audSistemas

Prévia do material em texto

• Pergunta	1	
1	em	1	pontos	
 
Sua equipe está sofrendo com um problema na gestão dos softwares. Vocês não 
estão conseguindo saber qual a última versão do software. De acordo com as boas 
práticas de mercado referente a isto, qual é a solução mais ideal? 
 
Resposta	
Selecionada:	 b. 
Implantar mecanismos de controle de versão. 
Respostas:	 a. 
Terceirizar o problema. 
 b. 	
Implantar mecanismos de controle de versão. 
 
c. 	
Definir um papel responsável pelo código-fonte de todos os 
sistemas da organização. 
 d. 	
Nenhuma das alternativas anteriores. 
Comentário	
da	resposta:	
Alternativa correta b. Implantar mecanismos de controle de versão. 
Recomenda-se manter os sistemas sob um controle de versão. O 
mecanismo de controle de versão garante registrar todas as 
mudanças no código-fonte, assim como comparar as mudanças 
realizadas entre a versão anterior e a versão atual. 
	
 
• Pergunta	2	
1	em	1	pontos	
 
A segurança da informação busca manter características que protegem a informação. 
A estas características normalmente dá-se o nome de confiabilidade da informação. 
Qual dos itens abaixo NÃO é uma característica da confiabilidade da informação? 
 
Resposta	Selecionada:	 b. 
A quantidade 
Respostas:	 a. 
A disponibilidade 
 b. 	
A quantidade 
 c. 	
A integridade 
 d. 	
 
A autenticidade 
Comentário	da	
resposta:	
Alternativa	B. A quantidade. A quantidade não é um aspecto de 
confiabilidade da informação. 
	
• Pergunta	3	
0	em	1	pontos	
 
Qual a duração média de execução de um plano de continuidade? 
Resposta	Selecionada:	 a. 
Minutos e horas. 
Respostas:	 a. 
Minutos e horas. 
 b. 	
Dias. 
 c. 	
Semanas e meses. 
 d. 	
Anos. 
Comentário	
da	resposta:	
Alternativa correta c. Semanas e meses. Após o plano de resposta a 
incidentes, inicia-se a execução do plano de continuidade ou 
recuperação de negócios, de modo a permitir que a organização 
recupere ou mantenha suas atividades em caso de uma interrupção 
motivada pelo incidente. O plano tem abrangência de semanas a 
meses, após o qual a atividade volta à sua normalidade. 
	
 
• Pergunta	4	
1	em	1	pontos	
 
A Receita Federal lhe encaminhou uma cópia da sua última declaração de imposto de 
renda enviada ao órgão e você está comparando a cópia enviada pela receita com o 
que você possui em seus documentos. Qual característica da informação você está 
tentando verificar? 
 
Resposta	Selecionada:	 d. 
A integridade da informação. 
Respostas:	 a. 
A disponibilidade da informação. 
 b. 	
A confidencialidade da informação. 
 
 c. 	
O não-repúdio da informação. 
 d. 	
A integridade da informação. 
Comentário	da	
resposta:	
Alternativa	D. A integridade da informação. Você estará observando 
se as informações são as mesmas da sua cópia local, de modo a 
garantir que a receita federal recebeu uma versão íntegra de sua 
declaração. 
	
• Pergunta	5	
1	em	1	pontos	
 
Qual nome é dado a um conjunto de operações que são executadas em uma forma de 
"tudo ou nada". Isto é, se alguma das operações do conjunto falhar, as demais não 
serão efetivadas, garantindo a integridade da informação. 
 
Resposta	Selecionada:	 d. 
Transação. 
Respostas:	 a. 
Evento. 
 b. 	
Falha. 
 c. 	
Processamento interno. 
 d. 	
Transação. 
Comentário	
da	resposta:	
Alternativa correta d. Transação. Uma transação é um conjunto de 
operações realizadas por um sistema que é executado em uma 
abordagem "tudo ou nada", isto é, se todas as operações de uma 
transação são executadas com sucesso, a transação é concluída e 
persistida nas bases e dados. Porém, se alguma das operações de 
uma transação apresenta um erro de processamento, toda a 
transação é desfeita e o sistema volta para um estado anterior 
íntegro. 
	
