introdução a segurança da informação

Prévia do material em texto

1. 
 
 
Na questão que avalia conhecimento de informática, 
a menos que seja explicitamente informado o contrário, considere 
que: todos os programas mencionados estejam em configuração‐
padrão, em português; o mouse esteja configurado para pessoas 
destras; expressões como clicar, clique simples e clique duplo ref
iram‐se a cliques com o botão esquerdo do mouse; e 
teclar corresponda à 
operação de pressionar uma tecla e, rapidamente, liberá‐
la, acionando‐a apenas uma vez. Considere também que não 
haja restrições de proteção, de funcionamento e de uso em relação 
aos programas, arquivos, diretórios, recursos e equipamentos 
mencionados. 
Assinale a alternativa que apresenta procedimento de segurança da 
informação que pode ser adotado pelas organizações. 
 
 
 
não envolver a direção com a segurança da informação, tendo em vista que ela já possui 
diversas outras atribuições 
 
 
direcionar os funcionários apenas para o exercício de suas funções diárias; pois 
treinamentos em segurança da informação ou outros eventos relacionados devem ser 
evitados 
 
 
realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças 
nos requisitos de segurança da informação 
 
 
conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da 
organização 
 
 
descartar o inventário dos ativos, caso a organização possua 
Data Resp.: 19/04/2022 14:37:30 
 
Explicação: 
A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de contemplar 
as mudanças nos requisitos de segurança da informação. 
 
 
 
 
 
 
 
 
 
2. 
 
Em relação à segurança da informação e aos controles de acesso 
físico e lógico, considere: 
 
I. Se um usuário não mais faz parte a lista de um grupo de acesso 
aos recursos de processamento da informação, é certo que o 
grupo seja extinto com a criação de um novo, contendo os 
usuários remanescentes. 
II. Direitos de acesso (físicos e lógicos) que não foram aprovados 
para um novo trabalho devem ser retirados ou adaptados, 
incluindo chaves e qualquer tipo de identificação que associe a 
pessoa ao novo projeto. 
III. O acesso às áreas em que são processadas ou armazenadas 
informações sensíveis deve ser controlado e restrito às pessoas 
autorizadas, preferencialmente por controles de autenticação, por 
exemplo, cartão de controle de acesso mais PIN (personal 
identification number). 
 
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
 
Está correto o que se afirma em 
 
 
 
I e II, apenas. 
 
 
II e III, apenas. 
 
 
I, II e III. 
 
 
I e III, apenas. 
 
 
III, apenas. 
Data Resp.: 19/04/2022 14:38:24 
 
Explicação: 
A resposta correta é: II e III, apenas. 
 
 
 
 
 
 
 
 
NORMAS DE SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
3. 
 
 
O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz 
respeito aos controles contra malware, cujas diretrizes para 
implementação recomendam a proteção contra códigos maliciosos 
baseada em softwares de detecção de malware e reparo, na 
conscientização da informação, no controle de acesso adequado e 
nos planos de continuidade de negócio. 
Com base no acima exposto, e no seu conhecimento de segurança 
da informação e sistemas de computação, marque a alternativa 
que possui uma das diretrizes recomendadas: 
 
 
 
Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados dos 
sistemas que suportam processos críticos de negócio. 
 
 
Estabelecer uma política informal proibindo o uso de softwares autorizados. 
 
 
Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização 
não autorizada. 
 
 
Estabelecer uma política formal para proteção contra os riscos associados com a 
importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, 
indicando quais medidas preventivas devem ser adotadas. 
 
 
Instalar e atualizar regularmente softwares de detecção e remoção de malware, 
independentemente da fabricante, procedência e confiabilidade, para o exame de 
computadores e mídias magnéticas. 
Data Resp.: 19/04/2022 14:39:15 
 
Explicação: 
A resposta correta é: Estabelecer uma política formal para proteção contra os riscos associados 
com a importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, 
indicando quais medidas preventivas devem ser adotadas. 
 
 
 
 
 
 
 
 
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
 
4. 
 
