Auditoria e Segurança em Sistemas de Informação

Prévia do material em texto

Questão 1 : Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da informação?
Resposta Errada! A resposta correta é a opção B
Justificativa:As vulnerabilidades são uma das maiores preocupações da segurança da informação, pois deixam os sistemas e as informações armazenadas por eles expostos para atacantes. Elas reduzem a segurança da informação, permitindo que uma tentativa de ataque seja bem-sucedida, o que resulta na perda da integridade da informação.
	A
	
	As vulnerabilidades podem impedir que os atacantes consigam invadir as redes de computadores.
	B
	
	As vulnerabilidades podem permitir que uma tentativa de ataque seja bem-sucedida, resultando em perda da integridade da informação.
	C
	
	As vulnerabilidades podem permitir o acesso de usuários legítimos na rede.
	D
	
	As vulnerabilidades podem permitir que sejam impedidos quaisquer ataques vindos de fora da rede.
	E
	
	As vulnerabilidades podem permitir que uma tentativa de ataque seja identificada e impedida.
Questão 2 : A Segurança de Informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno de investimentos e as oportunidades de negócio.
 
A Segurança da Informação é composta por três conceitos básicos. Assinale a alternativa que indica corretamente esses 3 conceitos básicos.
Resposta Errada! A resposta correta é a opção C
Justificativa:RESPOSTA CORRETA
 
Os conceitos básicos da Segurança da Informação são: confidencialidade, integridade e disponibilidade.
 
Confidencialidade: diz respeito à segurança de acesso aos dados, de forma que dados sigilosos sejam mantidos em sigilo. Integridade: diz respeito à não violação de dados. Disponibilidade: diz respeito ao tempo que o sistema e os dados ficam disponíveis.
	A
	
	Disponibilidade, integração e confidencialidade.
	B
	
	Integridade, disponibilidade e confiança.
	C
	
	Confidencialidade, integridade e disponibilidade.
	D
	
	Confiabilidade, disponibilidade e integridade.
	E
	
	Segurança, integridade e confidencialidade.
Questão 3 : Quais são os processos que formam o controle de acesso?
Resposta Errada! A resposta correta é a opção E
Justificativa:O processo de controle de acesso é formado pela união dos processos ou serviços de identificação, autenticação, autorização e auditoria de usuários para entrada em um sistema.
	A
	
	Identificação, controle e manutenção.
	B
	
	Inclusão, manutenção e revogação.
	C
	
	Autenticação e entrada.
	D
	
	Inclusão, exclusão e alteração.
	E
	
	Identificação, autenticação, autorização e auditoria.
Questão 4 : Na área jurídica, é comum haver conceitos e terminologias que, às vezes, causam estranheza e dificuldade na interpretação de determinado significado. A LGPD tem uma terminologias não muito comum no nosso dia a dia. Sendo assim, qual o nome dado para aquele que realiza a coleta do dado ou faz as operações necessárias para o seu melhor entendimento e posterior uso dentro das sintaxes existentes na Lei?
Resposta Errada! A resposta correta é a opção B
Justificativa:Agentes de tratamento são o controlador que recepciona os dados pessoais dos titulares de dados por meio do consentimento ou por hipóteses de exceção, e o operador que realiza algum tratamento de dados pessoais motivado por contrato ou obrigação legal. Já o tratamento dos dados faz referência a toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Os dados anonimizados são os relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento. O conceito de encarregado se refere à pessoa natural, indicada pelo controlado, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Por fim, a anonimização é realizada pelos meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
	A
	
	Tratamento dos dados.
	B
	
	Agentes de tratamento.
	C
	
	Dados anonimizados.
	D
	
	Encarregado
	E
	
	Anonimização
Questão 5 : A segurança da informação e a segurança de redes corporativas não estão relacionadas apenas com o uso de hardwares e softwares para prevenir ou reagir a incidentes. Na verdade, toda e qualquer defesa tecnológica é importante, mas a proteção aos dados e operações das empresas requer uma abordagem mais ampla, envolvendo desde a implementação de procedimentos e políticas de uso dos recursos tecnológicos até a garantia do cumprimento de leis e regulamentações governamentais. Nesse contexto, analise as afirmações a seguir:I. Os maiores riscos e, consequentemente, os maiores incidentes são causados geralmente pelos próprios funcionários das organizações.II. As ameaças à segurança da informação acontecem tanto com o uso de alta tecnologia quanto pelos crimes tradicionais, como o roubo de um notebook da empresa, por exemplo.III. É importante tratar a segurança da informação como uma função isolada na organização, pois assim ela será capaz de auxiliar no alcance dos objetivos estratégicos.Está CORRETO o que se afirma apenas em:
Acertou! A resposta correta é a opção A
Justificativa:Em função de seu acesso privilegiado, os próprios funcionários das organizações, normalmente, geram os maiores prejuízos para a segurança da informação. A execução de crimes tradicionais também pode impactar diretamente a segurança da informação, especialmente quando envolve recursos tecnológicos da empresa.
	A
	
	I e II.
	B
	
	I e III.
	C
	
	I e III.
	D
	
	I, II e III.
	E
	
	nenhuma das afirmações.
Questão 6 : Assinale a alternativa que melhor descreve o objetivo da ISO 27001.
Acertou! A resposta correta é a opção A
Justificativa:O objetivo da ISO 27001 é disponibilizar, à segurança da informação, um conjunto de requisitos, processos e controles, diminuindo os riscos das organizações. A norma pode ser implementada em qualquer tipo de empresa, pois provê metodologia para a implementação da gestão da segurança da informação em organizações de pequeno, de médio e de grande porte.
	A
	
	Disponibilizar um conjunto de requisitos, processos e controles à segurança da informação, diminuindo os seus riscos.
	B
	
	Compartilhar um conjunto de requisitos, processos e controles à segurança da informação, diminuindo os seus riscos.
	C
	
	Disponibilizar um conjunto objetos, processos e controles à segurança da informação, diminuindo os seus riscos.
	D
	
	Disponibilizar um conjunto de requisitos, processos verificando os seus riscos.
	E
	
	Disponibilizar um conjunto de requisitos, processos e falta de controles à segurança da informação.
Questão 7 : A norma 27001 é internacional e publicada pela:
Resposta Errada! A resposta correta é a opção B
Justificativa:A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma empresa.
	A
	
	International Start Organization (ISO).
	B
	
	International Standardization Organization (ISO).
	C
	
	International Save Organization (ISO).
	D
	
	Internal Start Organization (ISO).
	E
	
	Internal Security Organization (ISO).
Questão 8 : São exemplos de ameaças à segurança:
Resposta Errada! A resposta correta é a opção E
Justificativa:Esses são exemplos de ameaças à segurança.
	A
	
	Bugs, política e procedimentos.
	B
	
	Integridade, autenticidade e disponibilidade.
	C
	
	PSI, MSI e GSI.
	D
	
	Antivírus, firewall e servidor.
	E
	
	Keylogger, força bruta e negação de serviço.
Questão 9 : O que é phishing?
Resposta Errada! A resposta correta é a opção E
Justificativa:O phishing é um tipo de ataque que normalmente vem em forma de mensagem. Por isso é comumque seja um e-mail com uma mensagem parecida com a que seria enviada originalmente de alguma instituição conhecida, na tentativa de fazer o leitor aceitar o que está escrito e ainda executar, por vontade própria, a instalação de algum programa, serviço ou arquivo danoso no seu próprio dispositivo.
	A
	
	É um tipo de defesa instalado pelo sistema operacional.
	B
	
	É um tipo de defesa que protege os servidores e já vem instalado com o sistema operacional.
	C
	
	É um tipo de ataque que instala programas através de força bruta nos servidores da rede.
	D
	
	É um tipo de defesa que envia e-mails para os usuários da rede avisando sobre um ataque.
	E
	
	É um tipo de ataque que normalmente se configura em forma de mensagem.
Questão 10 : No contexto de segurança de computadores, confidencialidade é evitar a revelação não autorizada de informação, ou seja, confidencialidade envolve a proteção de dados, propiciando acesso apenas a aqueles que são autorizados.
 
Sobre as principais ferramentas utilizadas para proteger informações sensíveis, assinale a alternativa correta.
Resposta Errada! A resposta correta é a opção C
Justificativa:As principais ferramentas utilizadas para proteger informações sensíveis são: encriptação, controle de acesso, autenticação, autorização e segurança física. O processo de determinação da identidade do usuário que acessa um sistema é responsabilidade da ferramenta de autenticação. A ferramenta de autorização determina se uma pessoa ou sistema tem permissão para acessar determinado recurso. A ferramenta de controle de acesso define regras e políticas que limitam o acesso à informação confidencial apenas para um usuário ou grupo específico. Outra ferramenta utilizada para auxiliar na segurança da informação é a encriptação, sendo esta a transformação da informação, usando um segredo, chamado de chave de encriptação, de modo que essa informação apenas possa ser lida utilizando outro segredo, chamado de chave de decriptação. Um sistema de encriptação deve sempre ser decriptado apenas com o uso da chave de decriptação e de forma que seja extremamente difícil quebrá-lo sem a chave de decriptação
	A
	
	As principais ferramentas utilizadas para proteger informações sensíveis são: encriptamento, controle de acesso, autenticação e login.
	B
	
	Autorização: realiza a identificação do papel do usuário que está sendo autenticado em um sistema computadorizado.
	C
	
	Controle de acesso: define regras e políticas que limitam o acesso à informação confidencial apenas para um usuário ou grupo específico.
	D
	
	Encriptação é a transformação da informação usando um segredo, chamado de regra de criptografia, de modo que esta apenas possa ser lida utilizando outro segredo, chamado de regra de decriptografação.
	E
	
