar o uso efetivo e 
adequado da criptografia. 
e. Engloba a identificação dos ativos da organização e define as responsabilidades 
apropriadas para a proteção dos mesmos. 
Feedback 
A resposta correta é: Evidencia que é necessário garantir que a segurança da 
informação é parte integrante de todo o ciclo de vida dos sistemas de informação.. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à segurança em datacenter, é correto afirmar que: 
Escolha uma: 
a. Não é necessário o investimento maciço em segurança de datacenter, visto que as 
aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes 
para garantia da segurança da informação. 
b. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a 
necessidade de uso de datacenter. 
Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser 
seguidos para garantia da segurança das informações que os datacenters armazenam. 
Fonte: Cap 3, pag. 3,4 
c. A instalação de um firewall é suficiente para garantia de segurança em datacenter. 
d. A segurança em datacenter é regida pela norma BS7799. 
e. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, 
manutenção periódica, prostração contra danos e refrigeração do ambiente. 
Feedback 
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles: 
controle de acesso, manutenção periódica, prostração contra danos e refrigeração do 
ambiente.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = 
VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu 
a necessidade de melhorar os seus serviços de TI. 
É o padrão atual da indústria para implantar o gerenciamento de serviços 
de TI. 
A ITIL organiza os processos para o gerenciamento dos serviços de TI por 
meio de um ciclo de vida de serviços. 
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias 
complementares e guias de gestão e governança de TI. 
Escolha uma: 
a. V,V,F,F 
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é 
falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa 
pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias 
complementares. Fonte: Cap 2, pag. 16 
b. F,V,V,F 
c. V,V,V,F 
d. F,V,F,V 
e. V,F,V,F 
Feedback 
A resposta correta é: F,V,V,F. 
Questão 1 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à classificação dos ativos da informação, assinale a alternativa que 
apresenta somente ativos da informação que pertencem ao tipo físico de 
natureza do ativo: 
Escolha uma: 
a. Empregados, ferramentas de desenvolvimento, planos de continuidade. 
Os ativos da informação são a própria informação somada a qualquer componente 
que a sustenta ou se utiliza dela. Este componente pode ser humano, tecnológico, 
hardware, software, entre outros. O grupo de ativos cuja natureza é física engloba 
somente objetos físicos que sustentam a informação. Fonte: Cap 1, pag. 7,8 
b. Sistemas operacionais, servidores, desktops e notebooks. 
c. Contratos, empregados e sistemas operacionais. 
d. Equipamentos de comunicação, sistemas operacionais e aplicativos. 
e. Mídias magnéticas, impressoras e desktops. 
Feedback 
A resposta correta é: Mídias magnéticas, impressoras e desktops.. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
A implantação de uma política de segurança da informação em uma 
organização apresenta benefícios a curto, médio e longo prazo. Assinale a 
alternativa que corresponde ao benefício de longo prazo: 
Escolha uma: 
a. Implantação de controles para resolução de vulnerabilidades 
Divulgação, características e benefícios da política de segurança da informação 
Gabarito comentado: opção (D), O retorno do investimento por meio de redução de 
problemas e incidentes de segurança só pode ser obtido após um longo período de 
implementação e uso da política de segurança da informação em uma organização. 
Fonte: Cap 1, pag. 12 
b. Maior segurança nos processos, através da implementação de novos 
procedimentos e prevenção de acessos não autorizados. 
c. Redução imediata de probabilidade de ataques a ativos de informação. 
d. Padronizaçãodos procedimentos e conformidade com padrões de segurança 
(normas ISO/IEC). 
e. Retorno do investimento por meio de redução de problemas e incidentes. 
Feedback 
A resposta correta é: Retorno do investimento por meio de redução de problemas e 
incidentes.. 
Questão 3 
Correto 
Marcar questão 
Texto da questão 
O desenvolvimento de uma política de segurança da informação é realizado 
em quatro etapas principais. Assinale a alternativa que corresponde à fase 
de levantamento de informações: 
Escolha uma: 
a. É nesta fase que serão formalizados os procedimentos junto à alta administração. 
b. É a efetiva implantação das políticas, normas e procedimentos através de 
preparação de material promocional, divulgação constante, conscientização das 
responsabilidades, realização de palestras de modo que todo o público-alvo possa 
compreender e ser convencido a segui-las. 
c. Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem 
como o entendimento das necessidades e uso dos recursos tecnológicos nos 
processos da instituição. 
A primeira fase para o desenvolvimento e implementação das políticas, normas e 
procedimentos de segurança da informação em uma organização é a fase de 
levantamento de informações. Não há como prosseguir para as outras fases sem o 
entendimento completo sobre o ambiente, regras de negócio e processos de uma 
organização. Fonte: Cap 1, pag. 11 
d. É a fase de mudança de cultura que inclui comportamentos que comprometem a 
segurança da informação. 
e. Fase que envolve aspectos como a classificação das informações, atribuição de 
regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um 
todo. 
Feedback 
A resposta correta é: Nesta fase serão obtidas informações iniciais sobre os ambientes 
de negócios, bem como o entendimento das necessidades e uso dos recursos 
tecnológicos nos processos da instituição.. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Um dos conceitos fundamentais de segurança da informação está 
relacionado ao nível de abstração, ou seja, o aumento da capacidade de 
subtrair detalhes, de modo que possamos visualizar algo de forma mais 
concisa. Assinale a alternativa que apresenta a ordem correta, do menor 
nível de abstração até o maior nível: 
Escolha uma: 
a. Conhecimento, informação, dados. 
b. Informação, conhecimento, dados. 
c. Dados, informação, conhecimento. 
d. Informação, dados, conhecimento. 
e. Dados, conhecimento, informação. 
Conceitos básicos de segurança da informação, opção (C) À medida que o nível de 
abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-
se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2 
Feedback 
A resposta correta é: Dados, informação, conhecimento.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua 
veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa 
correspondente: 
O objetivo desta norma é prover um modelo para estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar 
um Sistema de Gestão de Segurança da Informação (SGSI). 
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 
27002. 
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA). 
A certificação é feita para pessoa física. 
