Segurança da Informação II

Prévia do material em texto

Pergunta 1 
0,5 / 0,5 pts 
Considere as seguintes afirmativas: 
I. São exemplos de ativo tangível: marca, reputação e catálogo intelectual. 
II. São exemplos de ativo intangível: produto, bem, equipamento, imóvel e 
informação em papel. 
III. Ativo pode ser definido como qualquer coisa que tenha valor para a 
Organização. 
Estão CORRETAS: 
 
II apenas. 
 
 
Todas estão corretas 
 
 
III apenas. 
 
 
I e II apenas. 
 
 
I apenas. 
 
Segundo a 27002, pode ser definido como ativo tudo que tem valor para 
organização. 
 
Pergunta 2 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir a norma que tem por objetivo estabelecer 
os requisitos de Sistema de Gestão de Segurança da Informação para a 
implantação de sistemas de Gestão da Segurança da Informação. 
 
ABNT NBR ISO/IEC 27005. 
 
 
ABNT NBR ISO/IEC 27002. 
 
 
ABNT NBR ISO/IEC 38500. 
 
 
ABNT NBR ISO/IEC 27001. 
 
 
ABNT NBR ISO/IEC 15504. 
 
A família de iSO's 27000, tem a 27001 como norma que é usada para avaliar 
os controles que são implementados tendo como base a 27002. 
 
Pergunta 3 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir o nome dado ao ativo que inclui qualquer 
informação registrada ou armazenada, em meio eletrônico ou papel: 
 
Ativo de informação. 
 
 
Ativo de hardware. 
 
 
Ativo de organização. 
 
 
Ativo de software. 
 
 
Ativo particular 
 
A informação é um ativo para organização. 
 
Pergunta 4 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir a norma que tem por objetivo estabelecer a 
Gestão de Riscos e Segurança da Informação: 
 
ABNT NBR ISO/IEC 27005. 
 
 
ABNT NBR ISO/IEC 38500. 
 
 
ABNT NBR ISO/IEC 27001. 
 
 
ABNT NBR ISO/IEC 27002. 
 
 
ABNT NBR ISO/IEC 15504. 
 
A família de ISO's 27000 é formada por normas que tratam de Segurança de 
Informação, sendo a 27005 dedicada a Gestão de Risco. 
 
Pergunta 5 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir o termo atribuído à fragilidade de um ativo 
ou grupo de ativos que pode ser explorado por uma ou mais ameaças: 
 
Ameaça. 
 
 
Vulnerabilidade. 
 
 
Impacto. 
 
 
Risco 
 
 
Dano. 
 
Uma vulnerabilidade pode ser definida como um vetor de ameaça, pois um 
ameaça ocorre através da exploração de uma vulnerabilidade. 
 
Pergunta 6 
0,5 / 0,5 pts 
Sobre a Segurança Física, pode-se dizer: 
I - Segurança física é a primeira barreira que se tem na proteção dos ativos de 
Informação, sendo um elemento crucial na operação. 
II - Conforme informado, o mecanismo de controle de acesso aos recursos da 
organização e principalmente ao seu Datacenter deve considerar o uso seguro 
baseado em criptografia para o acesso remoto. 
III - Demanda-se mecanismo para identificação de colaboradores, seja um 
crachá, seja uma catraca com controle. Recomenda-se fortemente que esses 
controles sejam reavaliados ciclicamente. 
Assinale a alternativa CORRETA: 
 
Todas afirmativas estão corretas. 
 
 
I e II estão corretas. 
 
 
Somente a afirmativa I está correta. 
 
 
A III está incorreta. 
 
 
Todas afirmativas estão incorretas. 
 
Na concepção dos controles de segurança de uma organização, tanto a 
Segurança Física, o uso de Criptografia e o mecanismo de segurança como 
crachá, são imprescindíveis e necessários. 
 
Pergunta 7 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir o conjunto de requisitos de segurança 
desenvolvido para proteger os dados de portadores de Cartão de Crédito: 
 
WPA. 
 
 
SSH. 
 
 
PGP. 
 
 
PCI DSS. 
 
 
ISO/IEC 27002. 
 
O Payment Card Industry Security Standards Council (PCI-SSC) foi fundado 
pela American Express, Discover Financial Services, JCB International, 
MasterCard Worldwide e Visa Inc., como um fórum global para a disseminação 
de padrões de segurança na proteção de dados de pagamento, e define o PCI 
Data Secutity Standard (PCI-DSS). Especificando recomendações mínimas de 
segurança obrigatórias para todas as empresas que participam da rede de 
captura de pagamento com cartões, o comércio e prestadores de serviços que 
processam, armazenam e/ou transmitem eletronicamente dados do portador do 
Cartão de Crédito. 
 