	Um sistema de encriptação deve sempre ser decriptado apenas com o uso da chave de decriptação. Porém, não deve ser muito difícil decriptografar sem a chave, pois, em situações específicas, como, por exemplo, a perda da chave, pode ser necessário realizar esse processo de forma alternativa.
Questão 1 : A LGPD foi fortemente inspirada na regulamentação europeia implementada em maio de 2018 no continente europeu. Então, é natural que alguns itens de conformidade sejam semelhantes ou até mesmo complementares. Um dos artigos diz que o titular pode solicitar, a qualquer instante, o tratamento dos seus dados pessoais. Porém, isso não se aplica em qual situação?
Resposta Errada! A resposta correta é a opção E
Justificativa:Segundo o artigo 20 da Lei, o responsável pelo tratamento de dados só não será obrigado a fornecer critérios e procedimentos que possam revelar segredos comerciais e industriais. Sendo assim, fica claro que a Lei não impacta na estratégia de mercado da empresa; pelo contrário, isso gera maior inteligência na determinação do real motivo do uso do dado, e não somente um grande cadastro, com registro que nunca será usado. A diferença apenas é a preservação da boa-fé, sendo necessário deixar claro, durante uma transação em duas partes, quais serão as consequências dos dados compartilhados para que, estando ciente disso, o titular possa aceitar ou não tal proposta.
	A
	
	Só não se aplica quando se trata de órgãos públicos e ONGs.
	B
	
	Só não se aplica quando se trata de órgãos públicos e privados.
	C
	
	Só não se aplica quando se trata de órgãos privados de mercado.
	D
	
	Só não se aplica quando se trata de ONGs e universidades.
	E
	
	Só não se aplica quando revelar segredos comerciais e industriais.
Questão 2 : Assinale a alternativa que contém técnicas de defesa para ataques a informações.
Resposta Errada! A resposta correta é a opção D
Justificativa:Antivírus são programas desenvolvidos para fazer a prevenção, a detecção e a eliminação de vírus encontrados no dispositivo. Biometria é um mecanismo utilizado para reconhecer pessoas baseando-se em suas características físicas. Cartão inteligente é um documento eletrônico assinado digitalmente por uma autoridade certificadora pertencente à ICP-Brasil.
	A
	
	Worm, antivírus, phishing.
	B
	
	Engenharia social, scan, phishing.
	C
	
	Criptografia, senha, fraude.
	D
	
	Antivírus, biometria, cartão inteligente.
	E
	
	DoS, palavra-chave, fraude.
Questão 3 : A norma 27001 é internacional e publicada pela:
Acertou! A resposta correta é a opção B
Justificativa:A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma empresa.
	A
	
	International Start Organization (ISO).
	B
	
	International Standardization Organization (ISO).
	C
	
	International Save Organization (ISO).
	D
	
	Internal Start Organization (ISO).
	E
	
	Internal Security Organization (ISO).
Questão 4 : Uma das medidas mais comuns para prevenir um ataque de negação de serviço é a utilização de servidores proxy. Como ele funciona?
Resposta Errada! A resposta correta é a opção C
Justificativa:A utilização de servidores proxy consiste na análise das requisições às máquinas da rede, funcionando como ponte entre a Internet e o computador-vítima. Esse tipo de servidor filtra o tráfego indesejado, permitindo que o tráfego verdadeiro passe.
	A
	
	O servidor proxy funciona como barreira para a máquina-vítima, impedindo qualquer tipo de tráfego.
	B
	
	O servidor proxy funciona como porta entre a rede mundial e o computador-vítima, deixando todo tipo de tráfego passar.
	C
	
	O servidor proxy funciona como ponte entre a Internet e a máquina-vítima, filtrando o tráfego indesejado e deixando passar o verdadeiro.
	D
	
	O servidor proxy é elemento intermediário entre o computador-atacante e o computador-vítima, efetivando a conexão entre eles.
	E
	
	O servidor proxy representa uma máquina conectada na mesma rede do computador-vítima e sofre ataques no lugar dela.
Questão 5 : O RGPD entrou em vigor no dia 25 de maio de 2018 e serviu de inspiração para a formulação da lei brasileira. A LGPD, quando comparada com a legislação europeia, acaba sendo mais resumida e genérica. Que tipo de problemas essa lacuna de informações pode gerar no Brasil?
Resposta Errada! A resposta correta é a opção D
Justificativa:A LGPD é mais enxuta em relação a alguns aspectos quando comparada com o RGPD, criando também espaços para interpretações, o que deixa tudo mais subjetivo. Essa lacuna pode gerar insegurança jurídica, justamente pela sua falta de objetividade, permitindo espaço para subjetividade em situações possíveis, como, por exemplo, em relação a prazos - enquanto na norma europeia (RGPD) é dito que determinada ação deve ser feita em até 72 horas, no caso da LGPD, é informado “prazo razoável”. Porém, o que seria um prazo razoável? Esse tipo de situação pode gerar diversos aspectos jurídicos que devem tomar conta dos tribunais em um futuro próximo.
	A
	
	Essa lacuna acaba gerando objetividade e interpretações comuns, criando segurança jurídica e promovendo os demais benefícios para a sociedade, seguindo o propósito estabelecido de boa-fé.
	B
	
	Essa lacuna acaba gerandoruídos de comunicação, porém os artigos são claros e objetivos, o que acaba minimizando os demais impactos e ocasionando boas interpretações, que servem de exemplo.
	C
	
	Essa lacuna acaba gerando certa flexibilidade no uso dos dados e, com isso, promover maior cuidado na utilização da informação, mesmo os cuidados jurídicos vigentes em lei.
	D
	
	Essa lacuna acaba gerando subjetividade e interpretações variadas, criando insegurança jurídica e promovendo precedentes confusos que podem representar impactos negativos para a sociedade.
	E
	
	Essa lacuna acaba gerando total segurança jurídica para o cidadão, pois ele terá sempre a informação de como o seu dado será utilizado pela empresa. Essa transparência é vital para o uso correto.
Questão 6 : Existem vários tipos de sistemas de informações e cada um pode atender a uma necessidade específica da empresa. Os sistemas de informações podem se dividir em 4 grupos. Marque a alternativa que indica corretamente os 4 grupos.
Resposta Errada! A resposta correta é a opção A
Justificativa:Os 4 grupos de sistemas de informação são: sistemas de nível operacional, conhecimento, gerencial e estratégico.
	A
	
	Sistemas de nível operacional, conhecimento, gerencial e estratégico.
	B
	
	Sistemas de nível gestacional, gerencial, conhecimento e estratégico.
	C
	
	Sistemas de nível gerencial, informação, operacional e estratégico.
	D
	
	Sistemas de nível gerencial, conhecimento e operacional e integrador.
	E
	
	Sistemas de nível estratégico, operacional, gerencial e conhecimento.
Questão 7 : A segurança da informação e a segurança de redes corporativas não estão relacionadas apenas com o uso de hardwares e softwares para prevenir ou reagir a incidentes. Na verdade, toda e qualquer defesa tecnológica é importante, mas a proteção aos dados e operações das empresas requer uma abordagem mais ampla, envolvendo desde a implementação de procedimentos e políticas de uso dos recursos tecnológicos até a garantia do cumprimento de leis e regulamentações governamentais. Nesse contexto, analise as afirmações a seguir:I. Os maiores riscos e, consequentemente, os maiores incidentes são causados geralmente pelos próprios funcionários das organizações.II. As ameaças à segurança da informação acontecem tanto com o uso de alta tecnologia quanto pelos crimes tradicionais, como o roubo de um notebook da empresa, por exemplo.III. É importante tratar a segurança da informação como uma função isolada na organização, pois assim ela será capaz de auxiliar no alcance dos objetivos estratégicos.Está CORRETO o que se afirma apenas em:
Resposta Errada! A resposta correta é a opção A
Justificativa:Em função de seu acesso privilegiado, os próprios funcionários das organizações, normalmente, geram os maiores prejuízos para a segurança da informação. A execução de crimes tradicionais também pode impactar diretamente a segurança da informação, especialmente quando envolve recursos tecnológicos da empresa.
	A
	
	I e II.
	B
	
	I e III.
	C
	
	I e III.
	D
	
	I, II e III.
	E
	
	nenhuma das afirmações.
Questão 8 : Quem são os insiders?
Acertou! A resposta correta é a opção B
Justificativa:São pessoas de dentro da própria organização que configuram ameaças maliciosas, podendo ser funcionários insatisfeitos, ex-funcionários, terceirizados ou parceiros de negócios. Ou seja, não são pessoas de fora que atacam as informações da organização, conhecidos como engenheiros sociais, nem clientes que desejam se conectar à rede da empresa para conhecer os preços dos produtos. Também não são parceiros de negócios que atuam como patrocinadores, devido ao alto custo das infraestruturas de rede da atualidade, tampouco são os atacantes que se utilizam do phishing para invadir as informações de uma organização.
	A
	
	São pessoas de fora que atacam as informações da organização, conhecidos como engenheiros sociais.
	B
	
	São pessoas de dentro da própria organização que representam ameaças maliciosas, como, por exemplo, funcionários insatisfeitos.
	C
	
	São clientes que desejam se conectar à rede da empresa para conhecer os preços dos produtos.
	D
	
	São parceiros de negócios que atuam como patrocinadores devido ao alto custo das infraestruturas de rede da atualidade.
	E
	
	São os atacantes que se utilizam do phishing para invadir as informações de uma organização.
Questão 9 : A Segurança de Informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno de investimentos e as oportunidades de negócio.
 
A Segurança da Informação é composta por três conceitos básicos. Assinale a alternativa que indica corretamente esses 3 conceitos básicos.
Resposta Errada! A resposta correta é a opção C
Justificativa:RESPOSTA CORRETA
 
Os conceitos básicos da Segurança da Informação são: confidencialidade, integridade e disponibilidade.
 