Escolha uma: 
a. F,V,V,F 
b. F,F,V,F 
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A 
alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, 
operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 
27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 
2, pag. 8,9,10 
c. F,V,V,V 
d. F,V,F,V 
e. V,F,V,V 
Feedback 
A resposta correta é: F,V,F,V. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
a norma NBR ISO/IEC 27001:2013, assinale a afirmativa 
correta: 
Escolha uma: 
a. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA). 
b. Trata-se da descrição de controles com os mesmos nomes dos controles da norma 
ISO 27002. 
c. Trata-se de um guia para obter a certificação da norma ISO 27001. 
d. Trata-se de um glossário completo com termos técnicos fundamentais para o 
entendimento da norma. 
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte 
relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados 
em apenas uma frase, porém na norma ISO 27002 os mesmos controles são 
detalhados em páginas inteiras. Fonte: Cap 2, pag. 9 
e. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de 
Segurança da Informação (SGSI). 
Feedback 
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos 
controles da norma ISO 27002.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Sobre Sistema de Gestão de Segurança da Informação (SGSI), é INCORRETO 
afirmar: 
Escolha uma: 
a. A implantação de um SGSI pode contribuir muito para a garantia da reputação de 
uma organização. 
b. Se a organização tem uma necessidade simples, isto requer uma solução simples 
de SGSI. 
c. Na prática, quando uma instituição implanta a norma ISO 27001 acaba por 
constituir um SGSI. 
Tema: Norma NBR/ISO 27001:2013, opção (E). A aplicação do SGSI é de fundamental 
importância tanto para o setor público como para o setor privado. Fonte: Cap 2, pag. 
3,4 
d. É o resultado da aplicação planejada de objetivos, diretrizes, políticas, 
procedimentos, modelos e outras medidas administrativas que, de forma conjunta, 
definem como são reduzidos os riscos para a segurança da informação. 
e. Um SGSI é de fundamental importância para empresas do setor privado, porém não 
se aplica ao setor público. 
Feedback 
A resposta correta é: Um SGSI é de fundamental importância para empresas do setor 
privado, porém não se aplica ao setor público.. 
Questão 8 
Incorreto 
Marcar questão 
Texto da questão 
Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação 
de Desempenho. Assinale a alternativa que descreve corretamente este 
tópico: 
Escolha uma: 
a. Descreve os objetivos gerais e a aplicação da norma. 
b. Glossário completo com termos técnicos fundamentais. 
c. Incentiva a melhoria contínua através de constantes ações corretivas. 
d. Referências indispensável para a aplicação da norma. 
Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho, 
também conhecida como avaliação de performance é uma das últimas etapas na 
aplicação da norma ISO 27001, importante pelo seu caráter crítico da aplicabilidade da 
norma. Fonte: Cap 2, pag. 8 
e. Etapas de monitoramento, medição e análise bem como auditoria interna e análise 
crítica por parte da alta administração. 
Feedback 
A resposta correta é: Etapas de monitoramento, medição e análise bem como 
auditoria interna e análise crítica por parte da alta administração.. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à titularidade das informações em um ambiente corporativo, 
considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = 
FALSO) e assinale a alternativa correspondente: 
Dentro do ambiente corporativo, a empresa detém os direitos sobre todos 
os dados e informações armazenados nos seus ambientes computacionais. 
Se o empregado for previamente avisado que o e-mail da empresa deve ser 
usado apenas para fins profissionais, a empresa poderá monitorar o 
conteúdo sem ferir as leis e normas vigentes. 
Independente de aviso prévio, a empresa jamais poderá monitorar o 
correio eletrônico de um funcionário, podendo a mesma responder ação 
judicial na Justiça do Trabalho. 
Escolha uma: 
a. V,F,V 
b. V,V,F 
c. F,F,V 
Tema: Titularidade das informações, opção (B). A alternativas I e II são verdadeiras. A 
alternativa III é falsa pois é direito da empresa monitorar o correio eletrônico de um 
funcionário, visto que à ela pertenceas informações armazenadas em seus ambientes 
computacionais, devendo a empresa avisar previamente e regular o uso do email 
corporativo. Fonte: Cap 3, pag. 2 
d. V,V,V 
e. F,V,F 
Feedback 
A resposta correta é: V,V,F. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à segurança em datacenter, é correto afirmar que: 
Escolha uma: 
a. A instalação de um firewall é suficiente para garantia de segurança em datacenter. 
b. Não é necessário o investimento maciço em segurança de datacenter, visto que as 
aplicações desenvolvidas atualmente possuem mecanismos de proteção suficientes 
para garantia da segurança da informação. 
c. A segurança em datacenter é regida pela norma BS7799. 
Segurança em datacenter, opção (C)Os requisitos básicos de segurança devem ser 
seguidos para garantia da segurança das informações que os datacenters armazenam. 
Fonte: Cap 3, pag. 3,4 
d. Tornou-se obsoleto, visto que o armazenamento em nuvem substituiu a 
necessidade de uso de datacenter. 
e. Possui quatro requisitos de segurança básicos, sendo eles: controle de acesso, 
manutenção periódica, prostração contra danos e refrigeração do ambiente. 
Feedback 
A resposta correta é: Possui quatro requisitos de segurança básicos, sendo eles: 
controle de acesso, manutenção periódica, prostração contra danos e refrigeração do 
ambiente.. 
Questão 1 
Incorreto 
Marcar questão 
Texto da questão 
Quanto às categorias de malwares, analise as sentenças abaixo: 
I- Vírus é um programa que se autorreplica após alguma ação do usuário. 
Worm é um programa que se autorreplica sem a necessidade de ação do 
usuário. 
II- Ransomware é um malware menos perigoso, pois sua função é exibir 
publicidade ao usuário. 
III-Spyware é um malware que monitora o equipamento do usuário e efetua 
coleta de informações do mesmo. 
IV-Está correto o que consta em: 
Escolha uma: 
a. I e II, apenas. 
Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é 
falsa pois o ransomware é uma categoria de malware perigosa, que efetua o 
sequestro dos dados do usuário, criptografando os mesmos, e exigindo valor 
monetário como resgate. Fonte: Cap 4, pag. 1,2 
b. IV, apenas. 
c. I e IV, apenas. 
d. I,II e IV apenas 
e. I,II,III,IV. 
Feedback 
A resposta correta é: I,II e IV apenas. 