 
• Pergunta	6	
1	em	1	pontos	
 
O setor de suporte da empresa recebeu um chamado relatando um erro no software. 
O analista de suporte ao tratar o chamado acessou o código-fonte do sistema e 
começou a analisar o código-fonte, para investigar eventuais inconsistências. Porém, 
 
este analista não é ligado à área de T.I. e de desenvolvimento de software. Com 
relação à gestão de segurança da informação, essa permissão está: 
Resposta	
Selecionada:	 d. 
Incorreta, pois essa ação vai contra o preceituado na norma de que 
o pessoal de suporte não tenha acesso ao código-fonte dos 
sistemas. 
Respostas:	 a. 
Correta, pois o analista está sendo proativo e tenta auxiliar a equipe 
de T.I. a buscar a causa raiz do problema que está gerando o 
incidente. 
 
b. 	
Correta, pois diante de um incidente a organização tem que 
investigar a real ocorrência, não importando quem faça essa 
investigação. 
 c. 	
Incorreta, pois não é responsabilidade do analista fazer essa tarefa. 
 
d. 	
Incorreta, pois essa ação vai contra o preceituado na norma de que 
o pessoal de suporte não tenha acesso ao código-fonte dos 
sistemas. 
Comentário	
da	resposta:	
Alternativa correta d. Incorreta, pois essa ação vai contra o 
preceituado na norma que o pessoal de suporte não tenha acesso ao 
código-fonte dos sistemas. O acesso ao código-fonte dos sistemas 
deve ser restrito, com o objetivo de prevenir a introdução de 
funcionalidades não autorizadas e mudanças não intencionais. O 
ideal é possuir uma biblioteca central de código-fonte e o que for 
sensível ao negócio fique por meio de bibliotecas compiladas, das 
quais não é possível interpretar o código. 
	
 
• Pergunta	7	
1	em	1	pontos	
 
Os processos da organização estão desorganizados. Um funcionário que acaba de ser 
demitido recusa-se a fornecer uma informação sobre um processo de negócio. Qual 
característica da informação está sendo afetada diante dessa postura? 
 
Resposta	Selecionada:	 c. 
A disponibilidade da informação 
Respostas:	 a. 
 
A confidencialidade da informação 
 b. 	
TA autenticidade da informação 
 c. 	
A disponibilidade da informação 
 d. 	
A integridade da informação 
Comentário	da	
resposta:	
Alternativa	C. A disponibilidade da informação. O funcionário 
quando recusa-se a fornecer a informação está tornando-a 
indisponível. 
	
• Pergunta	8	
1	em	1	pontos	
 
Qual das alternativas a seguir NÃO é uma das fases do processo de gestão de 
incidentes? 
 
Resposta	Selecionada:	 c. 
Pesquisa de vulnerabilidades. 
Respostas:	 a. 
Preparação. 
 b. 	
Detecção e análise. 
 c. 	
Pesquisa de vulnerabilidades. 
 d. 	
Contenção, mitigação e recuperação. 
Comentário	da	
resposta:	
Alternativa correta c. Pesquisa de vulnerabilidades. O processo de 
gestão de incidentes é composto por quatro fases, quais sejam: (i) 
preparação, (ii) detecção e análise, (iii) contenção, mitigação e 
recuperação e (iv) ações pós-incidente. 
	
 
• Pergunta	9	
1	em	1	pontos	
 
Sua empresa está diante de alguns incidentes: 
- um usuário não está conseguindo salvar um arquivo na extensão .XLS 
- a rede de computadores foi invadida 
 
- uma pessoa fingiu ser um funcionário da empresa para coletar informações sigilosas 
- há uma falha no alarme de incêndio próximo às portas de emergência. 
 
 
Qual dos incidentes acima NÃO representa um incidente de segurança da 
informação? 
Resposta	
Selecionada:	 a. 
O usuário que não consegue salvar o arquivo no formato .XLS 
Respostas:	 a. 
O usuário que não consegue salvar o arquivo no formato .XLS 
 b. 	
A invasão da redes de computadores da empresa 
 
c. 	
Uma pessoa que fingiu ser um funcionário para coletar 
informações sigilosas 
 d. 	
A falha no alarme de incêndio 
Comentário	da	
resposta:	
Alternativa		A. O usuário que não consegue salvar o arquivo no 
formato .XLS. Trata-se apenas de um incidente de suporte, não 
comprometendo a integridade, disponibilidade e confidencialidade 
da informação. 
	
 
• Pergunta	10	
1	em	1	pontos	
 
Qual é o termo que representa o conjunto formado por sistemas operacionais, 
infraestrutura, aplicações de negócio, produtos de prateleira, serviços e aplicações 
desenvolvidas pelo usuário? 
 