Confidencialidade: diz respeito à segurança de acesso aos dados, de forma que dados sigilosos sejam mantidos em sigilo. Integridade: diz respeito à não violação de dados. Disponibilidade: diz respeito ao tempo que o sistema e os dados ficam disponíveis.
	A
	
	Disponibilidade, integração e confidencialidade.
	B
	
	Integridade, disponibilidade e confiança.
	C
	
	Confidencialidade, integridade e disponibilidade.
	D
	
	Confiabilidade, disponibilidade e integridade.
	E
	
	Segurança, integridade e confidencialidade.
Questão 10 : No contexto de segurança de computadores, confidencialidade é evitar a revelação não autorizada de informação, ou seja, confidencialidade envolve a proteção de dados, propiciando acesso apenas a aqueles que são autorizados.
 
Sobre as principais ferramentas utilizadas para proteger informações sensíveis, assinale a alternativa correta.
Resposta Errada! A resposta correta é a opção C
Justificativa:As principais ferramentas utilizadas para proteger informações sensíveis são: encriptação, controle de acesso, autenticação, autorização e segurança física. O processo de determinação da identidade do usuário que acessa um sistema é responsabilidade da ferramenta de autenticação. A ferramenta de autorização determina se uma pessoa ou sistema tem permissão para acessar determinado recurso. A ferramenta de controle de acesso define regras e políticas que limitam o acesso à informação confidencial apenas para um usuário ou grupo específico. Outra ferramenta utilizada para auxiliar na segurança da informação é a encriptação, sendo esta a transformação da informação, usando um segredo, chamado de chave de encriptação, de modo que essa informação apenas possa ser lida utilizando outro segredo, chamado de chave de decriptação. Um sistema de encriptação deve sempre ser decriptado apenas com o uso da chave de decriptação e de forma que seja extremamente difícil quebrá-lo sem a chave de decriptação
	A
	
	As principais ferramentas utilizadas para proteger informações sensíveis são: encriptamento, controle de acesso, autenticação e login.
	B
	
	Autorização: realiza a identificação do papel do usuário que está sendo autenticado em um sistema computadorizado.
	C
	
	Controle de acesso: define regras e políticas que limitam o acesso à informação confidencial apenas para um usuário ou grupo específico.
	D
	
	Encriptação é a transformação da informação usando um segredo, chamado de regra de criptografia, de modo que esta apenas possa ser lida utilizando outro segredo, chamado de regra de decriptografação.
	E
	
	Um sistema de encriptação deve sempre ser decriptado apenas com o uso da chave de decriptação. Porém, não deve ser muito difícil decriptografar sem a chave, pois, em situações específicas, como, por exemplo, a perda da chave, pode ser necessário realizar esse processo de forma alternativa.
Questão 1 : Sobre a criptografia assimétrica, é correto afirmar que:
Resposta Errada! A resposta correta é a opção A
Justificativa:A criptografia assimétrica utiliza um par de chaves, sendo uma pública e uma privada. A chave pública será utilizada para codificar a mensagem e é conhecida por todos os envolvidosna transação. A chave privada será utilizada para decodificar a mensagem e é conhecida somente pelo destinatário da mensagem.
	A
	
	utiliza uma chave pública para codificar a mensagem e uma chave privada para decodificar a mensagem.
	B
	
	utiliza apenas uma chave secreta para codificar e decodificar a mensagem.
	C
	
	utiliza somente uma chave privada, que serve somente para codificar os dados.
	D
	
	utiliza apenas uma chave pública, que serve somente para decodificar a mensagem.
	E
	
	utiliza somente uma chave secreta, que serve apenas para decodificar a mensagem.
Questão 2 : A LGPD se aplica a pessoas físicas e jurídicas, salvo no cenário em que o tratamento dos dados é usado para fins exclusivamente particulares e não econômicos ou, então, para fins jornalísticos e artísticos e também para a segurança pública e de defesa nacional, conforme o artigo 4º, incisos I, II, III e IV. Sendo assim, a aplicabilidade da lei segue alguns critérios. Quais seriam essas premissas?
Resposta Errada! A resposta correta é a opção A
Justificativa:A Lei se aplica à situação em que a transação ocorrer em território nacional e tiver por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional e, por fim, em que os dados tiverem sido coletados em território nacional. Dessa forma, é possível constatar que a LGPD não está diretamente relacionada à cidadania ou à nacionalidade dos dados do cidadão e, muito menos, faz referência ao domicílio do indivíduo titular.
	A
	
	De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em território nacional e os tratamentos/coletas também devem ter ocorrido no território brasileiro.
	B
	
	De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em qualquer parte do mundo eos tratamentos/coletas podem ter ocorrido em outros países.
	C
	
	De acordo com as premissas da aplicabilidade da LGPD, os critérios somente devem ser aplicados em cenários não econômicos ou, então, em caso de segurança nacional ou devido a cuidados de segurança.
	D
	
	De acordo com as premissas da aplicabilidade da LGPD, a empresa deve ser estrangeira e usar essa informação em outro país, buscando, assim, mapear as necessidades dos seus clientes.
	E
	
	De acordo com as premissas da aplicabilidade da LGPD, a empresa deve ser estrangeira e usar essa informação em outro país, buscando, assim, mapear as necessidades dos seus clientes.
Questão 3 : Para que serve um recurso de autenticação?
Resposta Errada! A resposta correta é a opção B
Justificativa:O recurso de autenticação serve para verificar a identidade digital de um usuário, confirmando se ele realmente é quem diz ser.
	A
	
	Serve para verificar se o usuário sabe sua ID.
	B
	
	Serve para comprovar se o usuário é quem ele realmente está dizendo ser.
	C
	
	Serve para guardar as senhas de todos os usuários em um arquivo criptografado.
	D
	
	Serve para liberar o acesso somente aos recursos autorizados.
	E
	
	Serve para revogar o acesso de funcionários aposentados.
Questão 4 : A área de segurança da informação utiliza diversos termos técnicos que devem ser bem compreendidos e diferenciados pelos gestores, especialmente aqueles cuja atuação está diretamente relacionada com a proteção dos dados e redes da organização. Esse conhecimento é fundamental para que as ferramentas corretas sejam empregadas em cada situação que envolva a segurança da informação.
 
Analise os termos apresentados a seguir e relacione-os corretamente a seus conceitos:
I. Risco.
II. Ameaça.
III. Contramedida.
IV. Exploração.
 
( ) Uso de alguma ferramenta ou técnica com o intuito de obter vantagem de uma vulnerabilidade.
( ) Recurso de segurança adotado para reduzir riscos.
( ) Probabilidade de uma ameaça explorar uma vulnerabilidade.
( ) Situação em que alguém ou algo pode causar danos a um ou vários ativos.
 
Marque a alternativa que apresenta CORRETAMENTE o relacionamento entre os termos e seus respectivos conceitos.
Resposta Errada! A resposta correta é a opção E
Justificativa:A exploração acontece quando alguma ferramenta ou técnica é empregada para se aproveitar determinada vulnerabilidade. A contramedida é utilizada nas organizações visando a redução de riscos de segurança nas organizações. O risco de determinado acontecimento é a probabilidade existente de uma ameaça conseguir explorar uma vulnerabilidade do ambiente. A ameaça indica que alguma pessoa ou equipamento pode ocasionar danos a ativos pessoais ou empresariais.
	A
	
	2, 1, 3, 4.
	B
	
	3, 2, 1, 4.
	C
	
	3, 4, 1, 2.
	D
	
	4, 1, 3, 2.
	E
	
	4, 3, 1, 2.
Questão 5 : O mercado brasileiro, qualquer que seja o setor de atividade e salvo algumas exceções, é bastante competitivo e volátil. Por isso, as empresas identificaram ao longo dos anos que os bons resultados não estão apenas vinculados a um bom produto, mas também a uma boa gestão. O mercado de auditoria interna vem ganhando espaço dentro das entidades e gerando valor a elas.
 
Assinale a alternativa correta em relação ao papel e posicionamento da auditoria interna dentro das empresas.
Resposta Errada! A resposta correta é a opção A
Justificativa:RESPOSTA CORRETA
 
A auditoria interna deve ter o maior grau de independência possível, reportando-se ao mais alto escalão. Tem por finalidade gerar valor para empresa através de controles internos e recomendações sobre os riscos, suportando a administração na tomada de decisão.
	A
	
	Reportando-se hierarquicamente ao mais alto cargo existente na empresa, a auditoria interna busca garantir a manutenção saudável do ambiente de controles internos e mapear os riscos do negócio de forma a evitar perdas e potencializar ganhos.
	B
	
	A auditoria interna deve ser composta por uma equipe de contadores altamente treinados. Deve reportar-se ao diretor de contabilidade da empresa para poder analisar os dados contábeis e informar sobre todas as inconformidades identificadas e corrigidas, sem restrições de gerentes e supervisores.
	C
	
	A auditoria interna deve ser composta por uma equipe de contadores altamente treinados. Deve reportar-se ao diretor de contabilidade da empresa para poder analisar os dados contábeis e informar sobre todas as inconformidades identificadas e corrigidas, sem restrições de gerentes e supervisores.
	D
	
	A auditoria interna trabalha em conjunto com a área de recursos humanos da empresa, de forma a reportar-se à mesma diretoria. Sua atividade está vinculada à análise de conduta dos funcionários da empresa em discordância com a missão, a visão e os valores da empresa. Se forem identificadas inconformidades, a auditoria interna irá subsidiar e munir a área de recursos humanos de documentação que apoia nas ações punitivas, sempre respaldados pela legislação trabalhista brasileira.
	E
	
	Embora a folha de pagamento do departamento de auditoria seja de responsabilidade da empresa, a auditoria interna reporta-se hierarquicamente ao IBRACON, pois necessita manter o grau de independência exigido pela profissão e o regulamento pelas normas internacionais de contabilidade. Este departamento tem como objetivo fiscalizar os procedimentos internos para garantir a qualidade de gestão e gerar conforto aos stakeholders (clientes, fornecedores, investidores, etc).
Questão 6 : A informação deve ser protegida por todo o seu ciclo de vida, pois ela passa por transformações durante este período. Assim, informações que eram confidenciais na concepção de um projeto, com o término deste, podem ser patenteadas tornando-se, assim, informações públicas. Desse modo, o ciclo de vida das informações é dividido em quatro etapas.
 