Questão 2 
Correto 
Marcar questão 
Texto da questão 
Quanto à segurança no tratamento de mídias, é correto afirmar: 
Escolha uma: 
a. Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o 
uso de procedimentos para assegurar a eliminação adequada da informação. 
Tema: Segurança no tratamento de mídias.É preciso considerar que as informações 
armazenadas em mídias podem conter conteúdo confidencial, portanto não devem 
ser descartadas sem o devido cuidado com a segurança da informação. Fonte: Cap 3, 
pag. 24,25 
b. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de 
formatação de baixo nível. 
c. Não existem normas que tratam do descarte de mídias de forma segura. 
d. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. 
e. Quanto menor o nível de classificação da informação, maior deverá ser a garantia 
de que as informações não podem ser recuperadas após a eliminação. 
Feedback 
A resposta correta é: Sempre que uma mídia de armazenamento seja descartada, 
deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da 
informação.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
Sobre política de backup é correto afirmar: 
Escolha uma: 
a. A guarda de backup em local físico diferente da sede de uma organização não é 
recomendada, visto a dificuldade de recuperação em caso de desastre. 
b. Backup em discos são mais seguros do que backup em fitas. 
De um modo geral as políticas de backup consistem em capturar um backup completo 
inicial de dados em disco e/ou fita, seguido de uma série de backups diários 
incrementais ou diferenciais. 
c. Backups completos devem ser realizados diariamente. 
d. De um modo geral as políticas de backup consistem em capturar um backup 
completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários 
incrementais ou diferenciais. 
e. Somente dados críticos necessitam de backup. 
Feedback 
A resposta correta é: De um modo geral as políticas de backup consistem em capturar 
um backup completo inicial de dados em disco e/ou fita, seguido de uma série de 
backups diários incrementais ou diferenciais.. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Sobre tipos de backup é correto afirmar: 
Escolha uma: 
a. Os backups incrementais realizam apenas backup dos dados que foram alterados 
desde a última tarefa de backup. 
b. Os backups incrementais consistem em backups de todos os dados que foram 
alterados desde o último backup completo. 
Tema: Política de backup e restore.A estratégia de backups diferenciais ou 
incrementais deve ser adotada de acordo com a disponibilidade de recursos e 
necessidades da organização. Backups diferenciais são cópias de todos os dados que 
foram alterados desde o último backup completo, diferentemente do incremental 
onde são copiados apenas os dados que foram alterados desde a última tarefa de 
backup. Fonte: Cap 3, pag. 18,19 
c. Os backups diferenciais realizam apenas backup dos dados que foram alterados 
desde a última tarefa de backup. 
d. Backup completo é a soma de um backup diferencial com um backup incremental. 
e. Os backups diferenciais são mais seguros que os backups incrementais. 
Feedback 
A resposta correta é: Os backups incrementais realizam apenas backup dos dados que 
foram alterados desde a última tarefa de backup.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao processo de assinatura digital, analise as sentenças abaixo: 
I-As assinaturas digitais usam um formato padrão aceito mundialmente, 
denominado Public Key Infrastructure (PKI). 
II-A PKI é um sistema criptográfico simétrico. 
III-Para assinar digitalmente documentos, um usuário precisa obter um par 
de chaves: chave pública e chave privada, através de um certificado digital. 
IV-O receptor do documento utiliza a chave pública do emissor para 
descriptografar a assinatura. Se a chave pública não puder descriptografar 
a assinatura (através da comparação dos hashes), isso significa que a 
assinatura não poderá ser validada. 
Está correto o que consta em: 
Escolha uma: 
a. III, apenas. 
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa 
pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e 
privada). Fonte: Cap 4, pag. 21,22,23. 
b. I, III e IV, apenas. 
c. I,II,III,IV. 
d. II e IV, apenas. 
e. I,II e III, apenas. 
Feedback 
A resposta correta é: I, III e IV, apenas.. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
As sentenças abaixo apresentam estratégias de defesa contra engenharia 
social, EXCETO: 
Escolha uma: 
a. Exigir que qualquer prestador de serviço seja cadastrado e identificado 
apropriadamente. 
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a 
implementação de boas práticas de segurança que auxiliem na proteção da empresa, 
não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8 
b. Investir em software específico disponível para proteger uma empresa contra a 
engenharia social. 
c. Implementar tecnologias de identificação de chamadas de/ou para o suporte. 
d. Investir em equipamento triturador. 
e. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. 
Feedback 
A resposta correta é: Investir em software específico disponível para proteger uma 
empresa contra a engenharia social.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Sobre gerenciamento de riscos em segurança da informação, é correto 
afirmar: 
Escolha uma: 
a. É um sistema de apoio à decisão para o negócio deuma organização. 
b. É baseado em controles, para servir como referência a uma organização que deseja 
ter uma governança de TI mais controlada. 
c. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As 
empresas têm percebido que a existência de riscos, sem o devido tratamento são 
prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio, 
por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6, 
pag. 1 
d. É um conjunto de políticas, procedimentos e vários outros controles que definem as 
regras de segurança da informação em uma organização. 
e. É o processo que habilita os administradores a identificar, priorizar e avaliar os 
custos operacionais de implantação de medidas de proteção aos sistemas de 
informação, bem como os dados que dão suporte à missão de uma organização. 
Feedback 
A resposta correta é: É o processo que habilita os administradores a identificar, 
priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos 
sistemas de informação, bem como os dados que dão suporte à missão de uma 
organização.. 
Questão 8 
Incorreto 
Marcar questão 
Texto da questão 
Quanto a certificados digitais, NÃO é correto afirmar: 
Escolha uma: 
a. O certificado é assinado por alguém em quem o proprietário deposita sua 
confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), 
 
b. O certificado digital contém, além da chave pública, informações sobre seu 
proprietário, como nome, endereço e outros dados pessoais. 
Tema: Certificados digitais.Os certificados digitais são emitidos pelas Autoridades 
Certificadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag. 20,21 
c. Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, 
Certsign, Serasa Experian. 
d. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil. 
e. O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-
Raiz). 
Feedback 
A resposta correta é: O certificado digital só pode ser emitido por uma Autoridade 
Certificadora Raiz (AC-Raiz).. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao gerenciamento de riscos em segurança da informação, a etapa 
de identificação de vulnerabilidades apresenta os seguintes aspectos, 
EXCETO: 
Escolha uma: 
a. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações 
legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da 
informação e de quaisquer requisitos de segurança. 
b. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários 
demitidos não serem bloqueados nos sistemas de informação. 