 
Assinale a assertiva que NÃO representa um dos benefícios para a 
adoção da norma ABNT NBR ISO/IEC 27001:2013 por uma 
organização: 
 
 
 
Mecanismo para minimizar o fracasso do sistema 
 
 
Isola recursos com outros sistemas de gerenciamento 
 
 
Oportunidade de identificar e eliminar fraquezas 
 
 
Fornece segurança a todas as partes interessadas 
 
 
Participação da gerência na Segurança da Informação 
Data Resp.: 19/04/2022 14:41:00 
 
Explicação: 
A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 
 
 
 
 
 
 
 
 
AMEAÇAS E VULNERABILIDADES À SEGURANÇA DE INFORMAÇÃO 
 
 
 
 
5. 
 
 
Considere que uma equipe esteja trabalhando 
num software web com severas restrições de 
segurança. Além dos desenvolvedores e 
analistas, essa equipe conta com profissionais 
especialistas em segurança que têm, entre 
outras atribuições, a responsabilidade de 
realizar a revisão dos códigos a fim de evitar 
vulnerabilidades. Se durante a etapa de 
desenvolvimento um revisor da equipe de 
segurança detectar uma vulnerabilidade, é sua 
responsabilidade: 
 
 
 
Isolar o problema e solicitar que a equipe de desenvolvimento 
corrija a vulnerabilidade imediatamente. 
 
 
Corrigir o problema e relatar a vulnerabilidade à equipe de 
segurança. 
 
 
Corrigir a vulnerabilidade, contatando os desenvolvedores que 
programaram o trecho de código vulnerável. 
 
 
Separar a vulnerabilidade e alertar a equipe de segurança para 
que o problema seja resolvido. 
 
 
Separar a vulnerabilidade, tratando o código com erro como 
mais um problema que requer correção. 
Data Resp.: 19/04/2022 14:41:48 
 
Explicação: 
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
A resposta correta é: Separar a vulnerabilidade e alertar a equipe de 
segurança para que o problema seja resolvido. 
 
 
 
 
 
 
 
 
 
6. 
 
 
Indique a alternativa que pode conter um 
relacionamento mais apropriado entre os 
conceitos de AMEAÇA, IMPACTO, INCIDENTE e 
VULNERABILIDADE tratados pela Gestão de 
Riscos na Tecnologia da Informação. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Data Resp.: 19/04/2022 14:42:08 
 
Explicação: 
A resposta correta é: 
 
 
 
 
 
 
 
 
BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
7. 
 
 
Em relação ao backup incremental, selecione a 
opção correta: 
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
 
 
 
Faz cópias de todos dados, inclusive dos logs de transações 
associados, para outro conjunto de mídia, que pode ser fita, 
disco, um DVD ou CD. 
 
 
É a cópia dos dados criados e modificadosdesde o último 
backup. 
 
 
Também é chamado de backup incremental cumulativo. 
 
 
É a cópia de todos os dados que foram modificados desde o 
último backup de qualquer tipo. 
 
 
É exatamente igual ao backup diferencial. 
Data Resp.: 19/04/2022 14:42:24 
 
Explicação: 
A resposta correta é: É a cópia de todos os dados que foram 
modificados desde o último backup de qualquer tipo. 
 
 
 
 
 
 
 
 
 
8. 
 
 
Complete a frase corretamente: "as funções de 
hash, por exemplo, são adequadas para 
garantir a integridade dos dados, porque ..." 
 
 
 
Utilizam algoritmos de criptografia de chave pública. 
 
 
Fazem a troca de chaves na chave simétrica. 
 
 
Qualquer alteração feita no conteúdo de uma mensagem fará 
com que o receptor calcule um valor de hash diferente daquele 
colocado na transmissão pelo remetente. 
 
 
Geralmente podem ser calculadas muito mais rápido que os 
valores de criptografia de chave pública. 
 
 
Usam chave única para criptografar e descriptografar a 
mensagem. 
Data Resp.: 19/04/2022 14:42:47 
 
Explicação: 
A resposta correta é: Qualquer alteração feita no conteúdo de uma 
mensagem fará com que o receptor calcule um valor de hash 
diferente daquele colocado na transmissão pelo remetente. 
 