IncorretaPergunta 8 
0 / 0,5 pts 
Selecione nas alternativas a seguir o nome do documento estruturado que 
estabelece um conjunto de regras, normas e procedimentos que define as 
obrigações e as responsabilidades referentes à segurança da informação que 
devem ser observadas e seguidas pelos colaboradores da Organização, sob 
pena de advertência ou até desligamento por justa causa, no caso do não 
cumprimento: 
 
Política de cargos e salários. 
 
 
Política de retenção. 
 
 
Política de Segurança. 
 
 
Política de mesa limpa. 
 
 
Política de senhas. 
 
Política de Segurança é o documento que além de consolidar todas as demais 
políticas da empresa é responsável por organizar o conjunto de regras, normas 
e procedimentos que definem as obrigações e as responsabilidades que 
deverão ser seguidas por todos os colaboradores. 
 
Pergunta 9 
0,5 / 0,5 pts 
Como uma Empresa que tem maturidade nos processos de Segurança da 
Informação avalia o que é risco em nível aceitável? 
 
Criando um Red Team. 
 
 
Criando um Blue Team. 
 
 
Realizando o processo de BIA. 
 
 
Realizando o processo de Gerenciamento de Risco. 
 
 
Realizando um Pentest. 
 
O processo de Gerenciamento de Risco tem como etapa inicial o mapeamento 
e a Análise de Risco, que possibilita classificar os riscos, qualificando-os e 
quantificando-os. 
 
Pergunta 10 
0,5 / 0,5 pts 
Indique nas alternativas a seguir um exemplo de ameaça humana 
nãointencional. 
 
Malware. 
 
 
Documentos jogados no lixo sem a devida proteção. 
 
 
Terremoto. 
 
 
Engenharia social. 
 
 
Relâmpago. 
 
Ações executadas pelas pessoas durante o ciclo de vida da informação como o 
descarte de lixo são classificadas como ameaça humana. 
 
Pergunta 11 
0,5 / 0,5 pts 
Selecione nas alternativas a seguir a política que tem por objetivo evitar que 
papéis e mídias removíveis fiquem acessíveis a terceiros. 
 
Política de senhas. 
 
 
Política de retenção. 
 
 
Política de classificação da Informação. 
 
 
Política de mesa limpa. 
 
 
Política de backup. 
 
A Política de mesa limpa diz respeito à formalização da cultura de não se 
manter nada exposto na mesa de trabalho sem controle e sem o devido 
cuidado, para evitar a exposição de informações sensíveis. 
 
Pergunta 12 
0,5 / 0,5 pts 
Qual é o tipo de política que orienta os critérios para definição da criação das 
credenciais de acesso no que tange o quanto uma senha é forte? 
 
Política de privacidade. 
 
 
Política de backup. 
 
 
Política de uso aceitável. 
 
 
Política de senhas. 
 
 
Política de retenção. 
 
A Política de senhas é importante para motivar os colaboradores a manter suas 
senhas mais fortes e ter a preocupação de manter o segredo dela. 
 
Pergunta 13 
0,5 / 0,5 pts 
Considere as seguintes afirmações sobre a Política de Segurança: 
I. A Política de Segurança da Informação tem por objetivo padronizar a 
segurança da Informação dentro da organização. 
II. Uma vez estabelecida, uma Política de Segurança não precisa ser 
constantemente revisada e atualizada. 
III. O apoio e a participação da alta administração no processo de implantação 
da Política de Segurança não são necessários. 
Pode-se afirmar que estão CORRETAS: 
 
II apenas. 
 
 
III apenas. 
 
 
I e III apenas. 
 
 
Todas. 
 
 
I apenas. 
 
A Segurança da Informação tem por objetivo padronizar a Segurança da 
Informação dentro da Organização, para proteger todos os ativos, 
considerando Tecnologia, processos e pessoa. 
 
Pergunta 14 
0,5 / 0,5 pts 
De acordo com a norma ISO/IEC 27002:2013, ativo é qualquer coisa que tenha 
valor para a Organização. Selecione nas alternativas a seguir, aquela que 
apresenta apenas exemplos de ativos intangíveis.ISO/IEC 38500 – Aplicativos, sistemas, ferramentas de desenvolvimento e 
utilitários. 
 
 
Hardware, Software e Peopleware. 
 
 
Reputação e imagem da organização. 
 
 
Contratos e acordos, manuais de usuários e planos de continuidade do 
negócio. 
 
 
Base de dados e arquivos. 
 
A ISO/IEC 27002:2013 deixa claro que tudo que tem valor para uma 
Organização é um ativo, seja tangível ou intangível. 
 
Pergunta 15 
0,5 / 0,5 pts 
Qual é o propósito da segregação de funções? 
 