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a 
etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8 
c. Os métodos proativos, que empregam testes de segurança do sistema, podem ser 
usados para identificar eficientemente as vulnerabilidades. 
d. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser 
exploradas pelas potenciais fontes de ameaças. 
e. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de 
invasão ativos (pentest). 
Feedback 
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de 
quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas 
à segurança da informação e de quaisquer requisitos de segurança.. 
Questão 10 
Correto 
Marcar questão 
Texto da questão 
Sobre a integração do gerenciamento de riscos com o ciclo de vida de 
desenvolvimento de sistemas (CVDS), no contexto da segurança da 
informação, é correto afirmar: 
Escolha uma: 
a. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS. 
b. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa 
para cada fase principal do CVDS. 
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um 
processo iterativo é um processo que se repete diversas vezes para se chegar a um 
resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao 
gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3 
c. O gerenciamento de riscos é um processo que deve ser realizado de forma única 
para cada fase principal do CVDS. 
d. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados 
para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de 
segurança, e conceitos de segurança de operações. 
e. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento 
de risco são executadas para componentes do sistema que serão descartados ou 
substituídos. 
Feedback 
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado 
de forma iterativa para cada fase principal do CVDS.. 
Questão 1 
Correto 
Marcar questão 
Texto da questão 
Quanto a conceitos complementares de criptografia, selecione a alternativa 
que descreve um ataque de força bruta: 
Escolha uma: 
a. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as 
corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o 
espaço de busca. 
Tema: Criptografia.O ataque de força bruta também é conhecido como busca 
exaustiva de chaves e pode, em teoria, ser utilizado contra quaisquer dados 
criptografados. Fonte: Cap 4, pag. 14 
b. É um ataque que necessita alto poder de processamento, não sendo possível 
realiza-lo com um computador doméstico. 
c. É um ataque onde são utilizadas senhas armazenadas em um dicionário. 
d. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. 
e. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres 
especiais. 
Feedback 
A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e 
senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria 
percorrer todo o espaço de busca.. 
Questão 2 
Correto 
Marcar questão 
Texto da questão 
Quanto aos softwares antivírus, é correto afirmar: 
Escolha uma: 
a. Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro 
do malware. 
Tema: Proteção contra software malicioso.O software antivírus reconhece o programa 
como vírus ao efetuar a comparação entre o código-fonte do programa em execução 
com a sua base de dados de assinaturas de vírus. Fonte: Cap 4, pag. 3 
b. Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela 
venda de suas ferramentas. 
c. É um tipo de malware. 
d. Funciona somente com detecção de assinatura de malware estática. 
e. Soluções gratuitas não oferecem proteção contra malwares. 
Feedback 
A resposta correta é: Uma assinatura de vírus é baseada em um segmento único de 
código-fonte dentro do malware.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
Sobre autenticação de fator múltiplo, analise as sentenças abaixo: 
I O fator de conhecimento inclui algo que o usuário sabe, como por 
exemplo, uma senha. 
II O fator de herança inclui algo que o usuário possui, como um token. 
III O PIN é um fator de posse. 
IV A biometria é um fator de herança. 
Está correto o que consta em: 
Escolha uma: 
a. I, somente. 
Tema: Política de senhas. A alternativas I e IV são verdadeiras. A alternativa II é falsa 
pois o token é um fator de posse. A alternativa III é falsa pois o PIN é um fator de 
conhecimento. Fonte: Cap 3, pag. 16 
b. I, III e IV, somente. 
c. III e IV, somente. 
d. I e IV, somente. 
e. IV, somente. 
Feedback 
A resposta correta é: I e IV, somente.. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente 
seguro, podemos elencar algumas boas práticas de programação.Assinale 
a alternativa que contém algumas destas boas práticas: 
Escolha uma: 
a. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de 
buffer, tratar entrada e saída de dados. 
b. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de 
dados. 
c. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings 
para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
Tema: Segurança no desenvolvimento de software.Operar com menos privilégio 
auxilia na redução de danos, caso o sistema seja comprometido. A utilização de strings 
inseguras e funções de buffer deve ser evitada, pois apresentam vulnerabilidades de 
corrupção de memória. As entradas e saídas de dados devem ser validadas a fim de 
rejeitar dados em não-conformidade. Fonte: Cap 4, pag. 7,8,9 
d. Maximizar o uso de strings inseguras e funções de buffer, operar com menos 
privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. 
e. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de 
SQL dinâmicas, evitar o uso de criptografia fraca. 
Feedback 
A resposta correta é: Operar com menos privilégio, minimizar o uso de strings 
inseguras e funções de buffer, tratar entrada e saída de dados.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao ciclo de vida da Engenharia Social, é correto afirmar: 
Escolha uma: 
a. A etapa de manipulação psicológica é a etapa de levantamento de informações 
sobre o(s) alvo(s) e o ambiente circunvizinho a este. 
b. A etapa de manipulação psicológica é o primeiro passo em um ataque de 
engenharia social. 
Tema: Engenharia Social.E etapa de relação de confiança é a fase imediatamente após 
a fase de levantamento de informações (coleta), onde o atacante procura ganhar a 
confiança da vítima. Fonte: Cap 5, pag. 2,3 
c. A coleta é uma fase pós-ataque, onde o engenheiro social utiliza a informação 
obtida para fins ilícitos. 
d. A etapa de relação de confiança é a fase na qual o atacante passa a desenvolver um 
relacionamento com o alvo, uma vez que estes possíveis alvos foram enumerados. 
e. Não existe ciclo de vida de um ataque de engenharia social, visto que cada ataque é 
único. 
Feedback 
A resposta correta é: A etapa de relação de confiança é a fase na qual o atacante passa 
a desenvolver um relacionamento com o alvo, uma vez que estes possíveis alvos 
foram enumerados.. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
Sobre forense computacional, é correto afirmar que: 
Escolha uma: 
a. A área de forense computacional não possui ligação com crimes cibernéticos, sendo 
restrita somente a incidentes de segurança que não envolvam quebra de leis. 
b. Quando ocorre um incidente de segurança em uma empresa, não é necessário 
observar procedimentos de preservação de evidências. 