 
 
 
 
 
 
 
GESTÃO DE RISCO 
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
 
 
 
 
9. 
 
 
Um ataque de negação de serviço tenta afetar 
a disponibilidade de um ativo, por exemplo, 
inundando um servidor de aplicação em rede 
com mais dados do que é capaz de processar 
por unidade de tempo. 
 
Se existe uma ferramenta, dentro do domínio 
do servidor, que reage a um ataque de 
negação de serviço, ela é classificada como 
uma medida de controle: 
 
 
 
Reativa 
 
 
Recuperadora 
 
 
Detectora 
 
 
Preventiva 
 
 
Limitadora 
Data Resp.: 19/04/2022 14:43:21 
 
Explicação: 
A resposta correta é: Reativa 
 
 
 
 
 
 
 
 
GESTÃO DE CONTINUIDADE DO NEGÓCIO 
 
 
 
 
10. 
 
 
O Gerenciamento da Continuidade dos Serviços 
de Tecnologia Informação (GCSTI) é um 
processo essencial para que o negócio possa 
voltar a operar com o suporte dos serviços de 
TI o mais rápido possível após a ocorrência de 
um cenário de desastre. Selecione a opção que 
apresenta um possível desafio de 
desenvolvimento de um GCSTI: 
 
 
 
Obter referências para adoção das melhores práticas 
apropriadas em TI. 
 
 
Encontrar apoio profissional no mercado para dar suporte ao 
desenvolvimento da GCSTI. 
 
 
Obter exemplos no mercado de casos de sucesso do 
desenvolvimento, da implantação e da aplicação da GCSTI. 
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
https://simulado.estacio.br/bdq_simulados_exercicio_ensineme.asp?num_seq_aluno_turma=160023708&cod_hist_prova=280823633&num_seq_turma=7014003&cod_disc=EEX0007
 
 
Criar um GCSTI quando não existirem planos de gerenciamento 
de continuidade de negócios. 
 
 
Justificar a importância do desenvolvimento da GCSTI. 
Data Resp.: 19/04/2022 14:43:53 
 
Explicação: 
A resposta correta é: Criar um GCSTI quando não existirem planos 
de gerenciamento de continuidade de negócios. 
 
 
 
 
 
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 
6.1.3 Tratamento de riscos de segurança da informação 
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: 
 
(...) 
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da 
informação. 
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, 
sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. 
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na 
Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de 
controle e controles constantes na norma. 
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-
conformidade"? 
 
 
 
Indica uma simples observação a ser feita 
 
Não se aplica a esta norma 
 
Falta informação nessa checagem para classificar 
 
Não 
 Sim 
Respondido em 19/04/2022 15:06:16 
 
Explicação: 
A resposta correta é: Sim. 
 
 
 
2a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma 
ABNT NBR ISO/IEC 27001:2013 por uma organização: 
 
 
 Isola recursos com outros sistemas de gerenciamento 
 
Fornece segurança a todas as partes interessadas 
 
Mecanismo para minimizar o fracasso do sistema 
 
Oportunidade de identificar e eliminar fraquezas 
 
Participação da gerência na Segurança da Informação 
Respondido em 19/04/2022 14:51:17 
 
Explicação: 
A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 
 
 
 
3a 
 Questão 
Acerto: 1,0 / 1,0 
 
Quanto mais complexa for uma senha, mais difícil será para o invasor 
quebrá-la com o uso de programas, exclusivamente. Levando em 
consideração essa afirmação, selecione a opção que possui a senha 
com maior grau de dificuldade de ser descoberta por um invasor: 
 
 
 MaRiA96 
 69910814sa 
 X1234Y1 
 SeNhA123 
 aX1!@7s5 
Respondido em 19/04/2022 14:50:31 
 
Explicação: 
A resposta correta é: aX1!@7s5 
 
 
 
4a 
 Questão 
Acerto: 1,0 / 1,0 
 
Complete a frase corretamente: "as funções de hash, por exemplo, são 
adequadas para garantir a integridade dos dados, porque ..." 
 
