Baixe o app para aproveitar ainda mais
Prévia do material em texto
Conteúdo do teste Pergunta 1 0 ponto O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física, tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL – Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto, assinale a alternativa que corresponde à sequência correta: a) Relevante, não-considerável, importante, vital e crítico. b) Não-considerável, importante, relevante, crítico e vital. c) Vital, crítico, importante, relevante e não-considerável. resposta correta d) Não-considerável, relevante, importante, crítico e vital. e) Importante, crítico, vital, não considerável e relevante. Pergunta 2 0 ponto Faça a devida correlação entre as fases de um projeto ACL. 1. Planejar o projeto. 2. Adquirir os dados. 3. Acessar os dados com o ACL. 4. Verificar a integridade dos dados. 5. Analisar os dados. 6. Reportar os achados. I - Assegurar-se de que os dados não contenham elementos corrompidos. II - Identificar o objetivo em termos comerciais e técnicos. III - Preparar os resultados para apresentação formal. IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários. V - Interrogar e manipular os dados para identificar exceções. VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem. a) I – 1, II – 4, III – 2, IV – 6, V – 5, VI – 3. b) I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6. c) I – 5, II – 1, III , IV – 2, V – 4, VI – 6. resposta correta d) I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3. e) I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4. Pergunta 3 0 ponto A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria: a) É o processo que implementa a teoria da agência. b) É o processo que verifica somente informações da área contábil. c) É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados. resposta correta d) É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade. e) É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estão sendo atendidos. Pergunta 4 0 ponto No ciclo de vida da informação, é a etapa mais importante de todo processo de gestão da informação, pois dentro de suas finalidades básicas de conhecimento dos ambientes interno e externo da organização e atuação nesses ambientes, é ela que garante melhores resultados em uma organização. Trata-se da etapa de: a) Obtenção. b) Armazenamento. c) Uso. resposta correta d) Distribuição. e) Tratamento. Pergunta 5 0 ponto Quanto à classificação dos ativos da informação, assinale a alternativa que apresenta somente ativos da informação que pertencem ao tipo físico de natureza do ativo: a) Sistemas operacionais, servidores, desktops e notebooks. b) Mídias magnéticas, impressoras e desktops. c) Contratos, empregados e sistemas operacionais. resposta correta d) Empregados, ferramentas de desenvolvimento, planos de continuidade. e) Equipamentos de comunicação, sistemas operacionais e aplicativos. Pergunta 6 0 ponto Quais são as cinco fases do Ciclo de Vida de Desenvolvimento de Sistemas, às quais devem ser integradas ao gerenciamento de risco? a) Caracterização, identificação, analise, determinação e recomendação. b) Iniciação, aquisição, implementação, manutenção e caracterização. c) Identificação, analise, determinação, recomendação e documentação. d) Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e Eliminação. e) Iniciação, desenvolvimento, implementação, caracterização e documentação. Pergunta 7 0 ponto No contexto da segurança da informação, o termo “engenharia social” se refere a a) Conjunto de recomendações que permitem a um administrador do computador acessar informações sobre novas versões do Windows, através da utilização das teclas de atalho “CTRL-S”. b) Estratégia de proteção contra vírus, que consiste em distribuir versões gratuitas de programas antivírus, por e-mail, para todos os endereços da lista de contatos do usuário. c) Prática recomendada pela “Organização Mundial de Segurança”, segundo a qual o procedimento de atualização dos programas antivírus deve ser realizado por usuários diferentes a cada vez. d) Série de normas que ensinam, dentre outras coisas, a identificar as pessoas responsáveis pela criação de vírus e outras ameaças eletrônicas. e) Conjunto de práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas, através da persuasão e se aproveitando da ingenuidade ou confiança das pessoas. Pergunta 8 0 ponto O desenvolvimento de uma política de segurança da informação é realizado em quatro etapas principais. Assinale a alternativa que corresponde à fase de levantamento de informações: a) Fase que envolve aspectos como a classificação das informações, atribuição de regras e responsabilidades e, descrição de procedimentos que envolvem a TI como um todo. b) É nesta fase que serão formalizados os procedimentos junto à alta administração. c) É a fase de mudança de cultura que inclui comportamentos que comprometem a segurança da informação. d) Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição. e) É a efetiva implantação das políticas, normas e procedimentos através de preparação de material promocional, divulgação constante, conscientização das responsabilidades, realização de palestras de modo que todo o público-alvo possa compreender e ser convencido a segui-las. Pergunta 9 0 ponto Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica: a) É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular para criptografar dados e uma chave pública para descriptografá-los. b) É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação de uma função matemática unidirecional a uma quantidade de dados arbitrária. c) É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para criptografar dados e uma chave particular para descriptografá-los. d) É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a fim de aumentar a segurança da informação. e) Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na criptografia e na descriptografia. resposta correta Pergunta 