Tema: Forense computacional.A ciência forense computacional é bastante utilizada no 
universo jurídico, visto que trata-se de produção de provas em ações cíveis e criminais. 
Fonte: Cap 4, pag. 24 
c. Não é possível recuperar informações a partir de fragmentos de arquivos. 
d. A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, 
não necessitando de peritos especialistas nesta área. 
e. A área de forense computacional consiste no uso de métodos científicos para 
preservação, coleta, validação, identificação, análise, interpretação, documentação e 
apresentação de evidência digital com validade probatória em juízo. 
Feedback 
A resposta correta é: A área de forense computacional consiste no uso de métodos 
científicos para preservação, coleta, validação, identificação, análise, interpretação, 
documentação e apresentação de evidência digital com validade probatória em juízo.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Um dos profissionais especialistas em segurança da informação tem um 
destaque especial, por efetuar o papel de coordenação da equipe de 
segurança, é o denominado Security Officer, ou agente de segurança. As 
sentenças abaixo destacam as qualificações de um Security Officer, 
EXCETO: 
Escolha uma: 
a. Capacidade de conciliar os interesses de segurança com os interesses do negócio. 
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta 
pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de 
engenharia social. Fonte: Cap 5, pag. 10,11,12 
b. Certificações e especializações na área de segurança da informação. 
c. Excelente capacidade de comunicação. 
d. Familiaridade com termos e conceitos da área. 
e. Dominar técnicas de engenharia social. 
Feedback 
A resposta correta é: Dominar técnicas de engenharia social.. 
Questão 8 
Correto 
Marcar questão 
Texto da questão 
Sobre gerenciamento de riscos em segurança da informação, é correto 
afirmar: 
Escolha uma: 
a. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
b. É um conjunto de políticas, procedimentos e vários outros controles que definem as 
regras de segurança da informação em uma organização. 
c. É um sistema de apoio à decisão para o negócio de uma organização. 
d. É baseado em controles, para servir como referência a uma organização que deseja 
ter uma governança de TI mais controlada. 
e. É o processo que habilita os administradores a identificar, priorizar e avaliar os 
custos operacionais de implantação de medidas de proteção aos sistemas de 
informação, bem como os dados que dão suporte à missão de uma organização. 
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As 
empresas têm percebido que a existência de riscos, sem o devido tratamento são 
prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio, 
por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6, 
pag. 1 
Feedback 
A resposta correta é: É o processo que habilita os administradores a identificar, 
priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos 
sistemas de informação, bem como os dados que dão suporte à missão de uma 
organização.. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Quanto a estratégias para mitigação de riscos, no contexto de 
gerenciamento de riscos em segurança da informação, é correto afirmar: 
Escolha uma: 
a. Se o custo do ataque é menor que o ganho, então o risco não é aceitável. 
b. Se o projeto do sistema não é vulnerável, o risco é existente. 
c. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente. 
Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o 
ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o 
ataque. Fonte: Cap 6, pag. 16 
d. Se o projeto do sistema é vulnerável e não explorável, o risco é existente. 
e. Se o custo do ataque é maior que o ganho, então o risco não é aceitável. 
Feedback 
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é 
aceitável.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Sobre a integração do gerenciamento de riscos com o ciclo de vida de 
desenvolvimento de sistemas (CVDS), no contexto da segurança da 
informação, é correto afirmar: 
Escolha uma: 
a. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados 
para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de 
segurança, e conceitos de segurança de operações. 
b. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento 
de risco são executadas para componentes do sistema que serão descartados ou 
substituídos. 
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um 
processo iterativo é um processo que se repete diversas vezes para se chegar a um 
resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao 
gerenciamento de riscos para cada ciclo do CVDS.Fonte: Cap 6, pag. 2,3 
c. O gerenciamento de riscos é um processo que deve ser realizado de forma única 
para cada fase principal do CVDS. 
d. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa 
para cada fase principal do CVDS. 
e. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS. 
Feedback 
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado 
de forma iterativa para cada fase principal do CVDS.. 
Questão 1 
Incorreto 
Marcar questão 
Texto da questão 
Quanto às categorias de malwares, analise as sentenças abaixo: 
I- Vírus é um programa que se autorreplica após alguma ação do usuário. 
Worm é um programa que se autorreplica sem a necessidade de ação do 
usuário. 
II- Ransomware é um malware menos perigoso, pois sua função é exibir 
publicidade ao usuário. 
III-Spyware é um malware que monitora o equipamento do usuário e efetua 
coleta de informações do mesmo. 
IV-Está correto o que consta em: 
Escolha uma: 
a. I e II, apenas. 
b. I e IV, apenas. 
c. IV, apenas. 
Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é 
falsa pois o ransomware é uma categoria de malware perigosa, que efetua o 
sequestro dos dados do usuário, criptografando os mesmos, e exigindo valor 
monetário como resgate. Fonte: Cap 4, pag. 1,2 
d. I,II,III,IV. 
e. I,II e IV apenas 
Feedback 
A resposta correta é: I,II e IV apenas. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
Sobre política de backup é correto afirmar: 
Escolha uma: 
a. A guarda de backup em local físico diferente da sede de uma organização não é 
recomendada, visto a dificuldade de recuperação em caso de desastre. 
b. Backups completos devem ser realizados diariamente. 
De um modo geral as políticas de backup consistem em capturar um backup completo 
inicial de dados em disco e/ou fita, seguido de uma série de backups diários 
incrementais ou diferenciais. 
c. Backup em discos são mais seguros do que backup em fitas. 
d. De um modo geral as políticas de backup consistem em capturar um backup 
completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários 
incrementais ou diferenciais. 
e. Somente dados críticos necessitam de backup. 
Feedback 
A resposta correta é: De um modo geral as políticas de backup consistem em capturar 
um backup completo inicial de dados em disco e/ou fita, seguido de uma série de 
backups diários incrementais ou diferenciais.. 
Questão 3 
Correto 
Marcar questão 
Texto da questão 
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente 
seguro, podemos elencar algumas boas práticas de programação. Assinale 
a alternativa que contém algumas destas boas práticas: 
Escolha uma: 
a. Operar com menos privilégio, minimizar o uso de strings inseguras e funções de 
buffer, tratar entrada e saída de dados. 