 
 Usam chave única para criptografar e descriptografar a 
mensagem. 
 Utilizam algoritmos de criptografia de chave pública. 
 Geralmente podem ser calculadas muito mais rápido que os 
valores de criptografia de chave pública. 
 Fazem a troca de chaves na chave simétrica. 
 Qualquer alteração feita no conteúdo de uma mensagem fará 
com que o receptor calcule um valor de hash diferente daquele 
colocado na transmissão pelo remetente. 
Respondido em 19/04/2022 14:52:13 
 
Explicação: 
A resposta correta é: Qualquer alteração feita no conteúdo de 
uma mensagem fará com que o receptor calcule um valor de 
hash diferente daquele colocado na transmissão pelo remetente. 
 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Um ataque de negação de serviço tenta afetar a disponibilidade de um 
ativo, por exemplo, inundando um servidor de aplicação em rede com 
mais dados do que é capaz de processar por unidade de tempo. 
 
Se existe uma ferramenta, dentro do domínio do servidor, que reage a 
um ataque de negação de serviço, ela é classificada como uma medida 
de controle: 
 
 
 Reativa 
 Detectora 
 Recuperadora 
 Preventiva 
 Limitadora 
Respondido em 19/04/2022 14:50:02 
 
Explicação: 
A resposta correta é: Reativa 
 
 
 
6a 
 Questão 
Acerto: 1,0 / 1,0 
 
O Gerenciamento da Continuidade dos Serviços de Tecnologia 
Informação (GCSTI) é um processo essencial para que o negócio possa 
voltar a operar com o suporte dos serviços de TI o mais rápido possível 
após a ocorrência de um cenário de desastre. Selecione a opção que 
apresenta um possível desafio de desenvolvimento de um GCSTI: 
 
 
 Obter exemplos no mercado de casos de sucesso do 
desenvolvimento, da implantação e da aplicação da GCSTI. 
 Obter referências para adoção das melhores práticas 
apropriadas em TI. 
 Encontrar apoio profissional no mercado para dar suporte ao 
desenvolvimento da GCSTI. 
 Criar um GCSTI quando não existirem planos de gerenciamento 
de continuidade de negócios. 
 Justificar a importância do desenvolvimento da GCSTI. 
Respondido em 19/04/2022 15:03:06 
 
Explicação: 
A resposta correta é: Criar um GCSTI quando nãoexistirem 
planos de gerenciamento de continuidade de negócios. 
 
 
 
7a 
 Questão 
Acerto: 1,0 / 1,0 
 
A informação é estruturação e organização dos dados. Assim, os dados constituem a 
matéria prima da informação. Dentro dos aspectos da segurança da informação que 
exigem atenção são: confidencialidade, integridade e disponibilidade. A respeito da: 
I - Na confidencialidade, as informações serão acessadas por quem tiver a devida 
autorização. 
II - Na integridade, a informação que chega ao receptor pode não ser a que foi enviada 
pelo emissor 
III - Disponibilidade, as informações podem ser acessadas por sistemas autorizados 
para tal fim. 
Podemos considerar como corretas: 
 
 
 
I apenas. 
 
I, II, III. 
 I e III. 
 
III apenas. 
 
II e III. 
Respondido em 19/04/2022 14:56:22 
 
Explicação: 
A resposta correta é: I e III. 
Na integridade, a informação que chega ao receptor é a que foi enviada pelo emissor. Ou 
seja, não houve modificação no envio da informação. 
 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
Redes de computadores conectadas à internet são alvos de invasões por parte de 
hackers. A ferramenta para permitir o acesso à rede apenas por endereços autorizados 
é: 
 
 
 Firewall. 
 
Criptografia. 
 
Antivírus. 
 
Certificado digital. 
 
Modem. 
Respondido em 19/04/2022 14:49:34 
 
Explicação: 
A resposta correta: Firewall. 
 
 
 
9a 
 Questão 
Acerto: 1,0 / 1,0 
 
O link de acesso à internet de uma instituição encontra-se muito 
instável porque o seu provedor não cumpre o SLA. Do ponto de vista 
de segurança e análise de risco, isso deve ser considerado como 
evidência de: 
 
 
 Ameaça. 
 Vulnerabilidade. 
 Negação de serviço. 
 BYOD. 
 Resiliência. 
Respondido em 19/04/2022 14:55:02 
 
Explicação: 
A resposta correta é: Vulnerabilidade. 
 