10 Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação: resposta correta a) A informação é conservada para futura utilização. b) Quando é realizado o expurgo de informações. c) Quando é realizado algum tipo de organização ou formatação da informação. d) A informação é criada, ou obtida através de uma fonte externa. e) Quando é gerado valor agregado à informação. Conteúdo do teste Pergunta 1 0 ponto Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO: a) Capacidade de conciliar os interesses de segurança com os interesses do negócio. b) Familiaridade com termos e conceitos da área. c) Excelente capacidade de comunicação. d) Dominar técnicasde engenharia social. e) Certificações e especializações na área de segurança da informação. Pergunta 2 0 ponto Sobre autenticação de fator múltiplo, analise as sentenças abaixo: I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha. II O fator de herança inclui algo que o usuário possui, como um token. III O PIN é um fator de posse. IV A biometria é um fator de herança. Está correto o que consta em: a) I, III e IV, somente. b) III e IV, somente. c) IV, somente. d) I, somente. e) I e IV, some Pergunta 3 0 ponto Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta: a) É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais. b) Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca. c) É um ataque onde são utilizadas senhas armazenadas em um dicionário. d) É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. e) É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico. Pergunta 4 0 ponto Quanto aos softwares antivírus, é correto afirmar: É um tipo de malware. Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela venda de suas ferramentas. Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware. Funciona somente com detecção de assinatura de malware estática. Soluções gratuitas não oferecem proteção contra malwares. Pergunta 5 0 ponto Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas: a) Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. b) Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados. c) Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados. d) Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca. e) Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas. Pergunta 6 0 ponto Sobre política de backup é correto afirmar: a) De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais. b) Backup em discos são mais seguros do que backup em fitas. c) A guarda de backup em local físico diferente da sede de uma organização não é recomendada, visto a dificuldade de recuperação em caso de desastre. d) Backups completos devem ser realizados diariamente. e) Somente dados críticos necessitam de backup. Pergunta 7 0 ponto Sobre forense computacional, é correto afirmar que: a) A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, não necessitando de peritos especialistas nesta área. b) Não é possível recuperar informações a partir de fragmentos de arquivos. c) A área de forense computacional consiste no uso de métodos científicos para preservação, coleta, validação, identificação, análise, interpretação, documentação e apresentação de evidência digital com validade probatória em juízo. d) Quando ocorre um incidente de segurança em uma empresa, não é necessário observar procedimentos de preservação de evidências. e) A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita somente a incidentes de segurança que não envolvam quebra de leis. Pergunta 8 0 ponto Quanto à segurança no tratamento de mídias, é correto afirmar: a) O descarte correto de mídias é minuciosamente tratado na norma ISO 31000. b) Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação. c) Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação. d) Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível. e) Não existem normas que tratam do descarte de mídias de forma segura Pergunta 9 0 ponto Sobre tipos de backup é correto afirmar: a) Os backups diferenciais são mais seguros que os backups incrementais. b) Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. c) Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. d) Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo. e) Backup completo é a soma de um backup diferencial com um backup incremental. Pergunta 10 0 ponto Sobre gerenciamento de riscos em segurança da informação, é correto afirmar: a) É baseado em controles, para servir como referência a uma organização que deseja ter uma governança de TI mais controlada. b) É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização. c) É um sistema de apoio à decisão para o negócio de uma organização. d) É um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização. e) É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. Conteúdo do teste Pergunta 1 0 ponto O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI. Assinale a alternativa que apresenta o órgão responsável por este guia: a) ISSO b) ISACA c) TCU d) INTOSA e) INMETRO. Pergunta 2 0 ponto Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta: É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca. É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico. É um ataque onde são utilizadas senhas armazenadas em um dicionário. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais. Pergunta 3 0 ponto As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 fases. Assinale a alternativa que apresenta estas fases: a) Planejamento, Execução, Conclusão. b) Execução, Conclusão, Revisão. c) Planejamento, Entrevistas, Revisão. d) Entrevistas, Planejamento, Execução. e) Planejamento, Conclusão, Revisão. Pergunta 4 0 ponto A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria: a) É o processo que verifica somente informações da área contábil. b) É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade. c) É o processo que implementa a teoria da agência. d) É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados. e) É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estãosendo atendidos. Pergunta 5 0 ponto Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA: a) Antes das transações serem executadas, os resultados de teste esperado são predeterminados, para que os resultados reais possam ser comparados com os resultados predeterminados. b) Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. c) Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de transações que ocorrem normalmente e testes usando dados inválidos. d) Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema. e) Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples. Pergunta 6 0 ponto Quanto ao perfil do auditor de sistemas de informação, NÃO é correto afirmar que: a) O auditor deve servir aos interesses do contratante e partes envolvidas de uma maneira objetiva e condizente com a legislação vigente. b) Um auditor deve ter a integridade como característica. c) Deve efetuar uma avaliação equilibrada de todas as circunstâncias relevantes e não indevidamente influenciados pelos interesses próprios ou de terceiros. d) O auditor de sistemas de informação, durante a execução do seu trabalho, não terá acesso a informações sigilosas sobre a empresa, portanto não é necessário zelo excessivo com a confidencialidade. e) A ISACA mantém um código de ética, o qual serve como um balizador para as ações do auditor. Para associados que desrespeitam a este código, as ações podem resultar em investigação e medidas disciplinares. Pergunta 7 0 ponto Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a: a) ISSO b) ISACA c) INMETRO d) ACL e) COBIT f) Pergunta 8 0 ponto A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma: a) ISO 27001 b) ISO 9001 c) ISO 9002 d) ISO 27002 e) ISO 19011 Pergunta 9 0 ponto As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização denominada: a) INTOSAI. b) ISO. c) ISACA. d) IEEE. e) INMETRO. Pergunta 10 0 ponto O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública. Assinale a alternativa que apresenta o órgão responsável por este guia: a) IEEE. b) ISSO c) INMETRO d) INTOSAI e) TCU Conteúdo do teste Pergunta 1 0.2 pontos A auditoria envolve tecnologia, o que tornou possível vários tipos de análise e produção de resultados extraordinários na área, bem como uma atuação mais próxima da realidade. Verifique abaixo quais ferramentas podem ser utilizadas em auditoria: I - Ferramentas de estruturação de dados II -ferramentas para análise estatística III - ferramentas para acompanhamento das fases de planejamento e execução IV -ferramentas de gestão de conhecimento V - ferramentas de avaliação de riscos Selecione a alternativa que define quais ferramentas podem ser utilizadas em auditoria: a) I, II, III, IV e V. b) I, II e V. c) I, II, III e IV. d) I, IIII, IV e VI. e) I, III e V. Pergunta 2 0.2 pontos Associação Brasileira de Normas técnicas, em conjunto com o Instituto ISO internacional tem a finalidade estudar, padronizar e implantar as normas. As normas que direcionam a segurança da informação estão nas normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002. Um Sistema de Gestão de Segurança da Informação (SGSI) deve se basear nas normativas para ter a abrangência e efetividade. Para uma implantação bem-sucedida analise a lista abaixo: I- As normas asseguram sucesso na implantação da segurança da informação; II- A segurança da informação poderá ou deverá ter atribuições definidas; III- o risco não é prioridade principal para a segurança da informação; IV- Segurança pode ser direcionada apenas para ambiente externo V- Detecção de qualquer nível de possibilidade na segurança da informação; VI- As normas asseguram um roteiro apropriado para a implantação de segurança da informação. Selecione a alternativa que abrange a efetividade para a implantação bem-sucedida de um SGSI. a) VI. b) I. c) IV e V. d) I e VI. e) II e III. Pergunta 3 0.2 pontos Os firewalls utilizam dispositivos que fornecem segurança de rede e que restringem acessos a pacote de dados. É uma das principais ferramentas de segurança na atualidade. Analise a afirmação correta: a) é de fácil customização e utilização b) pode ser baseado somente em software. c) isoladamente, é capaz de proteger totalmente uma rede ou um computador. d) pode se se enquadrar com restrições em uma espécie de barreira de defesa. e) pode ser utilizado em conjunto com outros recursos, como antivírus, IDS, VPN etc. Pergunta 4 0.2 pontos A política de segurança de informação na empresa é fator fundamental para o sucesso da utilização da informação e a segmentaçãodesta utilização de acord o com as atribuições dos funcionários ou outros sistemas queutilizarão a mesma. O desenvolvimento desta política possui algumas características, selecione a alternativa que a contempla . a) A alta direção deve estar comprometida e totalmente ciente da política que será implementada. b) Normas e procedimentos podem ser feitos após implantação para que não se perca tempo; c) Toda empresa deve implementar a política de segurança, mas não há a necessidade de que todos os envolvidos fiquem cientes da mesma. d) Nem todos os passos da elaboração da política de segurança serão registrados, até por motivo de segurança. e) O levantamento e validação e implementação das informações serão feitas exclusivamente pela equipe de responsável pela equipe segurança. Pergunta 5 0.2 pontos O gerenciamento de riscos compreende em diminuir a exposição aos riscos mais relevantes, pode-se adotar a estratégia da identificação do impacto que os riscos podem oferecer às atividades da organização, assim como sua probabilidade de ocorrência, mediante a análise da matriz de riscos: I - Compreender os objetivos II - Compreender os riscos III - administrar os riscos IV - exposição aceitável Selecione a alternativa que define a sequência ideal para a matriz de riscos: a) I, IIII, IV e III. b) I, IV, III e II. c) I, II, III. d) II, III, IV e I. e) I, II, III e IV.
Compartilhar