Tema: Segurança no desenvolvimento de software.Operar com menos privilégio 
auxilia na redução de danos, caso o sistema seja comprometido. A utilização de strings 
inseguras e funções de buffer deve ser evitada, pois apresentam vulnerabilidades de 
corrupção de memória. As entradas e saídas de dados devem ser validadas a fim de 
rejeitar dados em não-conformidade. Fonte: Cap 4, pag. 7,8,9 
b. Operar com menos privilégio, utilizar concatenações de strings para cláusulas de 
SQL dinâmicas, evitar o uso de criptografia fraca. 
c. Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de 
dados. 
d. Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings 
para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. 
e. Maximizar o uso de strings inseguras e funções de buffer, operar com menos 
privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. 
Feedback 
A resposta correta é: Operar com menos privilégio, minimizar o uso de strings 
inseguras e funções de buffer, tratar entrada e saída de dados.. 
Questão 4 
Correto 
Marcar questão 
Texto da questão 
Quanto à segurança no tratamento de mídias, é correto afirmar: 
Escolha uma: 
a. Não existem normas que tratam do descarte de mídias de forma segura. 
b. Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de 
formatação de baixo nível. 
c. Quanto menor o nível de classificação da informação, maior deverá ser a garantia 
de que as informações não podem ser recuperadas após a eliminação. 
d. Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o 
uso de procedimentos para assegurar a eliminação adequada da informação. 
Tema: Segurança no tratamento de mídias.É preciso considerar que as informações 
armazenadas em mídias podem conter conteúdo confidencial, portanto não devem 
ser descartadas sem o devido cuidado com a segurança da informação. Fonte: Cap 3, 
pag. 24,25 
e. O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. 
Feedback 
A resposta correta é: Sempre que uma mídia de armazenamento seja descartada, 
deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da 
informação.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Sobre forense computacional, é correto afirmar que: 
Escolha uma: 
a. Não é possível recuperar informações a partir de fragmentos de arquivos. 
b. A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, 
não necessitando de peritos especialistas nesta área. 
c. Quando ocorre um incidente de segurança em uma empresa, não é necessário 
observar procedimentos de preservação de evidências. 
Tema: Forense computacional.A ciência forense computacional é bastante utilizada no 
universo jurídico, visto que trata-se de produção de provas em ações cíveis e criminais. 
Fonte: Cap 4, pag. 24 
d. A área de forense computacional não possui ligação com crimes cibernéticos, sendo 
restrita somente a incidentes de segurança que não envolvam quebra de leis. 
e. A área de forense computacional consiste no uso de métodos científicos para 
preservação, coleta, validação, identificação, análise, interpretação, documentação e 
apresentação de evidência digital com validade probatória em juízo. 
Feedback 
A resposta correta é: A área de forense computacional consiste no uso de métodos 
científicos para preservação, coleta, validação, identificação, análise, interpretação, 
documentação e apresentação de evidência digital com validade probatória em juízo.. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
Um dos profissionais especialistas em segurança da informação tem um 
destaque especial, por efetuar o papel de coordenação da equipe de 
segurança, é o denominado Security Officer, ou agente de segurança. As 
sentenças abaixo destacam as qualificações de um Security Officer, 
EXCETO: 
Escolha uma: 
a. Capacidade de conciliar os interesses de segurança com os interesses do negócio. 
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta 
pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de 
engenharia social. Fonte: Cap 5, pag. 10,11,12 
b. Certificações e especializações na área de segurança da informação. 
c. Dominar técnicas de engenharia social. 
d. Familiaridade com termos e conceitos da área. 
e. Excelente capacidade de comunicação. 
Feedback 
A resposta correta é: Dominar técnicas de engenharia social.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao processo de assinatura digital, analise as sentenças abaixo: 
I-As assinaturas digitais usam um formato padrão aceito mundialmente, 
denominado Public Key Infrastructure (PKI). 
II-A PKI é um sistema criptográfico simétrico. 
III-Para assinar digitalmente documentos, um usuário precisa obter um par 
de chaves: chave pública e chave privada, através de um certificado digital. 
IV-O receptor do documento utiliza a chave pública do emissor para 
descriptografar a assinatura. Se a chavepública não puder descriptografar 
a assinatura (através da comparação dos hashes), isso significa que a 
assinatura não poderá ser validada. 
Está correto o que consta em: 
Escolha uma: 
a. II e IV, apenas. 
Tema: Assinatura Digital.A alternativas I, III e IV são verdadeiras. A alternativa II é falsa 
pois a PKI é um sistema criptográfico assimétrico, que utiliza o par de chaves (pública e 
privada). Fonte: Cap 4, pag. 21,22,23. 
b. I, III e IV, apenas. 
c. I,II,III,IV. 
d. I,II e III, apenas. 
e. III, apenas. 
Feedback 
A resposta correta é: I, III e IV, apenas.. 
Questão 8 
Correto 
Marcar questão 
Texto da questão 
As sentenças abaixo apresentam estratégias de defesa contra engenharia 
social, EXCETO: 
Escolha uma: 
a. Exigir que qualquer prestador de serviço seja cadastrado e identificado 
apropriadamente. 
b. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. 
c. Investir em software específico disponível para proteger uma empresa contra a 
engenharia social. 
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a 
implementação de boas práticas de segurança que auxiliem na proteção da empresa, 
não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8 
d. Implementar tecnologias de identificação de chamadas de/ou para o suporte. 
e. Investir em equipamento triturador. 
Feedback 
A resposta correta é: Investir em software específico disponível para proteger uma 
empresa contra a engenharia social.. 
Questão 9 
Correto 
Marcar questão 
Texto da questão 
Quanto a estratégias para mitigação de riscos, no contexto de 
gerenciamento de riscos em segurança da informação, é correto afirmar: 
Escolha uma: 
a. Se o projeto do sistema é vulnerável e explorável, o risco é inexistente. 
b. Se o projeto do sistema não é vulnerável, o risco é existente. 
c. Se o custo do ataque é maior que o ganho, então o risco não é aceitável. 
d. Se o projeto do sistema é vulnerável e não explorável, o risco é existente. 
e. Se o custo do ataque é menor que o ganho, então o risco não é aceitável. 