Sobre as quatro etapas do ciclo de vida da informação, assinale a alternativa correta.
Resposta Errada! A resposta correta é a opção A
Justificativa:As etapas do ciclo de vida da informação são: manuseio, armazenamento, transporte e descarte.
 
Manuseio: trata-se do momento da criação e da manipulação da informação. Armazenamento: trata-se do armazenamento da informação.Transporte: momento em que a informação é transportada. Descarte: ato de descartar a informação quando esta deixa de ser relevante.
	A
	
	Manuseio, armazenamento, transporte, descarte.
	B
	
	Manuseio, armazenamento, transporte, descarga.
	C
	
	Criação, alteração, manutenção e exibição.
	D
	
	Descarte, manutenção, transporte, armazenamento.
	E
	
	Manuseio, armazenamento, descarte, criação.
Questão 7 : São atributos de segurança:
Acertou! A resposta correta é a opção C
Justificativa:Esses são exemplos claros de atributos de segurança.
	A
	
	Virus, keylogger e engenharia social.
	B
	
	Cultura, mecanismos e firewall.
	C
	
	Autenticidade, integridade, confidencialidade e disponibilidade.
	D
	
	Senhas, criptografia e hardware.
	E
	
	Antivírus, firewall e servidor.
Questão 8 : Segundo a norma ISO 31000, quais os requisitos necessários para uma gestão de riscos de sucesso?
Resposta Errada! A resposta correta é a opção E
Justificativa:Os requisitos para uma gestão de riscos de sucesso são: comunicação consulta, estabelecimento do contexto, identificação de riscos, análise de riscos, avaliação de riscos, tratamento de riscos, monitoramento e análise crítica.
	A
	
	Divulgação, identificação de riscos e implantação da gestão.
	B
	
	Comunicação, gestão das regras, avaliação de riscos e modificação da gestão.
	C
	
	Consulta, contexto, modificação e crítica.
	D
	
	Identificação e eliminação de riscos.
	E
	
	Comunicação e consulta, estabelecimento do contexto, identificação, análise, avaliação, tratamento de riscos, monitoramento e análise crítica.
Questão 9 : Os webservices apresentam diversos riscos que devem ser mitigados pelos desenvolvedores e profissionais de segurança.
Marque a opção que representa o ataque que compromete o acesso ao serviço por meio da sobrecarga da aplicação por solicitações com grandes volumes de dados ou excesso de solicitações, causando indisponibilidade do serviço.
Resposta Errada! A resposta correta é a opção A
Justificativa:O ataque que causa sobrecarga da aplicação devido às solicitações com grandes volumes, que pode causar indisponibilidade do serviço, é o ataque de negação de serviço. A injeção de SQL acontece quando um usuário mal-intencionado consegue inserir código de manipulação de banco de dados em uma mensagem SOAP. O ataque de bisbilhoteiros acontece quando hackers acessam os dados de servidores para capturar senhas e dados de cartão de crédito. O sequestro de sessão é o ataque no qual os hackers passam a ter controle do estado de sessão de um usuário, com possibilidades de realizar atividades indesejadas. Já o tratamento inadequado dos erros acontece quando um servidor apresenta uma mensagem de erro de consulta ao banco para o usuário, de forma que as vulnerabilidades de segurança fiquem expostas para possíveis usuários mal-intencionados.
	A
	
	Ataque de negação de serviço.
	B
	
	Injeção de código SQL.
	C
	
	Ataque de bisbilhoteiros.
	D
	
	Sequestro de sessão.
	E
	
	Tratamento inadequado de erros.
Questão 10 : Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da informação?
Resposta Errada! A resposta correta é a opção B
Justificativa:As vulnerabilidades são uma das maiores preocupações da segurança da informação, pois deixam os sistemas e as informações armazenadas por eles expostos para atacantes. Elas reduzem a segurança da informação, permitindo que uma tentativa de ataque seja bem-sucedida, o que resulta na perda da integridade da informação.
	A
	
	As vulnerabilidades podem impedir que os atacantes consigam invadir as redes de computadores.
	B
	
	As vulnerabilidades podem permitir que uma tentativa de ataque seja bem-sucedida, resultando em perda da integridade da informação.
	C
	
	As vulnerabilidades podem permitir o acesso de usuários legítimos na rede.
	D
	
	As vulnerabilidades podem permitir que sejam impedidos quaisquer ataques vindos de fora da rede.
	E
	
	As vulnerabilidades podem permitir que uma tentativa de ataque seja identificada e impedida.
Questão 1 : O mercado brasileiro, qualquer que seja o setor de atividade e salvo algumas exceções, é bastante competitivo e volátil. Por isso, as empresas identificaram ao longo dos anos que os bons resultados não estão apenas vinculados a um bom produto, mas também a uma boa gestão. O mercado de auditoria interna vem ganhando espaço dentro das entidades e gerando valor a elas.
 
Assinale a alternativa correta em relação ao papel e posicionamento da auditoria interna dentro das empresas.
Resposta Errada! A resposta correta é a opção A
Justificativa:RESPOSTA CORRETA
 
A auditoria interna deve ter o maior grau de independência possível, reportando-se ao mais alto escalão. Tem por finalidade gerar valor para empresa através de controles internos e recomendações sobre os riscos, suportando a administração na tomada de decisão.
	A
	
	Reportando-se hierarquicamente ao mais alto cargo existente na empresa, a auditoria interna busca garantir a manutenção saudável do ambiente de controles internos e mapear os riscos do negócio de forma a evitar perdas e potencializar ganhos.
	B
	
	A auditoria interna deve ser composta por uma equipe de contadores altamente treinados. Deve reportar-se ao diretor de contabilidade da empresa para poder analisar os dados contábeis e informar sobre todas as inconformidades identificadas e corrigidas, sem restrições de gerentes e supervisores.
	C
	
	A auditoria interna deve ser composta por uma equipe de contadores altamente treinados. Deve reportar-se ao diretor de contabilidade da empresa para poder analisar os dados contábeis e informar sobre todas as inconformidades identificadas e corrigidas, sem restrições de gerentes e supervisores.
	D
	
	A auditoria interna trabalha em conjunto com a área de recursos humanos da empresa, de forma a reportar-se à mesma diretoria. Sua atividade está vinculada à análise de conduta dos funcionários da empresa em discordância com a missão, a visão e os valores da empresa. Se forem identificadas inconformidades, a auditoria interna irá subsidiar e munir a área de recursos humanos de documentação que apoia nas ações punitivas, sempre respaldados pela legislação trabalhista brasileira.
	E
	
	Embora a folha de pagamento do departamento de auditoria seja de responsabilidade da empresa, a auditoria interna reporta-se hierarquicamente ao IBRACON, pois necessita manter o grau de independência exigido pela profissão e o regulamento pelas normas internacionais de contabilidade. Este departamento tem como objetivo fiscalizar os procedimentos internos para garantir a qualidade de gestão e gerar conforto aos stakeholders (clientes, fornecedores, investidores, etc).
Questão 2 : A LGPD se aplica a pessoas físicas e jurídicas, salvo no cenário em que o tratamento dos dados é usado para fins exclusivamente particulares e não econômicos ou, então, para fins jornalísticos e artísticos e também para a segurança pública e de defesa nacional, conforme o artigo 4º, incisos I, II, III e IV. Sendo assim, a aplicabilidade da lei segue alguns critérios. Quais seriam essas premissas?
Resposta Errada! A resposta correta é a opção A
Justificativa:A Lei se aplica à situação em que a transação ocorrer em território nacional e tiver por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados em território nacional e, por fim, em que os dados tiverem sido coletados em território nacional. Dessa forma, é possível constatar que a LGPD não está diretamente relacionada à cidadania ou à nacionalidade dos dados do cidadão e, muito menos, faz referência ao domicílio do indivíduo titular.
	A
	
	De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em território nacional e os tratamentos/coletas também devem ter ocorrido no território brasileiro.
	B
	
	De acordo com as premissas da aplicabilidade da LGPD, a transação deve ter ocorrido em qualquer parte do mundo eos tratamentos/coletas podem ter ocorrido em outros países.
	C
	
	De acordo com as premissasda aplicabilidade da LGPD, os critérios somente devem ser aplicados em cenários não econômicos ou, então, em caso de segurança nacional ou devido a cuidados de segurança.
	D
	
	De acordo com as premissas da aplicabilidade da LGPD, a empresa deve ser estrangeira e usar essa informação em outro país, buscando, assim, mapear as necessidades dos seus clientes.
	E
	
	De acordo com as premissas da aplicabilidade da LGPD, a empresa deve ser estrangeira e usar essa informação em outro país, buscando, assim, mapear as necessidades dos seus clientes.
Questão 3 : A Lei n.º 13.709/2018, também conhecida como LGPD, representa um grande marco jurídico brasileiro. Essa Lei cria diretrizes de controle, tratamento e utilização dos dados pessoais dos cidadãos. Sendo assim, a aplicabilidade dessa lei está restrita a quais tipos de instituições?
Resposta Errada! A resposta correta é a opção C
Justificativa:A Lei n.º 13.709/2018, também conhecida como LGPD, representa um grande marco jurídico brasileiro. Essa Lei cria diretrizes de controle, tratamento e utilização dos dados pessoais dos cidadãos. Sendo assim, a aplicabilidade dessa lei está restrita a quais tipos de instituições?
	A
	
	Essa Lei pode ser aplicada somente a instituições públicas.
	B
	
	Essa Lei pode ser aplicada somente a instituições privadas.
	C
	
	Essa Lei pode ser aplicada em empresas públicas e privadas.
	D
	
	Essa Lei pode ser aplicada somente em bancos digitais e startup.
	E
	
	Essa Lei pode ser aplicada somente para hospitais e empresas privadas.
Questão 4 : Um aspecto importante de segurança da informação é zelar pela integridade dos dados. A integridade é a propriedade que visa a garantia de que a informação não foi alterada de maneira não autorizada. Para isso, existem várias ferramentas especialmente projetadas para apoiar nesse processo.
 
