Prévia do material em texto
Questão 1 Dada a amplitude e a complexidade do papel de Segurança da Informação, dispõem-se os desafios em um modelo conceitual em camadas ou fases, particionando o trabalho, para tornar mais claro o entendimento de cada camada. Essas camadas constituem as chamadas barreiras de segurança. A última barreira de segurança do modelo conceitual encarregada da análise de riscos (em que são considerados aspectos tecnológicos, físicos e humanos e as necessidades específicas dos processos de negócios da empresa) é: A) Diagnosticar os riscos que as ameaças representam para os ativos da empresa. B) Dificultar o acesso indevido aos ativos da empresa. C) Deter a ameaça para que não atinja os ativos da empresa. D) Desencorajar as ameaças aos ativos da empresa. E) Deter o acesso indevido. Questão 2 Com relação à auditoria de segurança de sistemas, assinale a alternativa correta: A) Em um processo de auditoria de sistema, o auditor deve necessariamente ser um colaborador da organização auditada, preferencialmente, deve pertencer ao setor analisado na auditoria. B) A auditoria da segurança de informação tem como principal objetivo implantar a política de segurança e o plano de continuidade de negócios (PCN) de uma organização. C) Devido a falta de confiabilidade dos dados processados por computador, ferramentas computacionais de apoio, tais como mapping, tracing e snapshot, não podem ser empregadas em auditorias de segurança. D) Achados de auditoria são fatos significativos observados pelo auditor durante a execução da auditoria. Geralmente, são associados a falhas e irregularidades, porém podem também indicar pontos fortes da instituição auditada. O achado deve ser relevante e baseado em fatos e evidências irrefutáveis. E) O processo de auditoria está divido em três fases: planejamento, execução e relatório. Na fase de planejamento, todas as evidências das falhas e irregularidades encontradas devem ser coletadas para que durante a fase de execução as devidas correções nos controles sejam realizadas. Questão 3 A segurança física tem um papel fundamental na criação de barreiras até se chegar ao data center ou ambiente a ser protegido. Os níveis de proteção para proteger o perímetro externo são: I. Seguranças armados para proteger o primeiro perímetro. II. Câmeras externas através do CFTV (Circuito Fechado de Televisão) para monitorar os movimentos antes da chegada ao ambiente a ser protegido. III. Implementação de uma equipe de recepção para que os novos convidados, visitantes e funcionários sejam recebidos e possam ser identificados. Assinale a alternativa correta: A) Apenas III. B) I e II. C) Apenas II. D) I, II e III. E) I e III. Questão 4 Um dos ataques cibernéticos que mais afetam as empresas é o Denial of Service (DoS) ou a negação de serviço. Há uma série de técnicas desse ataque, desde o nível de redes até o nível de aplicação. Quando esse ataque ocorre, clientes e funcionários ficam impedidos de acessar os sistemas. Assinale a alternativa que apresenta o princípio da segurança da informação atacado. A) Vulnerabilidade. B) Disponibilidade. C) Confidencialidade. D) Ameaça. E) Integridade. Questão 5 Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "auditores". Após várias consultas com respostas corretas, em um determinado momento, um usuário pertencente ao grupo "auditores" acessa o sistema em busca de uma informação e recebe, como resposta à sua consulta, uma informação completamente diferente da desejada. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada: A) Auditoria. B) Integridade. C) Confidencialidade. D) Disponibilidade. E) Privacidade. Questão 6 Open Web Application Security Project (OWA SP) tem como um dos seus trabalhos mais conhecidos uma lista que reúne os riscos de ataques mais obrigatórios exploráveis a partir de vulnerabilidades nas aplicações web. Estes trabalhos são conhecidos como os dez riscos de segurança de aplicativos web mais críticos. "Ocorrem quando dados não confiáveis são enviados a um intérprete como parte de um comando ou consulta." Tal afirmação se refere ao seguinte risco: A) Referências inseguras de objetos diretos. B) Falhas de injeção. C) Cross Site Request Forgery (CSRF). D) Cross Site Scripting (XSS). E) Referências Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF). Questão 7 Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a: A) COBIT. B) ISSO. C) INMETRO. D) ISACA. E) ACL. Questão 8 As principais desvantagens das ferramentas especializadas geram no ambiente de trabalho do auditor referem-se: I- problemas relacionados ao custo de contratação de empresas terceirizadas para