 
 
10a 
 Questão 
Acerto: 1,0 / 1,0 
 
Indique a alternativa que pode conter um relacionamento mais apropriado 
entre os conceitos de AMEAÇA, IMPACTO, INCIDENTE e VULNERABILIDADE 
tratados pela Gestão de Riscos na Tecnologia da Informação. 
 
 
 
 
 
 
 
 
 
 
 
 
Respondido em 19/04/2022 14:46:35 
 
Explicação: 
A resposta correta é: 
 
 
 
a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma 
ABNT NBR ISO/IEC 27001:2013 por uma organização: 
 
 
 
Oportunidade de identificar e eliminar fraquezas 
 
Mecanismo para minimizar o fracasso do sistema 
 Isola recursos com outros sistemas de gerenciamento 
 
Fornece segurança a todas as partes interessadas 
 
Participação da gerência na Segurança da Informação 
Respondido em 30/05/2022 20:55:06 
 
Explicação: 
A resposta correta é: Isola recursos com outros sistemas de gerenciamento. 
 
 
 
2a 
 Questão 
Acerto: 1,0 / 1,0 
 
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: 
6.1.3 Tratamento de riscos de segurança da informação 
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para: 
 
(...) 
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da 
segurança da informação. 
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para 
inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. 
Uma empresa que está se preparando para sofrer uma auditoria checou que não 
constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão 
dos objetivos de controle e controles constantes na norma. 
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-
conformidade"? 
 
 
 
Não 
 
Não se aplica a esta norma 
 
Indica uma simples observação a ser feita 
 
Falta informação nessa checagem para classificar 
 Sim 
Respondido em 30/05/2022 20:55:31 
 
Explicação: 
A resposta correta é: Sim. 
 
 
 
3a 
 Questão 
Acerto: 1,0 / 1,0 
 
Quanto mais complexa for uma senha, mais difícil será para o invasor 
quebrá-la com o uso de programas, exclusivamente. Levando em 
consideração essa afirmação, selecione a opção que possui a senha 
com maior grau de dificuldade de ser descoberta por um invasor: 
 
 
 MaRiA96 
 SeNhA123 
 69910814sa 
 aX1!@7s5 
 X1234Y1 
Respondido em 30/05/2022 20:56:04 
 
Explicação: 
A resposta correta é: aX1!@7s5 
 
 
 
4a 
 Questão 
Acerto: 1,0 / 1,0 
 
"Todo acesso a cada objeto deve ser verificado quanto à autoridade. 
Esse princípio, quando aplicado sistematicamente, é o principal 
fundamento do sistema de proteção". Selecione a opção que se refere 
a esse mecanismo de proteção: 
 
 
 Compartilhamento mínimo. 
 Separação de privilégios. 
 Padrões à prova de falhas. 
 Mediação completa. 
 Privilégio mínimo. 
Respondido em 30/05/2022 20:58:03 
 
Explicação: 
A resposta correta é: Mediação completa. 
 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Houve um superaquecimento em um roteador, que parou de funcionar. 
O plano de tratamento para esse caso, definido como "risco alto", será 
colocado em prática imediatamente, porque esse risco é considerado: 
 
 
 Resolvido 
 Não identificado 
 Informalmente identificado 
 Prioritário 
 Residual 
Respondido em 30/05/2022 21:02:10 
 
Explicação: 
A resposta correta é: Prioritário 
 
 
 
6a 
 Questão 
Acerto: 1,0 / 1,0 
 
O Gerenciamento da Continuidade dos Serviços de Tecnologia 
Informação (GCSTI) é um processo essencial para que o negócio possa 
voltar a operar com o suporte dos serviços de TI o mais rápido possível 
após a ocorrência de um cenário de desastre. Selecione a opção que 
apresenta um possível desafio de desenvolvimento de um GCSTI: 
 
 
 Justificar a importância do desenvolvimento da GCSTI. 
 Encontrar apoio profissional no mercado para dar suporte ao 
desenvolvimento da GCSTI. 
 Criar um GCSTI quando não existirem planos de gerenciamento 
de continuidade de negócios. 
 Obter referências para adoção das melhores práticas 
apropriadas em TI. 
 Obter exemplos no mercado de casos de sucesso do 
desenvolvimento, da implantação e da aplicação da GCSTI. 
Respondido em 30/05/2022 21:00:39 
 
Explicação: 
A resposta correta é: Criar um GCSTI quando não existirem 
planos de gerenciamento de continuidade de negócios. 
 