Sobre essas ferramentas, assinale a alternativa que apresenta uma ferramenta de apoio à integridade, assim como a sua definirão correta.
Resposta Errada! A resposta correta é a opção C
Justificativa:Um exemplo de ferramenta que é utilizada para garantir a integridade e a disponibilidade dos dados do sistema são as cópias de segurança, mais conhecidas como backup. Estas previnem a perda de dados, seja por danos intencionais ou não. Além desta, existem outras ferramentas para a garantia da integridade, sendo a característica comum das ferramentas para obtenção de integridade o uso de redundância. Quando se fala de integridade não se refere apenas ao conteúdo de um arquivo de dados, mas também aos metadados de cada arquivo. Uma função de soma de verificação, também utilizada como ferramenta de integridade, depende do conteúdo completo do arquivo, sendo projetada de maneira que mesmo uma pequena alteração no arquivo de entrada é altamente provável de resultar em um valor de saída diferente. Somas de verificação são como detonadores usados para detectar a ocorrência de uma brecha na integridade de dados.
	A
	
	Cópias de segurança: se referem ao arquivamento periódico de dados. Esse arquivamento é feito de modo que arquivos de dados possam ser restaurados caso tenham sido alterados de maneira autorizada ou intencional, não prevenindo completamente casos de alteração e danificação não autorizada ou não intencional.
	B
	
	Somas de verificação (checksums): é a computação de uma função que mapeia o conteúdo de um arquivo para um valor numérico. Essas funções dependem parcialmente do arquivo e são projetadas de maneira que pequenas alterações no arquivo de entrada não alterem o valor de saída.
	C
	
	Códigos de correção de dados: métodos para armazenar dados de tal maneira que pequenas alterações podem ser facilmente detectadas e automaticamente corrigidas.
	D
	
	Ferramentas para obtenção de integridade de dados têm uma característica em comum: elas usam recursão. Isto é, elas envolvem a replicação de algum conteúdo de informação ou funções dos dados de modo que possamos detectar e, algumas vezes, corrigir brechas na integridade dos dados.
	E
	
	A integridade não se preocupa com os metadados dos arquivos, mas sim com o conteúdo dos arquivos de dados.
Questão 5 : Existem vários tipos de sistemas de informações e cada um pode atender a uma necessidade específica da empresa. Os sistemas de informações podem se dividir em 4 grupos. Marque a alternativa que indica corretamente os 4 grupos.
Resposta Errada! A resposta correta é a opção A
Justificativa:Os 4 grupos de sistemas de informação são: sistemas de nível operacional, conhecimento, gerencial e estratégico.
	A
	
	Sistemas de nível operacional, conhecimento, gerencial e estratégico.
	B
	
	Sistemas de nível gestacional, gerencial, conhecimento e estratégico.
	C
	
	Sistemas de nível gerencial, informação, operacional e estratégico.
	D
	
	Sistemas de nível gerencial, conhecimento e operacional e integrador.
	E
	
	Sistemas de nível estratégico, operacional, gerencial e conhecimento.
Questão 6 : O WS-Security, WSS, é uma expansão do SOAP para adicionar segurança em webservices que deve ser utilizada junto com outros protocolos específicos.
Marque a opção que representa o protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre os computadores de origem e destino.
Resposta Errada! A resposta correta é a opção B
Justificativa:O protocolo que possibilita a criação de uma camada de criptografia para a comunicação segura entre as partes é o SSL, acrônimo para Secure Socket Layer. O XML é uma linguagem de marcação que pode ser usada como base para os protocolos de segurança. O SAML é um protocolo para declaração de informações de autenticação e autorização. O XACML é o protocolo criado para declarar as regras de controle de acesso em formato XML. O HTTP é um protocolo de comunicação de sistemas de informação.
	A
	
	SAML.
	B
	
	SSL.
	C
	
	XACML.
	D
	
	XML.
	E
	
	HTTP.
Questão 7 : Uma das medidas mais comuns para prevenir um ataque de negação de serviço é a utilização de servidores proxy. Como ele funciona?
Resposta Errada! A resposta correta é a opção C
Justificativa:A utilização de servidores proxy consiste na análise das requisições às máquinas da rede, funcionando como ponte entre a Internet e o computador-vítima. Esse tipo de servidor filtra o tráfego indesejado, permitindo que o tráfego verdadeiro passe.
	A
	
	O servidor proxy funciona como barreira para a máquina-vítima, impedindo qualquer tipo de tráfego.
	B
	
	O servidor proxy funciona como porta entre a rede mundial e o computador-vítima, deixando todo tipo de tráfego passar.
	C
	
	O servidor proxy funciona como ponte entre a Internet e a máquina-vítima, filtrando o tráfego indesejado e deixando passar o verdadeiro.
	D
	
	O servidor proxy é elemento intermediário entre o computador-atacante e o computador-vítima, efetivando a conexão entre eles.
	E
	
	O servidor proxy representa uma máquina conectada na mesma rede do computador-vítima e sofre ataques no lugar dela.
Questão 8 : O Kerberos é um protocolo de autenticação para ambientes abertos e distribuídos em que os usuários acessam serviços disponibilizados de forma segura por servidores distribuídos pela rede.
Marque a opção que contém um servidor centralizado responsável pela autenticação dos usuários como componente.
Resposta Errada! A resposta correta é a opção C
Justificativa:O servidor centralizado responsável pela autenticação dos usuários é o servidor de autenticação, ou AS, que é um componente do Key Distribution Center, ou KDC. O Ticket Granting Ticket, ou TGT, é a credencial concedida ao usuário pela AS. O Ticket Granting Server, ou TGS, é um servidor inserido para evitar que a senha seja extraviada. Key Distribution Server e Key Distribution Ticket não existem.
	A
	
	Key Distribution Server.
	B
	
	Key Distribution Ticket.
	C
	
	Key Distribution Center.
	D
	
	Ticket Granting Ticket.
	E
	
	Ticket Granting Server.
Questão 9 : O trabalho do auditor independente é de extrema importância para a sociedade. Apesar disso, no passado já ocorreram diversos problemas em que o pareceremitido por empresas de auditoria independente não refletia a realidade e favorecia as empresas auditadas. Assinale a alternativa que melhor descreve os objetivos de uma auditoria externa e os cuidados que devem ser tomados para garantir um parecer imparcial e realista da situação econômico-financeira das empresas auditadas.
Resposta Errada! A resposta correta é a opção E
Justificativa:Apenas profissionais com bacharelado em Ciências Contábeis e com vínculo no Conselho Regional de Contabilidade podem realizar o trabalho de auditoria contábil.
	A
	
	Apenas profissionais com bacharelado em Ciências Contábeis e com vínculo no Conselho Regional de Contabilidade podem realizar o trabalho de auditoria contábil.
	B
	
	O auditor externo tem como principal atividade a avaliação dos procedimentos técnicos e operacionais da empresa. Ele divulga ao mercado um parecer conclusivo a respeito da qualidade dos processos da empresa. Em documento adicional, recomenda melhorias nos processos e produtos ofertados pelas empresas auditadas.
	C
	
	O auditor externo, quando contratado para realização de auditoria contábil, restringe seu parecer a aspectos relativos à situação patrimonial da empresa, ou seja, apenas aqueles fatos que refletiram no balanço patrimonial.
	D
	
	A auditoria externa, por meio de avaliações técnicas e valendo-se de alto grau de independência, tem como principal objetivo identificar fraudes e distorções que possam causar prejuízos aos investidores das empresas auditadas.
	E
	
	A auditoria contábil é um dos serviços mais vendidos pelas firmas de auditoria ao redor do mundo. Para garantir a qualidade destes serviços, foi instituído que apenas contadores registrados podem executar o trabalho de auditoria contábil.
Questão 10 : Sobre a criptografia simétrica, é correto afirmar que:
Resposta Errada! A resposta correta é a opção B
Justificativa:A criptografia simétrica utiliza uma chave única, conhecida como chave secreta. Esta é usada para codificar e decodificar a mensagem e é conhecida por todos os envolvidos na transação.
	A
	
	utiliza uma chave pública e uma privada para codificar e decodificar a mensagem, respectivamente.
	B
	
	utiliza somente uma chave secreta para codificar e decodificar a mensagem.
	C
	
	utiliza uma chave privada e uma pública para codificar e decodificar a mensagem, respectivamente.
	D
	
	utiliza apenas uma chave privada, que serve somente para codificar os dados.
	E
	
	utiliza somente uma chave secreta, que serve apenas para decodificar a mensagem.
Questão 1 : A área de segurança da informação utiliza diversos termos técnicos que devem ser bem compreendidos e diferenciados pelos gestores, especialmente aqueles cuja atuação está diretamente relacionada com a proteção dos dados e redes da organização. Esse conhecimento é fundamental para que as ferramentas corretas sejam empregadas em cada situação que envolva a segurança da informação.
 