Tema: Estratégia de mitigação de riscos, Quando o custo do ataque é menor do que o 
ganho o risco é aceitável pois um atacante terá baixo interesse em prosseguir com o 
ataque. Fonte: Cap 6, pag. 16 
Feedback 
A resposta correta é: Se o custo do ataque é menor que o ganho, então o risco não é 
aceitável.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao gerenciamento de riscos em segurança da informação, a etapa 
de identificação de vulnerabilidades apresenta os seguintes aspectos, 
EXCETO: 
Escolha uma: 
a. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários 
demitidos não serem bloqueados nos sistemas de informação. 
b. Os métodos proativos, que empregam testes de segurança do sistema, podem ser 
usados para identificar eficientemente as vulnerabilidades. 
c. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser 
exploradas pelas potenciais fontes de ameaças. 
d. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de 
invasão ativos (pentest). 
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a 
etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8 
e. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações 
legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da 
informação e de quaisquer requisitos de segurança. 
Feedback 
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de 
quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas 
à segurança da informação e de quaisquer requisitos de segurança.. 
Questão 1 
Incorreto 
Marcar questão 
Texto da questão 
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é 
a norma: 
Escolha uma: 
a. ISO 19011 
b. ISO 9002 
Tema: Auditoria e padrões ISSO. A Norma ISO 19011:2011 não estabelece requisitos, 
mas fornece diretrizes sobre a gestão de um programa de auditoria, sobre o 
planejamento e a realização de uma auditoria de sistema de gestão, bem como sobre 
a competência e avaliação de um auditor e de uma equipe auditora. Fonte: Cap 8 pag. 
15,16 
c. ISO 27002 
d. ISO 9001 
e. ISO 27001 
Feedback 
A resposta correta é: ISO 19011. 
Questão 2 
Correto 
Marcar questão 
Texto da questão 
A auditoria de sistemas de informação torna-se uma atividade importante e 
necessária ao proprietário que delega um patrimônio para ser gerido por 
um terceiro. Assinale a alternativa que apresenta o conceito de auditoria: 
Escolha uma: 
a. É o processo de assegurar se o desenvolvimento, implantação e manutenção de 
sistemas atingem os objetivos de negócio, segurança dos itens de informação e 
mantem a integridade dos dados. 
Tema: Objetivos da auditoria. A auditoria de sistemas de informação deve assegurar a 
validade, confiabilidade, e segurança da informação, garantindo também a integridade 
dos dados contidos nos sistemas. Fonte: Cap 7, pag. 6 
b. É o processo que visa implementar os controles contidos no COBIT, entre eles 
confidencialidade, integridade e disponibilidade. 
c. É o processo que implementa a teoria da agência. 
d. É o processo que verifica somente informações da área contábil. 
e. É o um instrumento de governança com o intuito de verificar se os interesses do 
agente (gestor do patrimônio do proprietário) estão sendo atendidos. 
Feedback 
A resposta correta é: É o processo de assegurar se o desenvolvimento, implantação e 
manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de 
informação e mantem a integridade dos dados.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
Uma das principais associações que auxiliam os profissionais auditores de 
sistemas de informação, responsável pela certificação CISA (Certified 
Information Systems Auditor) é a: 
Escolha uma: 
a. COBIT 
b. INMETRO 
Tema: Associações e certificações. A certificação CISA é mantida pela ISACA, uma 
associação que auxilia profissionais em todo o mundo atuando no desenvolvimento 
de metodologias e certificações. Fonte: Cap 7, pag. 17 
c. ACL 
d. ISACA 
e. ISSO 
Feedback 
A resposta correta é: ISACA. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao perfil do auditor de sistemas de informação, NÃO é correto 
afirmar que: 
Escolha uma: 
a. A ISACA mantém um código de ética, o qual serve como um balizador para as ações 
do auditor. Para associados que desrespeitam a este código, as ações podem resultar 
em investigação e medidas disciplinares. 
b. O auditor deve servir aos interesses do contratante e partes envolvidas de uma 
maneira objetiva e condizente com a legislação vigente. 
c. Deve efetuar uma avaliação equilibrada de todas as circunstâncias relevantes e não 
indevidamente influenciados pelos interesses próprios ou de terceiros. 
Tema: Auditor perfil e ética. A é incorreta pois para a execução dos trabalhos, 
inevitavelmente o auditor terá acesso a informações sigilosas sobre a empresa. Fonte: 
Cap 7, pag. 11,12 
d. Um auditor deve ter a integridade como característica. 
e. O auditor de sistemas de informação, durante a execução do seu trabalho, não terá 
acesso a informações sigilosas sobre a empresa, portanto não é necessário zelo 
excessivo com a confidencialidade. 
Feedback 
A resposta correta é: O auditor de sistemas de informação, durante a execução do seu 
trabalho, não terá acesso a informações sigilosas sobre a empresa, portanto não é 
necessário zelo excessivo com a confidencialidade.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Uma das técnicas utilizadas para auditoria de sistemas de informação é a 
técnica de inserção de dados de teste. A respeito desta técnica assinale a 
alternativa INCORRETA: 
Escolha uma: 
a. Antes das transações serem executadas, os resultados de teste esperado são 
predeterminados, para que osresultados reais possam ser comparados com os 
resultados predeterminados. 
b. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e 
preparados com o objetivo de testar as funcionalidades de entrada de dados no 
sistema. 
Tema: Técnicas de auditoria de sistemas de informação. A alternativa é incorreta pois 
quanto mais combinações de transações puderem ser feitas no arquivo de carga, 
maior será a cobertura do teste. Fonte: Cap 9 pag. 2 
c. Quanto menos combinações de transações puderem ser feitas no arquivo de carga, 
maior será a cobertura do teste. 
d. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam 
a: testes de transações que ocorrem normalmente e testes usando dados inválidos. 
e. Não é necessário um avançado conhecimento de informática para a elaboração dos 
dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que 
tornam a tarefa mais simples. 
Feedback 
A resposta correta é: Quanto menos combinações de transações puderem ser feitas 
no arquivo de carga, maior será a cobertura do teste.. 
Questão 6 
Correto 
Marcar questão 
Texto da questão 
As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as 
Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização 
denominada: 
Escolha uma: 
a. ISACA. 