Resposta	Selecionada:b. 
Sistemas de informação. 
Respostas:	 a. 
Termo de responsabilidade. 
 b. 	
Sistemas de informação. 
 c. 	
Ativos. 
 
 d. 	
Produtos organizacionais. 
Comentário	
da	resposta:	
Alternativa correta b. Sistemas de informação. Para uma organização, 
a norma ISO 27002 define como sistemas de informação o conjunto 
formado por sistemas operacionais, infraestrutura, aplicações de 
negócio, produtos de prateleira (isto é, são softwares de terceiros que 
compramos "como são", sem customização adicional para nosso 
ambiente), serviços e aplicações desenvolvidas pelo usuário. 
	
 
 
• Pergunta	1	
1	em	1	pontos	
 
Os processos da organização estão desorganizados. Um funcionário que acaba de ser 
demitido recusa-se a fornecer uma informação sobre um processo de negócio. Qual 
característica da informação está sendo afetada diante dessa postura? 
 
Resposta	Selecionada:	 c. 
A disponibilidade da informação 
Respostas:	 a. 
A confidencialidade da informação 
 b. 	
TA autenticidade da informação 
 c. 	
A disponibilidade da informação 
 d. 	
A integridade da informação 
Comentário	da	
resposta:	
Alternativa	C. A disponibilidade da informação. O funcionário 
quando recusa-se a fornecer a informação está tornando-a 
indisponível. 
	
 
• Pergunta	2	
1	em	1	pontos	
 
Qual a duração média de execução de um plano de continuidade? 
Resposta	Selecionada:	 c. 
Semanas e meses. 
Respostas:	 a. 
Minutos e horas. 
 
 b. 	
Dias. 
 c. 	
Semanas e meses. 
 d. 	
Anos. 
Comentário	
da	resposta:	
Alternativa correta c. Semanas e meses. Após o plano de resposta a 
incidentes, inicia-se a execução do plano de continuidade ou 
recuperação de negócios, de modo a permitir que a organização 
recupere ou mantenha suas atividades em caso de uma interrupção 
motivada pelo incidente. O plano tem abrangência de semanas a 
meses, após o qual a atividade volta à sua normalidade. 
	
• Pergunta	3	
1	em	1	pontos	
 
A quem a política de segurança da informação normalmente delega a 
responsabilidade da classificação da informação de um ativo? 
 
Resposta	Selecionada:	 a. 
Ao proprietário do ativo. 
Respostas:	 a. 
Ao proprietário do ativo. 
 b. 	
Ao diretor da empresa. 
 c. 	
Ao gerente de TI. 
 d. 	
Ao time de elaboração da política de segurança. 
Comentário	da	
resposta:	
Alternativa	A. Ao proprietário do ativo. A política de segurança da 
informação normalmente delegará ao proprietário do ativo que faça 
a classificação da informação. 
	
 
• Pergunta	4	
1	em	1	pontos	
 
Um fornecedor de serviços possui um nome que o identifica perante os controles da 
norma. Qual é este nome? 
 
Resposta	Selecionada:	 c. 
Parte externa 
Respostas:	 a. 
Empregado 
 b. 	
Parceiro de negócios 
 c. 	
Parte externa 
 d. 	
Contratado 
Comentário	
da	resposta:	
Alternativa	C. Parte externa. Normalmente são provedores de 
serviço, provedores de rede, de telefonia, serviços de apoio e 
manutenção. Também são definidos como partes externas os 
clientes, a terceirização de operações e recursos, operação da central 
de atendimento, consultores em negócio e em gestão, auditores, 
fornecedores de softwares e sistemas de TI, pessoal de limpeza, 
dentre outros. 
	
• Pergunta	5	
1	em	1	pontos	
 
Há vários tipos de ameaças à segurança da informação. Qual das ameaças abaixo 
pode ser classificada como uma ameaça humana? 
 
Resposta	
Selecionada:	 c. 
Um pen drive de um funcionário infectado com vírus 
Respostas:	 a. 
Uma falha no fornecimento de energia elétrica 
 b. 	
Uma grande quantidade de sujeira na sala de computadores 
 c. 	
Um pen drive de um funcionário infectado com vírus 
 
d. 	
A liberação de uso de computadores sem necessidade de inserir 
a senha para acesso 
Comentário	da	
resposta:	
Alternativa	C. Um pen drive de um funcionário infectado com um 
vírus. O funcionário necessita ser capacitado para se prevenir 
contra estas ameaças. 
	