Garantir que as mudanças aconteçam de forma planejada e controlada dentro 
das organizações. 
 
 
Verificar a integridade de uma mensagem e atestar que um determinado 
documento foi produzido por quem o emissor da mensagem diz que foi. 
 
 
Propiciar a divisão de tarefas e permissões na Organização, não concentrando 
o conhecimento em apenas uma pessoa, reduzindo, consequentemente, o 
risco de fraudes, vez que seriam necessários dois ou mais colaboradores para 
que essas se consumassem. 
 
 
Assegurar a disponibilidade da informação no nível e na escala de tempo 
requerida, após a ocorrência de interrupções ou falhas dos processos críticos 
do negócio. 
 
 
Não se segregam funções em Segurança da Informação, apenas redes de 
computadores. 
 
A segregação de tarefas e permissões é importante tanto do ponto de vista de 
gestão como do ponto de vista de Segurança da Informação. 
 
Pergunta 16 
0,5 / 0,5 pts 
É um programa normalmente desenvolvido para fins maliciosos, que pode se 
propagar inserindo cópias de si mesmo, mas, para isso, depende de uma ação 
do usuário, como, por exemplo, a inserção de um pendrive. 
 
Trojan. 
 
 
Worm. 
 
 
Rootkit. 
 
 
Phising. 
 
 
Vírus. 
 
Originalmente, um vírus é um malware que necessita de algum vetor para se 
propagar, ou seja, não existe em sua engenharia a automação para 
propagação autônoma. Sua propagação dá-se a partir de uma ação do usuário, 
como enviar um arquivo contaminado para outro sistema, inserir um pendrive 
que possa já estar contaminado ou que será contaminado. 
 
Pergunta 17 
0,5 / 0,5 pts 
Identifique nas alternativas a seguir o nome da etapa na qual se finaliza o ciclo 
de vida da Informação: 
 
Retenção. 
 
 
Descarte. 
 
 
Armazenamento. 
 
 
Manuseio. 
 
 
Transporte. 
 
O Descarte é o fim do ciclo de vida da Informação. 
 
Pergunta 18 
0,5 / 0,5 pts 
É um programa normalmente desenvolvido para fins maliciosos, que pode se 
propagar inserindo cópias de si mesmo, sem depender de uma ação do 
usuário, pois é parte de sua engenharia meios de autorreplicação. 
 
Trojan. 
 
 
Phising. 
 
 
Vírus. 
 
 
Worm. 
 
 
Rootkit. 
 
Worm (verme) é um tipo de Malware que tem em sua engenharia instruções 
para autopropagação automática, sem necessariamente depender da ação do 
usuário. 
 
Pergunta 19 
0,5 / 0,5 pts 
Com base na análise das afirmações anteriores, selecione a alternativa 
CORRETA, considerando as seguintes afirmações. 
I. Disponibilidade está relacionada ao fato de os dados e as informações não 
terem sofrido nenhuma alteração do seu formato inicial desde o envio até o 
recebimento dessa Informação. 
II. Integridade está relacionada ao fato de as informações e os dados estarem 
sempre disponíveis para as pessoas que necessitam deles para executar suas 
tarefas diárias e cotidianas. 
III. Confidencialidade está relacionada à concessão de acesso somente às 
pessoas autorizadas que podem ter acesso aos dados ou à informação 
acessada. 
Assinale a alternativa CORRETA : 
 
Apenas I e II são verdadeiras. 
 
 
Apenas II é verdadeira. 
 
 
Todas as assertivas são verdadeiras. 
 
 
Apenas III é verdadeira. 
 
 
Apenas I e III são verdadeiras. 
 
O CID forma o pilar da Segurança da Informação, mas somente a 
Confidencialidade foi definida corretamente. 
 
Pergunta 20 
0,5 / 0,5 pts 
A adoção de medidas de segurança pode ajudar uma organização não 
somente a prevenir incidentes de Segurança da Informação, mas, 
principalmente, a reduzir o tempo de resposta a um incidente, quando ele 
ocorre. 
Considere as seguintes afirmações sobre medidas de segurança: 
I. Medidas redutivas são aquelas destinadas a reduzir a probabilidade de que 
um incidente ocorra. 
II. Medidas repressivas são aquelas que procuram identificar um incidente no 
momento em que ele ocorre, por exemplo, sistema de detecção de intrusão. 
III. Medidas detectivas são aquelas combatem o dano causado pelo incidente. 
Estão CORRETAS: 
 
II, apenas. 
 
 
I e II, apenas. 
 
 
I , apenas. 
 
 
Todas. 
 
 
III, apenas. 
 
Medidas redutivas são todas a medidas que tem por objetivo mitigar a 
ocorrência de um incidente.