Tema: Relatório de auditoria de sistemas de informação. Acrônimo para Information 
System Audit and Control Association (Associação de Auditoria e Controle de Sistemas 
de Informação). Uma associação que auxilia profissionais em todo o mundo atuando 
no desenvolvimento de metodologias e certificações. 
b. INMETRO. 
c. ISO. 
d. IEEE. 
e. INTOSAI. 
Feedback 
A resposta correta é: ISACA.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para 
auditoria de sistemas de informação é a etapa de verificação de integridade 
dos dados. Assinale a alternativa que contém um elemento desta etapa: 
Escolha uma: 
a. Os auditores começam o projeto com uma caneta e papel escrevendo de forma 
clara e inequívoca as declarações dos objetivos do projeto. 
b. O auditor adquire os dados para o projeto. 
c. Os totais numéricos correspondem aos totais de controle fornecidos pelo 
proprietário do dado. 
d. O auditor informa ao software ACL como ler e interpretar os dados que ele contém. 
Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de 
verificar a integridade dos dados é através da comparação entre os totais numéricos 
obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8 
e. O auditor considera o meio no qual receberá os dados e a capacidade do servidor 
de rede ou unidade de disco local. 
Feedback 
A resposta correta é: Os totais numéricos correspondem aos totais de controle 
fornecidos pelo proprietário do dado.. 
Questão 8 
Incorreto 
Marcar questão 
Texto da questão 
Em um relatório de auditoria de sistemas de informação, a seção de 
metodologia de auditoria: 
Escolha uma: 
a. Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada 
objetivo. 
b. Fornece uma conclusão geral. 
c. Fornece uma explicação detalhada dos resultados da auditoria. 
d. Identifica os itens a serem avaliados pela auditoria. 
e. Descreve o tipo de auditoria e o que está a ser auditado. 
Tema: Relatório de auditoria de sistemas de informação. Além de fornecer explicação 
de alto nível a seção de metodologia deve identificar a natureza e a extensão do 
trabalho, os critérios, as fontes de critérios, a dependência do trabalho de outros 
profissionais, o tipo de análise realizada e a base para as conclusões. Fonte: Cap 9 pag. 
19 
Feedback 
A resposta correta é: Fornece uma explicação de alto nível sobre como a auditoria foi 
realizada para cada objetivo.. 
Questão 9 
Correto 
Marcar questão 
Texto da questão 
Quanto à ferramenta ACL para auditoria de sistemas de informação, a fase 
em que são obtidos acesso físico e lógico identificando a localização e o 
formato dos dados de origem necessários, é a fase de: 
Escolha uma: 
a. Planejar o projeto. 
b. Acessar os dados com o ACL. 
c. Analisar os dados. 
d. Verificar a integridade dos dados. 
e. Adquirir os dados. 
Tema: Ferramentas de auditoria de sistemas de informação. Os dados de origem 
podem estar em um computador mainframe, um minicomputador ou um computador 
pessoal. Podem ter qualquer estrutura de registro, uma variedade de tipos de dados e 
podem estar em disco rígido, pendrives ou outros dispositivos de armazenamento. 
Fonte: Cap 10 pag. 4 
Feedback 
A resposta correta é: Adquirir os dados.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Consideram as afirmações: 
I - de 
softwares especializados em auditoria, visto que possui diversas 
 
II - O software IDEA permite auditoria baseada em gestão de risco, através 
de governança organizacional e alto desempenho operacional. 
III - As ferramentas específicas de auditoria de SI possuem a vantagem de 
serem desenvolvidas para uma demanda específica, por isso a eficiência da 
ferramenta é muito maior do que um software generalista, além de ter 
custo baixo de produção, visto que possui menos funcionalidades que 
necessitam ser desenvolvidas. 
Podemos dizer que: 
Escolha uma: 
a. II e III são falsas 
Comentário: I - O software especializado é desenvolvido para a execução de uma 
tarefa específica, diferentemente do software generalista, capaz de realizar tarefas 
diversificadas. II - Estas são características presentes no software Pentana. III - 
Comentários: O custo de desenvolvimento de uma ferramenta específica costuma ser 
oneroso, visto que trata-se de um software que atenderá somente a um cliente. Fonte: 
capítulo 10 
b. I, II e III são verdadeiras 
c. Somente II e III são verdadeiras 
d. I, II e III são falsas 
e. Somente III é verdadeira 
Feedback 
A resposta correta é: I, II e III são falsas. 
Questão 1 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à conceitos complementares relacionados a auditoria de sistemas 
de informação, o exame independente e objetivo afirma que: 
Escolha uma: 
a. A auditoria deve ser realizada somente por órgãos governamentais, como o TCU. 
Tema: Conceitos complementares de auditoria de sistemas de informação. É de 
fundamental importância a imparcialidade do auditor, visto que o contrário pode 
comprometer a validade do relatório de auditoria. Fonte: Cap 7, pag. 7,8 
b. A auditoria deve ser realizada por pessoas com independência em relação ao seu 
objeto, de modo a assegurar imparcialidade no julgamento. 
c. A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal). 
d. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. 
e. A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das 
regras de negócio, de modo a assegurar a fidelidade no julgamento. 
Feedback 
A resposta correta é: A auditoria deve ser realizada por pessoas com independência 
em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento.. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
As diferentes abordagens de auditoria de sistemas de informação possuem, 
em geral, 3 fases. Assinale a alternativa que apresenta estas fases: 
Escolha uma: 
a. Execução, Conclusão, Revisão. 
Tema: Abordagens de auditoria de sistemas de informação. Para a execução do 
planejamento é primordial estar definido o enfoque, abrangência e delimitação dos 
sistemas a participarem da auditoria de sistemas de informação. A fase de execução é 
centrada na coleta, análise e avaliação e documentação da informação relevante. 
Finalmente, a fase de conclusão tem como objetivo comunicar os resultados da 
auditoria. Fonte: Cap 8 pag. 2,3 
b. Planejamento, Conclusão, Revisão. 
c. Planejamento, Execução, Conclusão. 
d. Entrevistas, Planejamento, Execução. 
e. Planejamento, Entrevistas, Revisão. 
Feedback 
A resposta correta é: Planejamento, Execução,