 
• Pergunta	6	
1	em	1	pontos	
 
A norma ISO 27001 utiliza um modelo de melhoria continua denominado ....(a) .... para 
construção de um sistema de gestão de segurança da informação denominado .... 
(b).... formado por quatro fases: estabelecimento, implementação e operação, 
monitoramento e análise crítica e manutenção e melhoria contínua. 
Qual	das	alternativas	abaixo	completa	corretamente	as	lacunas	(a)	e	(b),	respectivamente: 
 
Resposta	Selecionada:	 c. 
PDCA, SGSI 
Respostas:	 a. 
Gestão de Riscos, ISO 27002 
 b. 	
PDAC, ITIL 
 c. 	
PDCA, SGSI 
 d. 	
ISO 27002, PDCA 
Comentário	da	
resposta:	
Alternativa	C. PDCA e SGSI. A ISO 27001 faz uso de um modelo 
baseado na ferramenta PDCA (Plan-Do-Check-Act) para 
implantação e manutenção do SGSI. 
	
 
• Pergunta	7	
1	em	1	pontos	
 
Você acessou normalmente seu banco on-line pela manhã e fez algumas operações. 
No outro dia, ao observar o extrato de sua conta, você notou que algumas operações 
foram feitas no período da noite e que forma realizadas alguns pagamentos e 
transferências indevidas. Isto é, não foi você quem as fez e elas não estavam, 
portanto, autorizadas. 
Qual é o termo que descreve melhor essa situação? 
 
Resposta	Selecionada:	 c. 
Você foi vítima de uma fraude 
Respostas:	 a. 
Você foi vítima de uma ataque de vírus 
 b. 	
Você foi vítima de um ataque de cavalo de Troia 
 c. 	
Você foi vítima de uma fraude 
 d. 	
 
Você foi vítima de uma clonagem 
Comentário	da	
resposta:	
Alternativa	C. Você foi vítima de uma fraude. Uma fraude é 
caracterizada como a execução de uma operação não autorizada. 
	
• Pergunta	8	
1	em	1	pontos	
 
Com relação ao ciclo de vida de gestão de negócios, qual etapa tem por objetivo 
estabelecer qual será a postura da organização em relação à gestão da continuidade? 
 
Resposta	
Selecionada:	 c. 
Gestão do programa de gestão de continuidade de negócios. 
Respostas:	 a. 
Entendendo a organização. 
 b. 	
Determinando a estratégia de continuidade de negócios. 
 c. 	
Gestão do programa de gestão de continuidade de negócios. 
 
d. 	
Testando, mantendo e analisando criticamente os preparativos de 
gestão de continuidade de negócios. 
Comentário	
da	resposta:	
Alternativa correta c. Gestão do programa de gestão de continuidade 
de negócios. Essa etapa consiste na estrutura principal de um 
processo de gestão de continuidade de negócios. É nesse estágio 
que a organização estabelece qual será sua postura em relação à 
gestão da continuidade. Há uma participação ativa da alta direção da 
organização. 
	
 
• Pergunta	9	
1	em	1	pontos	
 
Qual nome é dado a um conjunto de operações que são executadas em uma forma de 
"tudo ou nada". Isto é, se alguma das operações do conjunto falhar, as demais não 
serão efetivadas, garantindo a integridade da informação. 
 
Resposta	Selecionada:	 d. 
Transação. 
Respostas:	 a. 
Evento. 
 b. 	
 
Falha. 
 c. 	
Processamento interno. 
 d. 	
Transação. 
Comentário	
da	resposta:	
Alternativa correta d. Transação. Uma transação é um conjunto de 
operações realizadas por um sistema que é executado em uma 
abordagem "tudo ou nada", isto é, se todas as operações de uma 
transação são executadas com sucesso, a transação é concluída e 
persistida nas bases e dados. Porém, se alguma das operações de 
uma transação apresenta um erro de processamento, toda a 
transação é desfeita e o sistema volta para um estado anterior 
íntegro. 
	
• Pergunta	10	
1	em	1	pontos	
 
No que concerne à gestão de ativos, a norma apresenta alguns tipos de ativos mais 
comuns. Qual dos itens abaixo NÃO é um ativo definido pela norma? 
 
Resposta	Selecionada:	 b. 
Ativos virtuais. 
Respostas:	 a. 
Ativo de informação. 
 b. 	
Ativos virtuais. 
 c. 	
Ativo de software. 
 d. 	
Ativos humanos. 
Comentário	da	
resposta:	
Alternativa	B. Ativos virtuais. Os tipos de ativos definidos na norma 
são: Ativos de informação, ativos de software, ativos de serviço, 
ativos humanos e ativos intangíveis.