o desenvolvimento do sistema. II- tempo de entrega dos sistemas pelas empresas terceirizadas, que pode não atender à necessidade do auditor e/ou cliente do auditor. III- esses sistemas se tornarem caros, devido a sua aplicabilidade limitada, pois conseguem atender somente a um cliente. Assinale a alternativa correta: A) I, II e III. B) Apenas II. C) II e III. D) Apenas III. E) I e III. Questão 9 Um malware bastante crítico é o ransomware, em que o criminoso cifra os arquivos ou o disco e exige o pagamento de um resgate em troca da chave criptográfica que decifra as informações originais. Assinale a alternativa que apresenta o princípio da segurança da informação comprometido pelo ransomware e um possível controle de segurança para se lidar com o malware. A) Confidencialidade e backup. B) Disponibilidade e backup. C) Integridade e firewall. D) Confidencialidade e firewall. E) Disponibilidade e firewall. Questão 10 O versionamento de software é uma técnica que agrega informações importantíssimas, as quais auxiliam na identificação das alterações promovidas pelos desenvolvedores de software. Porém, para que isso ocorra, é necessário conhecer as partes que compõem essa numeração. Se um sistema teve a sua versão alterada de 2.3.4.5 para 2.4.4.5, ocorreu uma alteração na: A) Forma de acessar o sistema. B) Correção de falhas e bugs encontrados na sua utilização. C) Implementação de novas funcionalidades dentro do sistema. D) Segurança devido a vulnerabilidades do sistema. E) Estrutura como um todo, fazendo com que o software fosse totalmente modificado. Questão 11 A família ISO 27000 é composta por um conjunto de normas que trata de seguranç a da informação, incluindo assuntos como sistema de gestão de segurança da informação, controles de segurança, segurança na área de saúde, segurança em comunicações, segurança de redes, resposta a incidentes, segurança de aplicações e privacidades, entre outros. Assinale as normas que certificam uma empresa em segurança da informação: A) ABNT NBR ISO/IEC 27002. B) ABNT NBR ISO/IEC 27005. C) ABNT NBR ISO/IEC 27003. D) ABNT NBR ISO/IEC 27001. E) ABNT NBR ISO/IEC 27004. Questão 12 Combinação da probabilidade (chance da ameaça se concretizar) de um evento ocorrer e de suas consequências para a organização. Trata-se de: A) Cross Site Scripting (XSS). B) Risco. C) Ameaça. D) Incidente de segurança. E) Vulnerabilidade. Questão 13 Alguns exemplos de ferramentas que podem ser aplicadas nas mais diversas áreas de auditoria de sistemas, são: I- Suíte Trauma Zer0: essa ferramenta de gerenciamento de rede foi desenvolvidapela empresa iVirtua Solutions. II- ManageEngine ADAudit Plus: é uma ferramenta que permite realizar a segurança e a conformidade da área de Tecnologia da Informação da empresa. III- Asset Panda: é uma poderosa plataforma de gerenciamento e auditoria de ativos que permite um número de usuários ilimitados. Assinale a alternativa correta: A) Apenas III. B) Apenas II. C) II e III. D) I e III. E) I, II e III. Questão 14 De acordo com a normatização, são opções de tratamento do risco de segurança da informação, EXCETO: A) Transferência do risco. B) Ação de evitar o risco. C) Indiferença ao risco. D) Redução do risco. E) Retenção/aceitação do risco. Questão 15 O escopo de uma auditoria deve ser determinado em consonância com seus objetivos e, a depender da intenção da empresa, um certo tipo de escopo pode ser escolhido. Três tipos de escopo podem ser adotados: I- Completa: trata-se da auditoria que terá a abrangência de todas as funções e tarefas importantes à organização ou unidade. II- Parcial: tem um limite para estabelecer a função, área, linha de produto ou tarefa de interesse. III- De acompanhamento (follow-up): adotada para verificar a eficácia das ações corretivas previamente definidas. Assinale a alternativa correta: A) I, II e III. B) Apenas III. C) I e III. D) II e III. E) Apenas II. Questão 16 Para agregar novos valores a área de tecnologia da informação, os auditores estipularam algumas metas como: I- Revisaram e aprimoraram as políticas de TI relevantes a serem adotadas pelo departamento de TI. II- Documentaram e avaliaram os riscos de segurança e disponibilidade com gerenciamento e controles identificados em vigor, para mitigar os riscos de TI. III- Aplicação da auditoria de planejamento e gestão e da auditoria de segurança da informação. Assinale a alternativa correta: A) I, II e III. B) II e III. C) Apenas II. D) Apenas III. E) I e III. Questão 1 Questão 2 Questão 3 Questão 4 Questão 5 Questão 6 Questão 7 Questão 8 Questão 9 Questão 10 Questão 11 Questão 12 Questão 13 Questão 14 Questão 15 Questão 16