Baixe o app para aproveitar ainda mais
Prévia do material em texto
1. Na questão que avalia conhecimento de informática, a menos que seja explicitamente informado o contrário, considere que: todos os programas mencionados estejam em configuração‐ padrão, em português; o mouse esteja configurado para pessoas destras; expressões como clicar, clique simples e clique duplo ref iram‐se a cliques com o botão esquerdo do mouse; e teclar corresponda à operação de pressionar uma tecla e, rapidamente, liberá‐ la, acionando‐a apenas uma vez. Considere também que não haja restrições de proteção, de funcionamento e de uso em relação aos programas, arquivos, diretórios, recursos e equipamentos mencionados. Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações. não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições direcionar os funcionários apenas para o exercício de suas funções diárias; pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização descartar o inventário dos ativos, caso a organização possua Data Resp.: 19/04/2022 14:37:30 Explicação: A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação. 2. Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes. II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number). https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 Está correto o que se afirma em I e II, apenas. II e III, apenas. I, II e III. I e III, apenas. III, apenas. Data Resp.: 19/04/2022 14:38:24 Explicação: A resposta correta é: II e III, apenas. NORMAS DE SEGURANÇA DA INFORMAÇÃO 3. O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada em softwares de detecção de malware e reparo, na conscientização da informação, no controle de acesso adequado e nos planos de continuidade de negócio. Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de computação, marque a alternativa que possui uma das diretrizes recomendadas: Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos sistemas que suportam processos críticos de negócio. Estabelecer uma política informal proibindo o uso de softwares autorizados. Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização não autorizada. Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas. Instalar e atualizar regularmente softwares de detecção e remoção de malware, independentemente da fabricante, procedência e confiabilidade, para o exame de computadores e mídias magnéticas. Data Resp.: 19/04/2022 14:39:15 Explicação: A resposta correta é: Estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas. https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 4. Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: Mecanismo para minimizar o fracasso do sistema Isola recursos com outros sistemas de gerenciamento Oportunidade de identificar e eliminar fraquezas Fornece segurança a todas as partes interessadas Participação da gerência na Segurança da Informação Data Resp.: 19/04/2022 14:41:00 Explicação: A resposta correta é: Isola recursos com outros sistemas de gerenciamento. AMEAÇAS E VULNERABILIDADES À SEGURANÇA DE INFORMAÇÃO 5. Considere que uma equipe esteja trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de segurança detectar uma vulnerabilidade, é sua responsabilidade: Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente. Corrigir o problema e relatar a vulnerabilidade à equipe de segurança. Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável. Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido. Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção. Data Resp.: 19/04/2022 14:41:48 Explicação: https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 A resposta correta é: Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido. 6. Indique a alternativa que pode conter um relacionamento mais apropriado entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE tratados pela Gestão de Riscos na Tecnologia da Informação. Data Resp.: 19/04/2022 14:42:08 Explicação: A resposta correta é: BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO 7. Em relação ao backup incremental, selecione a opção correta: https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 Faz cópias de todos dados, inclusive dos logs de transações associados, para outro conjunto de mídia, que pode ser fita, disco, um DVD ou CD. É a cópia dos dados criados e modificadosdesde o último backup. Também é chamado de backup incremental cumulativo. É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo. É exatamente igual ao backup diferencial. Data Resp.: 19/04/2022 14:42:24 Explicação: A resposta correta é: É a cópia de todos os dados que foram modificados desde o último backup de qualquer tipo. 8. Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque ..." Utilizam algoritmos de criptografia de chave pública. Fazem a troca de chaves na chave simétrica. Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública. Usam chave única para criptografar e descriptografar a mensagem. Data Resp.: 19/04/2022 14:42:47 Explicação: A resposta correta é: Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. GESTÃO DE RISCO https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 9. Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo, por exemplo, inundando um servidor de aplicação em rede com mais dados do que é capaz de processar por unidade de tempo. Se existe uma ferramenta, dentro do domínio do servidor, que reage a um ataque de negação de serviço, ela é classificada como uma medida de controle: Reativa Recuperadora Detectora Preventiva Limitadora Data Resp.: 19/04/2022 14:43:21 Explicação: A resposta correta é: Reativa GESTÃO DE CONTINUIDADE DO NEGÓCIO 10. O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI: Obter referências para adoção das melhores práticas apropriadas em TI. Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI. Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI. https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007 Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios. Justificar a importância do desenvolvimento da GCSTI. Data Resp.: 19/04/2022 14:43:53 Explicação: A resposta correta é: Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios. Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 6.1.3 Tratamento de riscos de segurança da informação A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: (...) b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação. d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma. De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não- conformidade"? Indica uma simples observação a ser feita Não se aplica a esta norma Falta informação nessa checagem para classificar Não Sim Respondido em 19/04/2022 15:06:16 Explicação: A resposta correta é: Sim. 2a Questão Acerto: 1,0 / 1,0 Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: Isola recursos com outros sistemas de gerenciamento Fornece segurança a todas as partes interessadas Mecanismo para minimizar o fracasso do sistema Oportunidade de identificar e eliminar fraquezas Participação da gerência na Segurança da Informação Respondido em 19/04/2022 14:51:17 Explicação: A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 3a Questão Acerto: 1,0 / 1,0 Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la com o uso de programas, exclusivamente. Levando em consideração essa afirmação, selecione a opção que possui a senha com maior grau de dificuldade de ser descoberta por um invasor: MaRiA96 69910814sa X1234Y1 SeNhA123 aX1!@7s5 Respondido em 19/04/2022 14:50:31 Explicação: A resposta correta é: aX1!@7s5 4a Questão Acerto: 1,0 / 1,0 Complete a frase corretamente: "as funções de hash, por exemplo, são adequadas para garantir a integridade dos dados, porque ..." Usam chave única para criptografar e descriptografar a mensagem. Utilizam algoritmos de criptografia de chave pública. Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública. Fazem a troca de chaves na chave simétrica. Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. Respondido em 19/04/2022 14:52:13 Explicação: A resposta correta é: Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash diferente daquele colocado na transmissão pelo remetente. 5a Questão Acerto: 1,0 / 1,0 Um ataque de negação de serviço tenta afetar a disponibilidade de um ativo, por exemplo, inundando um servidor de aplicação em rede com mais dados do que é capaz de processar por unidade de tempo. Se existe uma ferramenta, dentro do domínio do servidor, que reage a um ataque de negação de serviço, ela é classificada como uma medida de controle: Reativa Detectora Recuperadora Preventiva Limitadora Respondido em 19/04/2022 14:50:02 Explicação: A resposta correta é: Reativa 6a Questão Acerto: 1,0 / 1,0 O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI: Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI. Obter referências para adoção das melhores práticas apropriadas em TI. Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI. Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios. Justificar a importância do desenvolvimento da GCSTI. Respondido em 19/04/2022 15:03:06 Explicação: A resposta correta é: Criar um GCSTI quando nãoexistirem planos de gerenciamento de continuidade de negócios. 7a Questão Acerto: 1,0 / 1,0 A informação é estruturação e organização dos dados. Assim, os dados constituem a matéria prima da informação. Dentro dos aspectos da segurança da informação que exigem atenção são: confidencialidade, integridade e disponibilidade. A respeito da: I - Na confidencialidade, as informações serão acessadas por quem tiver a devida autorização. II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada pelo emissor III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados para tal fim. Podemos considerar como corretas: I apenas. I, II, III. I e III. III apenas. II e III. Respondido em 19/04/2022 14:56:22 Explicação: A resposta correta é: I e III. Na integridade, a informação que chega ao receptor é a que foi enviada pelo emissor. Ou seja, não houve modificação no envio da informação. 8a Questão Acerto: 1,0 / 1,0 Redes de computadores conectadas à internet são alvos de invasões por parte de hackers. A ferramenta para permitir o acesso à rede apenas por endereços autorizados é: Firewall. Criptografia. Antivírus. Certificado digital. Modem. Respondido em 19/04/2022 14:49:34 Explicação: A resposta correta: Firewall. 9a Questão Acerto: 1,0 / 1,0 O link de acesso à internet de uma instituição encontra-se muito instável porque o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de risco, isso deve ser considerado como evidência de: Ameaça. Vulnerabilidade. Negação de serviço. BYOD. Resiliência. Respondido em 19/04/2022 14:55:02 Explicação: A resposta correta é: Vulnerabilidade. 