Analise os termos apresentados a seguir e relacione-os corretamente a seus conceitos:
I. Risco.
II. Ameaça.
III. Contramedida.
IV. Exploração.
 
( ) Uso de alguma ferramenta ou técnica com o intuito de obter vantagem de uma vulnerabilidade.
( ) Recurso de segurança adotado para reduzir riscos.
( ) Probabilidade de uma ameaça explorar uma vulnerabilidade.
( ) Situação em que alguém ou algo pode causar danos a um ou vários ativos.
 
Marque a alternativa que apresenta CORRETAMENTE o relacionamento entre os termos e seus respectivos conceitos.
Acertou! A resposta correta é a opção E
Justificativa:A exploração acontece quando alguma ferramenta ou técnica é empregada para se aproveitar determinada vulnerabilidade. A contramedida é utilizada nas organizações visando a redução de riscos de segurança nas organizações. O risco de determinado acontecimento é a probabilidade existente de uma ameaça conseguir explorar uma vulnerabilidade do ambiente. A ameaça indica que alguma pessoa ou equipamento pode ocasionar danos a ativos pessoais ou empresariais.
	A
	
	2, 1, 3, 4.
	B
	
	3, 2, 1, 4.
	C
	
	3, 4, 1, 2.
	D
	
	4, 1, 3, 2.
	E
	
	4, 3, 1, 2.
Questão 2 : Um aspecto importante de segurança da informação é zelar pela integridade dos dados. A integridade é a propriedade que visa a garantia de que a informação não foi alterada de maneira não autorizada. Para isso, existem várias ferramentas especialmente projetadas para apoiar nesse processo.
 
Sobre essas ferramentas, assinale a alternativa que apresenta uma ferramenta de apoio à integridade, assim como a sua definirão correta.
Resposta Errada! A resposta correta é a opção C
Justificativa:Um exemplo de ferramenta que é utilizada para garantir a integridade e a disponibilidade dos dados do sistema são as cópias de segurança, mais conhecidas como backup. Estas previnem a perda de dados, seja por danos intencionais ou não. Além desta, existem outras ferramentas para a garantia da integridade, sendo a característica comum das ferramentas para obtenção de integridade o uso de redundância. Quando se fala de integridade não se refere apenas ao conteúdo de um arquivo de dados, mas também aos metadados de cada arquivo. Uma função de soma de verificação, também utilizada como ferramenta de integridade, depende do conteúdo completo do arquivo, sendo projetada de maneira que mesmo uma pequena alteração no arquivo de entrada é altamente provável de resultar em um valor de saída diferente. Somas de verificação são como detonadores usados para detectar a ocorrência de uma brecha na integridade de dados.
	A
	
	Cópias de segurança: se referem ao arquivamento periódico de dados. Esse arquivamento é feito de modo que arquivos de dados possam ser restaurados caso tenham sido alterados de maneira autorizada ou intencional, não prevenindo completamente casos de alteração e danificação não autorizada ou não intencional.
	B
	
	Somas de verificação (checksums): é a computação de uma função que mapeia o conteúdo de um arquivo para um valor numérico. Essas funções dependem parcialmente do arquivo e são projetadas de maneira que pequenas alterações no arquivo de entrada não alterem o valor de saída.
	C
	
	Códigos de correção de dados: métodos para armazenar dados de tal maneira que pequenas alterações podem ser facilmente detectadas e automaticamente corrigidas.
	D
	
	Ferramentas para obtenção de integridade de dados têm uma característica em comum: elas usam recursão. Isto é, elas envolvem a replicação de algum conteúdo de informação ou funções dos dados de modo que possamos detectar e, algumas vezes, corrigir brechas na integridade dos dados.
	E
	
	A integridade não se preocupa com os metadados dos arquivos, mas sim com o conteúdo dos arquivos de dados.
Questão 3 : A tecnologia de criptografia fornece uma base para a proteção de mensagens trocadas pela Internet e os dados armazenados nas bases de dados.
Marque a opção que representa uma das duas categorias de criptografia que exige a utilização de uma única chave para criptografar e descriptografar uma mensagem.
Acertou! A resposta correta é a opção E
Justificativa:A criptografia que exige a utilização da mesma chave tanto para o processo de criptografia de um dado ou mensagem quanto para o processo de descriptografia é a criptografia simétrica. O segundo tipo de criptografia é a criptografia assimétrica, em que o processo de criptografia acontece por uma chave pública, e o processo de descriptografia, por uma chave privada. As criptografias regular, proporcional e equivalente não são categorias de criptografia existentes.
	A
	
	Criptografia regular.
	B
	
	Criptografia proporcional.
	C
	
	Criptografia assimétrica.
	D
	
	Criptografia equivalente.
	E
	
	Criptografia simétrica.
Questão 4 : Assinale a alternativa que apresenta um dos benefícios da ISO 27001 para as organizações.
Acertou! A resposta correta é a opção E
Justificativa:Entre alguns benefícios da ISO 27001 para as organizações, podemos citar: Conformidade com requisitos legais: a metologia da ISO 27001 está em conformidade com todos os requisitos legais, como leis, normativas, etc. Obtençãode vantagem de Marketing: caso a organização obtenha a certificação, ela terá vantagem perante a concorrência. Redução decustos: ao prevenir incidentes na área da segurança, a organização economizará um valor significativo. Melhor organização: a ISO 27001 encoraja as organizações a escreverem seus principais processos, mesmo aqueles não relacionados à segurança, possibilitando a redução da perda de tempo de seus empregados.
	A
	
	Obtenção de vantagem de Marketing: existem cada vez mais leis, regulamentações e requisitos contratuais relacionados à segurança da informação, e a metologia da ISO 27001 está em conformidade com todos esses requisitos.
	B
	
	Conformidade com requisitos legais: o principal objetivo da ISO 27001 é prevenir incidentes de segurança. Ao prevenir incidentes, a empresa economizará o valor significativo.
	C
	
	Melhor organização: se sua organização obtém a certificação, e seus competidores não, ela terá vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações.
	D
	
	Redução decustos: se sua organização obtém a certificação, e seus competidores não, ela terá vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações.
	E
	
	Conformidade com requisitos legais: há cada vez mais leis, regulamentações e requisitos contratuais relacionados à segurança da informação, e a metologia da ISO 27001 está em conformidade com todos esses requisitos.
Questão 5 : Para que servem as regras de filtragem ou de conexão?
Resposta Errada! A resposta correta é a opção A
Justificativa:As regras de filtragem ou de conexão serão necessárias para proteger tanto máquinas públicas da organização quanto locais que separam a organização do mundo exterior. Ou seja, não servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo, nem o tipo de conectividade entre os computadores de uma área da empresa. Também não servem para estabelecer quantos usuários poderão se conectar ao mesmo tempo na rede interna da empresa, tampouco estipular os tipos de vírus que serão excluídos das máquinas dos usuários em tempo real de conexão.
	A
	
	Servem para proteger máquinas públicas da organização e locais que separam a organização do ambiente externo.
	B
	
	Servem para definir quais pessoas vão poder fazer parte do ambiente cooperativo.
	C
	
	Servem para definir o tipo de conectividade entre os computadores de uma área da empresa.
	D
	
	Servem para estabelecer quantos usuários poderão se conectar ao mesmo tempo na rede interna da empresa.
	E
	
	Servem para estipular os tipos de vírus que serão excluídos das máquinas dos usuários em tempo real de conexão.
Questão 6 : O que é e para que serve a Infraestrutura de Chaves Públicas (ICP)?
Acertou! A resposta correta é a opção E
Justificativa:A Infraestrutura de Chaves Públicas, conforme você viu nesta Unidade, é um sistema de serviços, de políticas e de recursos que dá suporte para a utilização de criptografia de chave pública, possibilitando fazer a autenticação das partes envolvidas em uma transação digital. Ela gerencia os certificados digitais e, também, as chaves públicas.
	A
	
	A ICP-Brasil é a entidade que revoga certificados digitais.
	B
	
	A ICP-Brasil é a entidade que faz a requisição dos certificados digitais para as autoridades registradoras.
	C
	
	A ICP-Brasil é o sistema que assina digitalmente os documentos trocados por via digital.
	D
	
	A ICP-Brasil é a autoridade que faz a emissão de novos certificados digitais.
	E
	
	A ICP-Brasil é um sistema de serviços, de políticas e de recursos que permite a autenticação das partes envolvidas em uma transação digital.
Questão 7 : Sobre a criptografia assimétrica, é correto afirmar que:
Resposta Errada! A resposta correta é a opção A
Justificativa:A criptografia assimétrica utiliza um par de chaves, sendo uma pública e uma privada. A chave pública será utilizada para codificar a mensagem e é conhecida por todos os envolvidos na transação. A chave privada será utilizada para decodificar a mensagem e é conhecida somente pelo destinatário da mensagem.
	A
	
	utiliza uma chave pública para codificar a mensagem e uma chave privada para decodificar a mensagem.
	B
	
	utiliza apenas uma chave secreta para codificar e decodificar a mensagem.
	C
	
	utiliza somente uma chave privada, que serve somente para codificar os dados.
	D
	
	utiliza apenas uma chave pública, que serve somente para decodificar a mensagem.
	E
	
	utiliza somente uma chave secreta, que serve apenas para decodificar a mensagem.
Questão 8 : O Kerberos é um protocolo de autenticação para ambientes abertos e distribuídos em que os usuários acessam serviços disponibilizados de forma segura por servidores distribuídos pela rede.
Marque a opção que contém um servidor centralizado responsável pela autenticação dos usuários como componente.
Resposta Errada! A resposta correta é a opção C
Justificativa:O servidor centralizado responsável pela autenticação dos usuários é o servidor de autenticação, ou AS, que é um componente do Key Distribution Center, ou KDC. O Ticket Granting Ticket, ou TGT, é a credencial concedida ao usuário pela AS. O Ticket Granting Server, ou TGS, é um servidor inserido para evitar que a senha seja extraviada. Key Distribution Server e Key Distribution Ticket não existem.
	A
	