 
 
7a 
 Questão 
Acerto: 1,0 / 1,0 
 
Na questão que avalia conhecimento de informática, 
a menos que seja explicitamente informado o contrário, considere que: todos os 
programas mencionados estejam em configuração‐
padrão, em português; o mouse esteja configurado para pessoas destras; expressões com
o clicar, clique simples e clique duplo refiram‐se a cliques com o botão esquerdo do 
mouse; e teclar corresponda à operação de pressionar uma tecla e, rapidamente, liberá‐
la, acionando‐a apenas uma vez. Considere também que não haja restrições de proteção, 
de funcionamento e de uso em relação aos programas, arquivos, diretórios, recursos e 
equipamentos mencionados. 
Assinale a alternativa que apresenta procedimento de segurança da informação que pode ser 
adotado pelas organizações. 
 
 
 
direcionar os funcionários apenas para o exercício de suas funções diárias; pois 
treinamentos em segurança da informação ou outros eventos relacionados devem ser 
evitados 
 realizar, periodicamente, análises de riscos, com o objetivo de contemplar as mudanças 
nos requisitos de segurança da informação 
 
descartar o inventário dos ativos, caso a organização possua 
 
não envolver a direção com a segurança da informação, tendo em vista que ela já 
possui diversas outras atribuições 
 
conceder aos funcionários o acesso completo aos sistemas e à rede (intranet) da 
organização 
Respondido em 30/05/2022 20:58:55Explicação: 
A resposta correta é: realizar, periodicamente, análises de riscos, com o objetivo de contemplar as 
mudanças nos requisitos de segurança da informação. 
 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
Em relação à segurança da informação e aos controles de acesso físico e lógico, 
considere: 
 
I. Se um usuário não mais faz parte a lista de um grupo de acesso aos recursos de 
processamento da informação, é certo que o grupo seja extinto com a criação de um 
novo, contendo os usuários remanescentes. 
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo 
trabalho devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de 
identificação que associe a pessoa ao novo projeto. 
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis 
deve ser controlado e restrito às pessoas autorizadas, preferencialmente por controles 
de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal 
identification number). 
 
Está correto o que se afirma em 
 
 
 
III, apenas. 
 
I e III, apenas. 
 
I e II, apenas. 
 II e III, apenas. 
 
I, II e III. 
Respondido em 30/05/2022 20:59:28 
 
Explicação: 
A resposta correta é: II e III, apenas. 
 
 
 
9a 
 Questão 
Acerto: 1,0 / 1,0 
 
O link de acesso à internet de uma instituição encontra-se muito 
instável porque o seu provedor não cumpre o SLA. Do ponto de vista 
de segurança e análise de risco, isso deve ser considerado como 
evidência de: 
 
 
 BYOD. 
 Negação de serviço. 
 Vulnerabilidade. 
 Ameaça. 
 Resiliência. 
Respondido em 30/05/2022 21:00:52 
 
Explicação: 
A resposta correta é: Vulnerabilidade. 
 
 
 
10a 
 Questão 
Acerto: 1,0 / 1,0 
 
Sobre os conceitos de segurança da informação, analise as afirmativas 
a seguir: 
 
I. Uma ameaça tem o poder de comprometer ativos vulneráveis. 
II. Risco é a combinação das consequências de um incidente de 
segurança com a sua probabilidade de ocorrência. 
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades 
criadas por comportamento humano. 
 
Está correto somente o que se afirma em: 
 
 
 I e III 
 III 
 I 
 I e II 
 II 
Respondido em 30/05/2022 21:03:16 
 
Explicação: 
A resposta correta é: I e II