10a Questão Acerto: 1,0 / 1,0 Indique a alternativa que pode conter um relacionamento mais apropriado entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE tratados pela Gestão de Riscos na Tecnologia da Informação. Respondido em 19/04/2022 14:46:35 Explicação: A resposta correta é: a Questão Acerto: 1,0 / 1,0 Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma organização: Oportunidade de identificar e eliminar fraquezas Mecanismo para minimizar o fracasso do sistema Isola recursos com outros sistemas de gerenciamento Fornece segurança a todas as partes interessadas Participação da gerência na Segurança da Informação Respondido em 30/05/2022 20:55:06 Explicação: A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 2a Questão Acerto: 1,0 / 1,0 Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 6.1.3 Tratamento de riscos de segurança da informação A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: (...) b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação. d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma. De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não- conformidade"? Não Não se aplica a esta norma Indica uma simples observação a ser feita Falta informação nessa checagem para classificar Sim Respondido em 30/05/2022 20:55:31 Explicação: A resposta correta é: Sim. 3a Questão Acerto: 1,0 / 1,0 Quanto mais complexa for uma senha, mais difícil será para o invasor quebrá-la com o uso de programas, exclusivamente. Levando em consideração essa afirmação, selecione a opção que possui a senha com maior grau de dificuldade de ser descoberta por um invasor: MaRiA96 SeNhA123 69910814sa aX1!@7s5 X1234Y1 Respondido em 30/05/2022 20:56:04 Explicação: A resposta correta é: aX1!@7s5 4a Questão Acerto: 1,0 / 1,0 "Todo acesso a cada objeto deve ser verificado quanto à autoridade. Esse princípio, quando aplicado sistematicamente, é o principal fundamento do sistema de proteção". Selecione a opção que se refere a esse mecanismo de proteção: Compartilhamento mínimo. Separação de privilégios. Padrões à prova de falhas. Mediação completa. Privilégio mínimo. Respondido em 30/05/2022 20:58:03 Explicação: A resposta correta é: Mediação completa. 5a Questão Acerto: 1,0 / 1,0 Houve um superaquecimento em um roteador, que parou de funcionar. O plano de tratamento para esse caso, definido como "risco alto", será colocado em prática imediatamente, porque esse risco é considerado: Resolvido Não identificado Informalmente identificado Prioritário Residual Respondido em 30/05/2022 21:02:10 Explicação: A resposta correta é: Prioritário 6a Questão Acerto: 1,0 / 1,0 O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI: Justificar a importância do desenvolvimento da GCSTI. Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI. Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios. Obter referências para adoção das melhores práticas apropriadas em TI. Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI. Respondido em 30/05/2022 21:00:39 Explicação: A resposta correta é: Criar um GCSTI quando não existirem planos de gerenciamento de continuidade de negócios. 7a Questão Acerto: 1,0 / 1,0 Na questão que avalia conhecimento de informática, a menos que seja explicitamente informado o contrário, considere que: todos os programas mencionados estejam em configuração‐ padrão, em português; o mouse esteja configurado para pessoas destras; expressões com o clicar, clique simples e clique duplo refiram‐se a cliques com o botão esquerdo do mouse; e teclar corresponda à operação de pressionar uma tecla e, rapidamente, liberá‐ la, acionando‐a apenas uma vez. Considere também que não haja restrições de proteção, de funcionamento e de uso em relação aos programas, arquivos, diretórios, recursos e equipamentos mencionados. Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser adotado pelas organizações. direcionar os funcionários apenas para o exercício de suas funções diárias; pois treinamentos em segurança da informação ou outros eventos relacionados devem ser evitados realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação descartar o inventário dos ativos, caso a organização possua não envolver a direção com a segurança da informação, tendo em vista que ela já possui diversas outras atribuições conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da organização Respondido em 30/05/2022 20:58:55Explicação: A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças nos requisitos de segurança da informação. 8a Questão Acerto: 1,0 / 1,0 Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de processamento da informação, é certo que o grupo seja extinto com a criação de um novo, contendo os usuários remanescentes. II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que associe a pessoa ao novo projeto. III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number). Está correto o que se afirma em III, apenas. I e III, apenas. I e II, apenas. II e III, apenas. I, II e III. Respondido em 30/05/2022 20:59:28 Explicação: A resposta correta é: II e III, apenas. 9a Questão Acerto: 1,0 / 1,0 O link de acesso à internet de uma instituição encontra-se muito instável porque o seu provedor não cumpre o SLA. Do ponto de vista de segurança e análise de risco, isso deve ser considerado como evidência de: BYOD. Negação de serviço. Vulnerabilidade. Ameaça. Resiliência. Respondido em 30/05/2022 21:00:52 Explicação: A resposta correta é: Vulnerabilidade. 10a Questão Acerto: 1,0 / 1,0 Sobre os conceitos de segurança da informação, analise as afirmativas a seguir: I. Uma ameaça tem o poder de comprometer ativos vulneráveis. II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência. III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano. Está correto somente o que se afirma em: I e III III I I e II II Respondido em 30/05/2022 21:03:16 Explicação: A resposta correta é: I e II
Compartilhar