	Key Distribution Server.
	B
	
	Key Distribution Ticket.
	C
	
	Key Distribution Center.
	D
	
	Ticket Granting Ticket.
	E
	
	Ticket Granting Server.
Questão 9 : O trabalho do auditor independente é de extrema importância para a sociedade. Apesar disso, no passado já ocorreram diversos problemas em que o parecer emitido por empresas de auditoria independente não refletia a realidade e favorecia as empresas auditadas. Assinale a alternativa que melhor descreve os objetivos de uma auditoria externa e os cuidados que devem ser tomados para garantir um parecer imparcial e realista da situação econômico-financeira das empresas auditadas.
Acertou! A resposta correta é a opção E
Justificativa:Apenas profissionais com bacharelado em Ciências Contábeis e com vínculo no Conselho Regional de Contabilidade podem realizar o trabalho de auditoria contábil.
	A
	
	Apenas profissionais com bacharelado em Ciências Contábeis e com vínculo no Conselho Regional de Contabilidade podem realizar o trabalho de auditoria contábil.
	B
	
	O auditor externo tem como principal atividade a avaliação dos procedimentos técnicos e operacionais da empresa. Ele divulga ao mercado um parecer conclusivo a respeito da qualidade dos processos da empresa. Em documento adicional, recomenda melhorias nos processos e produtos ofertados pelas empresas auditadas.
	C
	
	O auditor externo, quando contratado para realização de auditoria contábil, restringe seu parecer a aspectos relativos à situação patrimonial da empresa, ou seja, apenas aqueles fatos que refletiram no balanço patrimonial.
	D
	
	A auditoria externa, por meio de avaliações técnicas e valendo-se de alto grau de independência, tem como principal objetivo identificar fraudes e distorções que possam causar prejuízos aos investidores das empresas auditadas.
	E
	
	A auditoria contábil é um dos serviços mais vendidos pelas firmas de auditoria ao redor do mundo. Para garantir a qualidade destes serviços, foi instituído que apenas contadores registrados podem executar o trabalho de auditoria contábil.
Questão 10 : Ativos de informação são partes importantes da área de segurança da informação. Em síntese, a existência dos ativos justifica a existência da área de segurança da informação.
 
Sobre os ativos, assinale a alternativa correta.
Acertou! A resposta correta é a opção E
Justificativa:Ativo é tudo aquilo que armazena o todo ou parte da informação de uma empresa. Esses ativos podem ser físicos, como, por exemplo, um papel; ou informatizados, como um banco de dados.
	A
	
	Ativos são a representação física das informações da empresa
	B
	
	Ativos são sempre informatizados a exemplo de banco de dados.
	C
	
	A receita de um bolo não é considerada um ativode uma empresa que fabrica bolos, pois ela não diz respeito a um cliente, não sendo armazenada em um banco de dados.
	D
	
	Um exemplo de ativo da informação é um carro, pois ele tem valor financeiro para a empresa e precisa ser preservado.
	E
	
	Ativo é tudo aquilo que a empresa tem e que representa parte da informação desta, podendo ser físico ou digitalizado.
Questão 1 : A tecnologia de criptografia fornece uma base para a proteção de mensagens trocadas pela Internet e os dados armazenados nas bases de dados.
Marque a opção que representa uma das duas categorias de criptografia que exige a utilização de uma única chave para criptografar e descriptografar uma mensagem.
Resposta Errada! A resposta correta é a opção E
Justificativa:A criptografia que exige a utilização da mesma chave tanto para o processo de criptografia de um dado ou mensagem quanto para o processo de descriptografia é a criptografia simétrica. O segundo tipo de criptografia é a criptografia assimétrica, em que o processo de criptografia acontece por uma chave pública, e o processo de descriptografia, por uma chave privada. As criptografias regular, proporcional e equivalente não são categorias de criptografia existentes.
	A
	
	Criptografia regular.
	B
	
	Criptografia proporcional.
	C
	
	Criptografia assimétrica.
	D
	
	Criptografia equivalente.
	E
	
	Criptografia simétrica.
Questão 2 : São tipos de criptografia:
Resposta Errada! A resposta correta é a opção D
Justificativa:Esses são dois tipos de criptografia.
	A
	
	De chave pública e de chave particular.
	B
	
	De chave direta e de chave indireta.
	C
	
	De chave singular e de chave múltipla.
	D
	
	De chave simétrica e de chave assimétrica.
	E
	
	De chave livre e de chave proprietária.
Questão 3 : A Lei n.º 13.709/2018, também conhecida como LGPD, representa um grande marco jurídico brasileiro. Essa Lei cria diretrizes de controle, tratamento e utilização dos dados pessoais dos cidadãos. Sendo assim, a aplicabilidade dessa lei está restrita a quais tipos de instituições?
Resposta Errada! A resposta correta é a opção C
Justificativa:A Lei n.º 13.709/2018, também conhecida como LGPD, representa um grande marco jurídico brasileiro. Essa Lei cria diretrizes de controle, tratamento e utilização dos dados pessoais dos cidadãos. Sendo assim, a aplicabilidade dessa lei está restrita a quais tipos de instituições?
	A
	
	Essa Lei pode ser aplicada somente a instituições públicas.
	B
	
	Essa Lei pode ser aplicada somente a instituições privadas.
	C
	
	Essa Lei pode ser aplicada em empresas públicas e privadas.
	D
	
	Essa Lei pode ser aplicada somente em bancos digitais e startup.
	E
	
	Essa Lei pode ser aplicada somente para hospitais e empresas privadas.
Questão 4 : A segurança da informação e a segurança de redes corporativas não estão relacionadas apenas com o uso de hardwares e softwares para prevenir ou reagir a incidentes. Na verdade, toda e qualquer defesa tecnológica é importante, mas a proteção aos dados e operações das empresas requer uma abordagem mais ampla, envolvendo desde a implementação de procedimentos e políticas de uso dos recursos tecnológicos até a garantia do cumprimento de leis e regulamentações governamentais. Nesse contexto, analise as afirmações a seguir:I. Os maiores riscos e, consequentemente, os maiores incidentes são causados geralmente pelos próprios funcionários das organizações.II. As ameaças à segurança da informação acontecem tanto com o uso de alta tecnologia quanto pelos crimes tradicionais, como o roubo de um notebook da empresa, por exemplo.III. É importante tratar a segurança da informação como uma função isolada na organização, pois assim ela será capaz de auxiliar no alcance dos objetivos estratégicos.Está CORRETO o que se afirma apenas em:
Resposta Errada! A resposta correta é a opção A
Justificativa:Em função de seu acesso privilegiado, os próprios funcionários das organizações, normalmente, geram os maiores prejuízos para a segurança da informação. A execução de crimes tradicionais também pode impactar diretamente a segurança da informação, especialmente quando envolve recursos tecnológicos da empresa.
	A
	
	I e II.
	B
	
	I e III.
	C
	
	I e III.
	D
	
	I, II e III.
	E
	
	nenhuma das afirmações.
Questão 5 : Sobre firewall, é correto afirmar que:
Resposta Errada! A resposta correta é a opção E
Justificativa:Firewall é umas das ferramentas mais utilizadas na área de segurança e funciona como barreira à conteúdos maliciosos. Existem duas maneiras de se implementar soluções de firewall: por aplicativos ou por hardware.
	A
	
	Firewall é um software de proteção contra vírus, ou seja, um antivírus.
	B
	
	Firewall é um software que não funciona como barreira à qualquer tipo de conteúdo.
	C
	
	O firewall pode ser implementado somente por meio de hardware.
	D
	
	O firewall pode ser implementado apenas por aplicativo.
	E
	
	O firewall pode ser implementado por meio de aplicativo e de hardaware. Ele funciona como barreira a conteúdos maliciosos.
Questão 6 : Sobre a criptografia simétrica, é correto afirmar que:
Acertou! A resposta correta é a opção B
Justificativa:A criptografia simétrica utiliza uma chave única, conhecida como chave secreta. Esta é usada para codificar e decodificar a mensagem e é conhecida por todos os envolvidos na transação.
	A
	
	utiliza uma chave pública e uma privada para codificar e decodificar a mensagem, respectivamente.
	B
	
	utiliza somente uma chave secreta para codificar e decodificar a mensagem.
	C
	
	utiliza uma chave privada e uma pública para codificar e decodificar a mensagem, respectivamente.
	D
	
	utiliza apenas uma chave privada, que serve somente para codificar os dados.
	E
	
	utiliza somente uma chave secreta, que serve apenas para decodificar a mensagem.
Questão 7 : Existem vários tipos de sistemas de informações e cada um pode atender a uma necessidade específica da empresa. Os sistemas de informações podem se dividir em 4 grupos. Marque a alternativa que indica corretamente os 4 grupos.
Acertou! A resposta correta é a opção A
Justificativa:Os 4 grupos de sistemas de informação são: sistemas de nível operacional, conhecimento, gerencial e estratégico.
	A
	
	Sistemas de nível operacional, conhecimento, gerencial e estratégico.
	B
	
	Sistemas de nível gestacional, gerencial, conhecimento e estratégico.
	C
	
	Sistemas de nível gerencial, informação, operacional e estratégico.
	D
	
	Sistemas de nível gerencial, conhecimento e operacional e integrador.
	E
	
	Sistemas de nível estratégico, operacional, gerencial e conhecimento.
Questão 8 : Por que as vulnerabilidades são uma das maiores preocupações da área de segurança da informação?
Acertou! A resposta correta é a opção B
Justificativa:As vulnerabilidades são uma das maiores preocupações da segurança da informação, pois deixam os sistemas e as informações armazenadas por eles expostos para atacantes. Elas reduzem a segurança da informação, permitindo que uma tentativa de ataque seja bem-sucedida, o que resulta na perda da integridade da informação.
	A
	
	As vulnerabilidades podem impedir que os atacantes consigam invadir as redes de computadores.
	B
	
	As vulnerabilidades podem permitir que uma tentativa de ataque seja bem-sucedida, resultando em perda da integridade da informação.
	C
	
	As vulnerabilidades podem permitir o acesso de usuários legítimos na rede.
	D
	
	As vulnerabilidades podem permitir que sejam impedidos quaisquer ataques vindos de fora da rede.
	E
	
	As vulnerabilidades podem permitir que uma tentativa de ataque seja identificada e impedida.
Questão 9 : O que é phishing?
Resposta Errada! A resposta correta é a opção E
Justificativa:O phishing é um tipo de ataque que normalmente vem em forma de mensagem. Por isso é comum que seja um e-mail com uma mensagem parecida com a que seria enviada originalmente de alguma instituição conhecida, na tentativa de fazer o leitor aceitar o que está escrito e ainda executar, por vontade própria, a instalação de algum programa, serviço ou arquivo danoso no seupróprio dispositivo.
	A
	
	É um tipo de defesa instalado pelo sistema operacional.
	B
	
	É um tipo de defesa que protege os servidores e já vem instalado com o sistema operacional.
	C
	
	É um tipo de ataque que instala programas através de força bruta nos servidores da rede.
	D
	
	É um tipo de defesa que envia e-mails para os usuários da rede avisando sobre um ataque.
	E
	
	É um tipo de ataque que normalmente se configura em forma de mensagem.
Questão 10 : Marque a alternativa que melhor diferencia o auditor interno do externo.
Resposta Errada! A resposta correta é a opção A
Justificativa:A auditoria interna tem maior propriedade e liberdade na realização de seus testes, pois é um departamento interno da empresa auditada. Além disso, opera em tempo integral, diferentemente da auditoria externa, que opera por períodos pontuais dentro da empresa auditada.
	A
	
	Quantidade e profundidade dos testes realizados durante o trabalho de auditoria.
	B
	
	Técnicas e procedimentos de trabalho.
	C
	
	O escopo de trabalho.
	D
	
	Princípios e responsabilidades éticas.
	E
	
	Necessidade de avaliação dos controles internos.
Questão 1 : Quais são os subplanos que compõem um plano de gestão da continuidade de negócios?
Resposta Errada! A resposta correta é a opção D
Justificativa:Os 4 subplanos envolvidos em um plano de gestão da continuidade de negócios são: plano de contingência (utilizado quando as ações de prevenção de incidentes falharem), plano de gerenciamento de crises (funções e responsabilidades de cada equipe envolvida nas ações de contingência), plano de recuperação de desastres (usado para que a organização retome seus níveis originais de operação e produção), e plano de continuidade operacional (restabelece o funcionamento dos processos que suportam a operação da empresa).
	A
	
	Planos de: continuidade, riscos, operação e administração.
	B
	
	Planos de: operação, administração, gestão e clientes.
	C
	
	Planos de: colaboradores, clientes, parceiros e fornecedores.
	D
	
	Planos de: contingência, gerenciamento de crises, recuperação de desastres e continuidade operacional.
	E
	
	Planos de: enfrentamento, análise, correção e manutenção.
Questão 2 : Qual a função da criptografia?
Resposta Errada! A resposta correta é a opção B
Justificativa:Essa é a definição correta de criptografia.
	A
	
	Desembaralhar os dados.
	B
	
	Embaralhar os dados para proteger a segurança das informações.
	C
	
	Impedir que os dados sejam apagados do banco de dados.
	D
	
	Monitorar a ação de usuários invasores.
	E
	
	Bloquear ações maliciosas dentro de uma aplicação.
Questão 3 : O que diz a Medida Provisória n.º 2.200-2/2001 a respeito da autoridade oficial de gestão de certificados digitais?
Resposta Errada! A resposta correta é a opção D
Justificativa:Conforme a Medida Provisória nº 2.200-2/2001, a ICP-Brasil é a autoridade oficial para gerenciar a geração de certificados digitais válidos. No entanto, tenha em mente que ela não impede que outras entidades ou meios sejam usados para a validação, desde que as partes envolvidas na transação concordem com a sua utilização.
	A
	
	A ICP-Brasil é uma das muitas autoridades registradoras de certificados digitais.
	B
	
	A ICP-Brasil credencia novas entidades emissoras de certificados digitais.
	C
	
	A ICP-Brasil é a única autoridade impedida de emitir certificados digitais no Brasil.
	D
	
	A ICP-Brasil é a autoridade oficial para gerenciar certificados digitais, mas considera a utilização de outros meios de validação.
	E
	
	A ICP-Brasil é a única autoridade que pode emitir certificados digitais no Brasil.
Questão 4 : Sobre a criptografia simétrica, é correto afirmar que:
Resposta Errada! A resposta correta é a opção B
Justificativa:A criptografia simétrica utiliza uma chave única, conhecida como chave secreta. Esta é usada para codificar e decodificar a mensagem e é conhecida por todos os envolvidos na transação.
	A
	
	utiliza uma chave pública e uma privada para codificar e decodificar a mensagem, respectivamente.
	B
	
	utiliza somente uma chave secreta para codificar e decodificar a mensagem.
	C
	
	utiliza uma chave privada e uma pública para codificar e decodificar a mensagem, respectivamente.
	D
	
	utiliza apenas uma chave privada, que serve somente para codificar os dados.
	E
	
	utiliza somente uma chave secreta, que serve apenas para decodificar a mensagem.
Questão 5 : Assinale a alternativa correta a respeito da segurança EndPoint.
Acertou! A resposta correta é a opção A
Justificativa:A segurança Endpoint serve para proteger cada nó de extremidade de uma rede corporativa contra ataques e invasões. Qualquer dispositivo que se conecte internamente à rede pode ser considerado uma porta de ameaça, vindo a prejudicar a infraestrutura da empresa.
	A
	
	Consiste em proteger o nó de cada extremidade de uma rede contra ataques e invasões.
	B
	
	Consiste em proteger o nó de cada extremidade de uma rede contra ataques e invasões, como, por exemplo, o firewall.
	C
	
	É um software que protege a rede.
	D
	
	É um software de proteção contra ataques maliciosos, protegendo a rede como um antivírus.
	E
	
	É um software de proteção contra ataques maliciosos.
Questão 6 : O ataque de negação de serviço ataca principalmente qual dos atributos da segurança da informação?
Resposta Errada! A resposta correta é a opção A
Justificativa:A negação de serviço é um ataque à disponibilidade das informações, pois consiste na impossibilidade de executar funcionalidades básicas e na interrupção dos serviços de servidores, causando impedimento na máquina ou sistema atacados.
	A
	
	Disponibilidade.
	B
	
	Confiabilidade.
	C
	
	Integridade.
	D
	
	Confidencialidade.
	E
	
	Autenticidade.
Questão 7 : O RGPD entrou em vigor no dia 25 de maio de 2018 e serviu de inspiração para a formulação da lei brasileira. A LGPD, quando comparada com a legislação europeia, acaba sendo mais resumida e genérica. Que tipo de problemas essa lacuna de informações pode gerar no Brasil?
Resposta Errada! A resposta correta é a opção D
Justificativa:A LGPD é mais enxuta em relação a alguns aspectos quando comparada com o RGPD, criando também espaços para interpretações, o que deixa tudo mais subjetivo. Essa lacuna pode gerar insegurança jurídica, justamente pela sua falta de objetividade, permitindo espaço para subjetividade em situações possíveis, como, por exemplo, em relação a prazos - enquanto na norma europeia (RGPD) é dito que determinada ação deve ser feita em até 72 horas, no caso da LGPD, é informado “prazo razoável”. Porém, o que seria um prazo razoável? Esse tipo de situação pode gerar diversos aspectos jurídicos que devem tomar conta dos tribunais em um futuro próximo.
	A
	
	Essa lacuna acaba gerando objetividade e interpretações comuns, criando segurança jurídica e promovendo os demais benefícios para a sociedade, seguindo o propósito estabelecido de boa-fé.
	B
	
	Essa lacuna acaba gerando ruídos de comunicação, porém os artigos são claros e objetivos, o que acaba minimizando os demais impactos e ocasionando boas interpretações, que servem de exemplo.
	C
	
	Essa lacuna acaba gerando certa flexibilidade no uso dos dados e, com isso, promover maior cuidado na utilização da informação, mesmo os cuidados jurídicos vigentes em lei.
	D
	
	Essa lacuna acaba gerando subjetividade e interpretações variadas, criando insegurança jurídica e promovendo precedentes confusos que podem representar impactos negativos para a sociedade.
	E
	
	Essa lacuna acaba gerando total segurança jurídica para o cidadão, pois ele terá sempre a informação de como o seu dado será utilizado pela empresa. Essa transparência é vital para o uso correto.
Questão 8 : A certificação para ISO 27001 pode ser retirada de duas formas. Quais são elas?
Resposta Errada! A resposta correta é a opção A
Justificativa:Existem duas formas de certificação para a ISO 27001: a certificação individual e a certificação para organizações. Para uma empresa obter a certificação, ela deve implementar a norma e submeter-se a uma